2024-03-29 11:25 (금)
[박나룡 칼럼] 포스트 코로나, 정보보호의 변화
상태바
[박나룡 칼럼] 포스트 코로나, 정보보호의 변화
  • 길민권 기자
  • 승인 2020.05.19 16:33
이 기사를 공유합니다

빠른 변화, 정보보호 수준을 좀 더 치밀하게 관리해야 하는 단계로 접어드는 시기

코로나로 인해 사회 전반적인 생태계의 변화가 찾아오고 있다.

생활의 기반이 기존의 오프라인 세상에서 온라인 세상으로 상당 부분 옮겨가고 있고, 생각보다 빠르게 변화하고 있다는 것을 하루가 다르게 느낄 수 있는 상황이다.

이러한 상황이 지속성을 유지하게 되면, 정보보호 환경에도 변화가 필요한 부분이 발생한다.

몇 가지 살펴보면, 첫 번째로, 온라인에서 본인(실명)인증의 보편화/간편화 요구가 늘어날 것으로 보인다.

이미, 지난해 1년간 처리된 본인확인 건수는 약 16억 건으로, 국민 1인당 30~40건의 확인 프로세스가 이루어지고 있을 정도로 온라인상에서 필수적인 상황이 되어있다.

최근에는 전자고지서비스를 통해 국가 서비스(병무 서비스, 국세 고지서 발급 등)를 온라인상의 본인확인 정보를 활용하여 등기우편과 같은 온라인 서비스를 제공하려고 하는 국가, 민간 사업자들의 CI(Connecting Information)개방 요구가 높아지고 있다.

다만, 모든 서비스에서 본인인증이 필요한 지를 판단하고, 굳이 필수적으로 필요하지 않은 경우에는 본인인증을 최소화 하는 방향이 필요하다.

또한 현재의 본인확인 처리 시스템에 대한 안전성 확보에도 지속적으로 노력해야 할 것이다.

두 번째는, 원격(재택) 근무의 확대에 대한 효과적인 정보보호 방안 마련이 필요하다.

다양한 조직에서 보편적 원격 근무에 필요한 정보보호 요구사항이 늘어날 것으로 예상된다.

특히, 원격 접속용 개인 PC에 대한 안전성 확보를 위해 다양한 보안 방식을 고민하고, 외부와 내부가 연결되는 접속 포인트에 대한 보안에 더 신경 써야 한다.

원격 근무에서 중요한 부분은, 접속자 PC의 안정성을 어떻게 확보할 것인가? 와 그 PC에 보관/저장(메모리, Cache, Temp, Disk 등)될 수 있는 DATA에 대한 통제 방법을 어떻게 할 것인가?에 대한 것들이다.

그 다음이 VPN 등을 통한 접속 방식에서의 인증과 접근통제(Rule), 그리고 접속 이후에 모니터링(분석)이라고 볼 수 있다.

중요도에 따라 세분화된 통제 방식을 구현하고, 모니터링을 효과적으로 수행할 수 있는 방법에 대한 고민이 필요하다.

세 번째는 서비스 이용자의 개인정보에 대한 민감도가 약화될 가능성이 높다.

일반적으로 개인정보에 대해 중요하다고 생각은 하고 있지만, 온라인상에서 자연스럽게, 자주 사용하다 보면 익숙해지고 익숙해진 만큼 개인정보보호에 둔감해질 수 있기 때문이다.

개인정보의 활용과 더불어 일반인들이 더 다양한 분야에서 온라인 서비스를 이용하게 되면서, 개인정보에 대한 인식의 둔감해질 수 있다는 가정에서 개인정보보호를 위한 적극적 활동이 필요하다.

이용자의 민감도가 약화된 상황에서 문제가 발생한다고 해도, 이용자에게 책임을 전가할 수 있는 부분은 생각보다 많지 않고, 개인정보를 활용한 쪽에 더 책임을 강조할 수 있기에 개인정보보호 활동에 대한 한 단계 업그레이드된 수준으로 관리할 방안을 준비해야 한다.

네 번째는 일반인을 대상으로 한 보안 위협이 증가할 것이다.

피싱이나 도용과 같은 온라인상에서 일반인을 대상으로 한 보안 위협은 증가할 것이다. 사용자가 많아진다는 것은 그 만큼 공격자 입장에서 공격할 기회도 많아진다고 볼 수 있기에 이에 대한 대책도 소홀히 할 수 없다.

마지막으로, 정보보호의 보편화를 이룰 수 있는 기회일 수 있다.

최소한의 보안 수준을 갖추지 못한 곳은 서비스 성장에도 한계가 존재하기 때문이다.

다양한 온라인 서비스가 시작되는 곳에 정보보호의 역할도 함께해야 지속가능한 성장이 가능하다.

전반적으로, 정보보호 수준을 좀 더 치밀하게 관리해야 하는 단계로 접어들고 시기가 아닌지 관심 있게 지켜봐야 한다.

정보의 중요도, 사람의 중요도, 시스템의 중요도에 따른 차등화 된 보안 수준을 갖출 필요가 있고, 서비스를 이용하는 일반 고객에 대해서도 편의성을 크게 해치지 않는 수준에서 다양한 방식의 보안 수단을 제공하고, 보안 수준에 대한 선택권도 일정부분 나눠줄 필요가 있다.

현재까지는 정보보호 수준을 높이기 위해 법률의 강제성을 바탕으로 국가가 끌어올리는 방식으로 진행되었고, 그 효과를 기반으로 일정 수준 이상의 보안 체계를 갖추었다고 볼 수 있다.

박나룡 보안전략연구소장
박나룡 보안전략연구소장

앞으로 더 활발해질 온라인 사회에서는, 법률을 통한 경직되고 수동적 방식으로는 다양한 이해관계자의 요구를 맞춰가기 힘들어질 것이기에 (현재처럼 법률 체계에서 세부적인 기준이 마련되어 있는 것이 조직에는 더 유리할 수 있지만, 그럼에도 불구하고) 법률은 큰 틀에서 핵심적인 기준을 제시하고, 조직에서 자체적인 위험평가를 통해 지금 보다 더 높은 보안 수준을 자율적으로 수행할 수 있도록 점진적인 방향의 전환이 필요한 시점이다.

[글. 박나룡 보안전략연구소 소장/ isssi@daum.net]]

★정보보안 대표 미디어 데일리시큐!★

◇상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2020 개최
-날짜: 2020년 5월 28일
-장소: 더케이호텔서울 2층 가야금홀
-참석: 공공·금융·기업 개인정보보호 및 정보보안 책임자·실무자
-교육이수: 7시간 인정
-사전등록: 사전등록 클릭
-보안기업 참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

관련기사