IT 기술이 발전함에 따라 정보 유출에 대한 방법들이 더 전문화되고 지능화되고 있다. 사이버 범죄자들은 기업이 수 십 년 동안 축적해 온 기술을 정보 유출이라는 비 도덕적 방법을 통해 단기간에 획득해 시장의 공정성을 무너뜨리고 있고, 기업의 오랜 영업 및 마케팅 활동을 통해 축적한 고객정보를 불법적인 방법으로 취해 사리사욕을 채우기도 한다.

인가된 사용자의 정보유출 ‘적색경보’
산업기밀이나 고객정보는 시장 내에서의 경쟁의 우위를 확보할 수 있는 기업의 가장 중요한 지적 자산이다. 이러한 산업기밀과 고객정보는 여러 경로를 통해 유출되고 있지만, 외부의 무단 침입으로 인한 유출보다 기업 임직원 및 퇴직자에 의한 정보유출이 훨씬 높은 비중을 차지하고 있다고 알려진다. 데이터 접근에 대한 인가된 사용자, 즉 정보에 대한 접근이 가능한 사용자를 통한 유출이 문제로 부각되고 있는 것이다.

지적 재산을 보호해야 할 책임이 있는 임직원과 퇴직자 등이 정보유출의 주된 개입자라는 것은 기업 경영의 심각한 문제가 아닐 수 없다. 정보의 접근 용이성이 높은 임/직원에 의한 기밀정보 유출은 외부의 악의적인 무단 침입에 비해 그 피해도 훨씬 더 클 수밖에 없다. 또한 최근 여러 유출 사건으로 부각되고 있는 유출의 주체 중 한 부분은 외부 협력업체나 상생업체, 컨설팅업체 등이다. 기업의 핵심 역량에 집중하기 위해 부가적인 부분들은 외부 협력사 맡기는 아웃소싱은 일반화된 현상이지만, 이에 따라 기업 내부의 중요 정보들은 더 이상 사내에만 머물러 유통되는 것이 아니라 기업과 기업 간 활발하게 공유되고 있으며, 이는 악의적인 목적에 의한 보안사고 발생의 가능성을 높이는 요인이 되고 있다.

오늘날 대부분의 정보 유출 사례들은 금전적 이익을 목적으로 발생한다. 소위 ‘돈이 되는 핵심 정보’가 내부 사용자나 협업 관계자 등 사용권한이 있는 사용자를 통해 새어나가고 있는 것이다.

허술한 정보 보안
연이은 산업기밀 유출, 고객정보 유출 등의 사건/사고로 인해 대기업에서 중소기업까지 넓은 시장에서의 실수요가 증가함에 따라 정보유출방지시스템 도입 비중은 확대되고 있는 추세이며, 내부보안이 정보보호를 위한 필수 요소라는 인식이 확산되고 있다.

하지만 아직까지도 정보유출방지 방안은 대부분 대규모 사업장을 중심으로 도입, 운영되고 있어 대규모 사업장과 정보의 공유를 통한 협업을 진행하는 협력업체까지 보안이 강화되는 경우는 드물다. 사용 및 유통 단계에 대한 강력한 보안방안이 사내의 정보유통에 집중돼 중요데이터를 공유하는 협력사와의 보안 유통방안은 간과되는 경우가 많은 것이다.

업무 환경에 최적화된 정보유출방지 ‘절실’
정보유출 방지를 위해서는 무엇보다 기업의 업무 형태나 협업 환경에 맞는 보안시스템의 운영이 필요하다. 보안시스템의 운영을 통해 사용자의 보안의식을 고취하고 지속적인 사용자 변화관리를 통한 인적 보안이 확립된다면 정보유출 가능성을 최소화시킬 수 있을 것으로 기대된다.

문제는 협업이다. 기업 내부의 업무 프로세스는 적절히 통제가 가능지만, 협력사의 업무 형태까지 완벽히 통제할 수 있는 방안을 마련하기는 어렵기 때문이다. 그렇다고 통제 불가능한 영역으로 설정하고, 기존의 정보 유통 체제를 고수한다면 유출 가능성을 배제할 수 없다.

