최근 국내 기업과 기관들이 앞다투어 구축하고 있는 보안시스템 중 발군은 단연 내부통제시스템이라고 할 수 있다. 임직원, 용역업체를 포함해 내부인력에 의한 정보유출 시도 여부를 감시하는 목적으로 구축되는 시스템이다. 보안컨설팅을 하는 입장에서는 이 시스템의 구축에 대해 적극적으로 찬성한다. 많은 기업들에게 구축을 독려하는 쪽인데 그 효과에 대해 갖는 기대치가 높기 때문이다. 이 시스템에 기대를 거는 이유는 IT 침해행위 방지에 있어서는 사람에 대한 의존치가 낮을수록 그 효과는 높다고 생각하기 때문으로 그와 관련해 네덜란드의 비교문화경영학자인 폰스 트롬페나스 박사의 연구가 재미있다. 

국가 캐나다 미국 영국 서독 프랑스 인도네시아
신고하겠다 96% 95% 90% 91% 68% 47%
국가 일본 싱가폴 스페인 태국 중국 한국
신고하겠다 67% 67% 65% 63% 48% 26%
임홍철 사이버팀장

박사는 ‘친한 친구가 차를 몰고 가다가 보행자를 치었다. 목격자는 오직 나. 신고하겠는가’ 라는 질문을 여러 나라의 사람들에게 던졌고, 다음과 같은 결과를 얻었다.

흔히 우리나라 사람들을 정이 많다고 표현하는데 이 경우엔 그놈의 정이 문제를 일으킨다. 규범과 규칙보다 그놈의 정이 우선이니 말이다. 이를 기업에 적용해보면 수많은 정보유출 행위나 시도가 적발돼도 실제 신고로 이어지는 경우는 소수일 것이라 예상할 수 있다. 기업들이 준비한 신고절차도 효용이 적고, 보안교육을 통한 계몽효과도 기대한 효과를 내지 못한다면 사람이 아닌 기술을 통해 이를 보강하여야 한다는 것이 필자의 의견이며, 그 결과가 바로 내부통제시스템 구축이다.

내부통제시스템의 가장 큰 장점은 정이 없다는 것이다. 수집된 정보와 정해진 규칙에 따라 이상행위(의심행위)를 뽑아내고 침해여부를 가려낼 뿐이니 기업은 그 결과에 따라 사실을 확인하고 조치하면 그뿐이다.

아직도 많은 기업들이 정보유출과 같은 침해행위에 대해 사람을 통한 감시와 확인, 통제에 의존하고 있다. 그러나 개인정보가 유출돼 시장에서 유통되고 있는 이유 중 하나가 정 때문이라면, 정 없는 기술에 의존하자는 정나미 없는 소리를 할 수밖에 없을 것 같다.

키워드

#N
저작권자 © 누구나 안심하고 살 수 있는 세상을 만드는 언론 세이프타임즈 무단전재 및 재배포 금지