韓仁九 < KAIST 테크노경영대학원 경영학 교수 > 정보화는 기업 경영프로세스의 효율성을 높인다. 이에 따라 정보를 관리하는 시스템은 기업의 주요 경쟁도구화하고 있다. 정보는 기업뿐만 아니라 정부 및 개인의 중요한 생산요소다. 개인 및 조직간 정보유통은 경영관리에 필수적이다. 그러나 정보시스템은 취약성을 갖고 있어 자연재해·인간에 의한 의도적 공격 및 실수 등 다양한 형태의 위협에 노출돼 있다. 그러므로 정보시스템은 적절한 수준의 정보보안이 유지돼야 정보화의 역기능을 최소화하면서 소기의 경영성과를 달성할 수 있다. 정보보안의 세가지 요건은 비밀성(confidentiality) 무결성(integrity) 가용성(availability)이다. 정보의 비밀성은 정보소유자의 인가를 받은 사용자만이 접근할 수 있어야 함을 의미한다. 무결성은 정보가 정확하게 유지되고 인가받은 방법으로만 변경돼야 한다는 것이며,가용성은 정당한 사용자가 정보를 적시에 이용할 수 있어야 한다는 것이다. 최근 어느 기업 기획조정실의 간부가 사내 e메일을 불법감청한 혐의로 구속돼 '사내감청으로 형사처벌되는 첫 사례'로 관심을 끌고 있다. e메일은 기업 내.외부 정보유통 및 개인적인 정보교류의 핵심 수단으로 자리잡고 있다. e메일이 개인적인 정보교환으로 이용되는 것을 감청하는 것은 '프라이버시 침해'로서 헌법상의 기본권인 사생활 보호에 위배된다. e메일이 기업 경영활동을 위한 정보유통으로 이용되는 경우, 발신자가 정보의 소유권자이고 또 발신자가 정보의 수신을 인가한 사용자만이 접근할 수 있어야 한다. e메일로 유통되는 정보를 '인가된 사용자만이 정당한 목적을 위해 사용하도록 하는 것'이 비밀성을 유지하는 것이며, e메일 정보 보안을 위한 첫째 조건이다. 감청을 허용할 수 있는 예외적 상황은 '공익을 위한 것'이다. 정부기관이 이를 집행하는 경우에도 감청영장 등 엄격한 법적 요건을 갖춘 경우만 가능해야 한다. e메일 보안이 제대로 안되면 e메일을 통한 정보 유통이 위축되고 사생활이 침해되는 부작용이 나타나 정보화 성과는 크게 감소하게 될 것이다. 특히 사내에서 간부에 의해 e메일 보안이 침해되고, 직원 감시를 위해 감청되는 경우의 가장 큰 손실은 '조직내의 신뢰에 금'이 가는 것이다. 직원들의 사기는 떨어지고 상사는 존경을 잃으며, 궁극적으로 기업경쟁력의 약화를 초래하게 될 것이다. 보안수준 저하는 기업뿐만 아니라 사회 전체적인 신뢰감을 손상시켜 국가경쟁력의 약화로 이어지게 될 것이다. '의인불용 용인불의(疑人不用 用人不疑)'는 SK그룹 고 최종현 회장 경영철학의 하나다. 믿을 수 있는 사람을 선발, 잘 교육시켜 신뢰의 문화를 조성하고, 직원을 의심하여 감시하지 말 것을 강조하고 있다. 의심 받아 감시당하는 직원이 조직의 발전을 위해 열심히 일 할 리가 없을 것은 자명하다. e메일의 보안성을 높이기 위해 기업은 첫째,e메일 정보의 보안규정을 정립하고 둘째, 접근통제 등 기술적 보안통제의 수준을 개선하고 셋째, 보안교육을 체계화하는 등 내부통제의 수준을 높이고 넷째, 보안통제가 제대로 이루어지고 있는지를 평가하는 정보시스템 감사활동을 체계적으로 실시해야 한다. 그리고 국가차원에서는 e메일 보안 관련 법규를 제정하고, 법규위반에 대한 적발 및 처벌을 강화하는 한편 정보보안과 관련된 연구 및 교육을 지원해야 한다. 정보보안은 '기술적인 문제'라고 생각하기 보다 '관리적인 문제'로 인식해야 한다. 대학에서는 △정보시스템 감사 및 보안관리와 관련된 과목의 개설을 늘리고 △교육을 통해 보안의식을 높이며 △보안문화를 조성해 가는데 앞장서야 할 것이다. 우리나라는 정보시스템의 개발과 확산을 위해 지속적으로 노력, 정보화에 상당한 성과가 있었다. 그러나 정보화의 역기능을 막기 위한 정보보안에 소홀히 해 온 것도 사실이다. 이번 사건이 정보보안의 중요성을 다시 인식, 보안이 확립되는 계기가 돼야 할 것이다. < ighan@kgsm.kaist.ac.kr > ----------------------------------------------------------------- ◇ 이 글의 내용은 한경의 편집방향과 일치하지 않을 수도 있습니다.