이 경우 협력 업체의 업무 전체에 대한 보안 방안을 고민하는 것도 좋은 방법이지만, 이 보다는 협업을 위해 제공되는 데이터, 또는 산출물 자체에 대한 암호화와 데이터가 유통되는 웹디스크나 파일서버와 같은 도구에 완벽한 보안 방안을 제공하는 것이 더욱 현실적인 방안이다. 보안이 적용된 사용자 단에서 보안이 적용된 데이터를 보안이 적용된 웹디스크나 파일서버를 통해 유통시키고, 다운로드하는 협력업체의 사용자도 데이터를 보안이 적용된 사용자 환경으로만 다운로드 받을 수 있게 함으로써 정보유출을 방지할 수 있게 된다.

더 강력한 보안을 위해서라면 파일서버에 암호화된 영역을 설정할 수도 있다. 강력하게 암호화된 영역에서만 데이터가 유통된다면 정보 유출의 가능성은 없어진다. 또한 협업에 앞서 협업을 진행하는 사용자만이 정보를 공유할 수 있도록 강력한 접근제어와 권한에 대한 관리자의 보안정책 설정도 필요하다. 권한이 있는 사용자만이, 허가되는 범위 내에서 데이터를 사용할 수 있도록 관리자는 사용자 행위 및 데이터 접근에 대한 권한을 설정하고, 세부적으로 데이터의 사용기간이나 인쇄 가능여부 등에 대해서도 설정함으로써 비인가자에 의한 유출은 물론 인가자에 의한 유출까지도 차단할 수 있다.

높은 보안성과 함께 요구되는 것이 업무의 효율성으로, 아무리 안전한 보안이 유지된다 하더라도 사용자 편의성이나 업무의 효율성 부분이 보장되지 않는다면 결코 최적의 솔루션이라 할 수 없다. 결국 기업은 영리를 목적으로 하는 그룹이며, 업무 효율성 향상과 인적자원의 최대 활용을 통한 수익의 극대화를 지향하기 때문이다. 이러한 점에서 솔루션을 도입할 때 비용적인 측면도 크게 작용하는 것도 사실이지만, 기존 환경의 변화나 암/복호화 처리 시 프로세스의 저하, 오류나 타 프로그램과의 충돌 등 비효율적인 측면 역시 쉽게 넘길 수 없는 부분 중의 하나다.

기존의 환경을 그대로 유지한 상태에서 적용이 가능하며, 안전하면서도 편리한, 그리고 신속한 업무 환경을 구현하는 것이 최상의 솔루션이라 할 수 있다. 특히 제조업분야에서 원청업체와 협력업체 간의 활발한 공유가 이뤄지고 있는 설계도면의 경우 대용량의 다양한 애플리케이션이 결합된 복잡한 파일로 인해 암/복호화 시 현저한 프로세스의 저하가 나타나기도 하는데, 최근에는 이러한 문제점을 해결함으로써 보안이 적용된 대용량 파일을 사용할 때에도 기존의 업무 속도를 유지하는 보안 솔루션들이 속속 도입되고 있다.

인적 보안, 필요충분조건
무엇보다 보안시스템 적용 이전이나 이후에 인적 보안의 확립은 아무리 강조해도 지나치지 않다. 시스템을 도입해 운영하는 주체도, 중요 정보를 유출하는 주체도 모두 사람이기 때문이다. 2009년에는 작년부터 시작된 경기침체의 본격화로 인해 생계형 범죄가 증가할 것으로 예측된다. 인사처우에 불만을 갖거나 고액 제안에 의해 기업의 중요 정보를 ‘판매하는’ 케이스가 증가될 수 있으며, 경쟁 기업의 노하우와 핵심정보를 한 번에 획득하려는 손길 역시 늘어날 것으로 보인다.

기업의 중요 정보는 기업에 속해있는 중요 자산이며, 이를 유출하는 행위는 명백한 범죄행위임을 유념해야 할 것이다. 또한 기업에 종사하는 임직원은 법에 의한 처벌이 무서워서가 아니라, 자신 스스로 정보 유출과 같은 부정한 수법을 통해 자신의 사익을 채우지 않도록 경계해야 할 것이다.