본문 바로가기
AhnLab 칼럼

[CTO 칼럼]정보의 생성과 소멸

by 보안세상 2020. 4. 20.

2008.08.04

 

오늘날 정보는 거미줄처럼 연결된 하나의 거대한 컴퓨터 속에 들어있다. 이러한 정보는 인터넷과 다양한 멀티미디어를 통해 디지털화된 정보 형태로 소통되고 공유된다. 정보는 사회의 여론을 주도하기도 하며 새로운 가치를 창조하기도 한다. 그만큼 폭발적인 전파력과 영향력을 지니고 있다.

이러한 이유 때문에 많은 이들이 정보를 생성하고 활용하는데 혈안이 되어 있다. 반면, 디지털 정보가 축적되고 소멸되지 않는 특성에 대해서는 아무도 관심을 기울이지 않는다. 용도 폐기된 정보가 데이터베이스에 보관된 상태로, 각 개인 PC에 저장된 형태로 무관심과 부주의 속에 방치되고 있다. 주목해야 할 점은 이 정보들 중에는 소중한 개인정보가 포함되어 있어 악용될 가능성이 있다는 것이다.

정보 시스템을 구성하는 제품과 서비스를 미국 기업들이 주도하다 보니 이러한 정보를 관리하는 체계도 미국의 사례를 따르는 경향이 있다. 물론 정보 시스템을 구성하는 하드웨어, 소프트웨어, 통신 인프라 등은 선진 글로벌 기업들의 주도로 표준화될 수 있다. 그러나, 정보를 생성하고 소멸하는 과정, 그리고 소통하는 삶의 방식은 그 구성원들의 인식과 문화적 환경에 따라 다르다. 이런 차이점을 이해하지 않고 무작정 모방하려고 하면 실효성도 떨어질 뿐만 아니라 때로는 역효과도 발생할 수 있다는 점을 간과해서는 안 된다.

최근 사회 문제가 되고 있는 개인정보 유출의 해결책 또한, 정보가 소통되는 그 공동체의 문화와 역사적 특성과 함께 사회 생활의 행동 방식에 따라 적절하게 적용되어야 한다. 정책의 대상인 그 구성원들이 따를 수 있어야 좋은 정책인 것이다. 하지만 이러한 정책을 따르고 적용하기 힘들다면 예외의 경우가 발생하고, 예외가 발생하는 경우가 많으면 많을수록 이미 그 정책은 설 자리를 잃는다.

문명의 뿌리가 같다고 할 수 있는 미국과 유럽만 해도 엄연한 차이가 존재한다. 예를 들어 직원들이 사용하는 PC, 통신내역, 이메일과 같은 컴퓨터 자원의 경우, 미국에서는 이것이 회사의 자산이기 때문에 회사가 모니터링하고 관리할 수 있는 권한을 당연시한다. 그러나, 유럽 국가에서는 회사가 비용을 지불한다고 해도 개인의 프라이버시가 우선한다.

하물며 동양권의 문화는 역사적으로 서구와 다른 길을 통해 오늘에 이르렀다. 글로벌화에 따라 문화간의 융합이 이루어지고는 있지만, 개인주의에 기반을 둔 서구식 방식을 그대로 적용하는 데는 무리가 따른다. 동양권에서도 국가별로 특성이 다르다. 이를 테면 학연, 혈연, 직장 동료 등 다양한 그룹에서 각 개인을 중심으로 형성되는 네트워크 안에서의 한국인의 정보 공유 행위는 유난히 강하다. 이런 차이점과 오랜 기간 형성되어 온 관행과 습관을 고려하지 않고서는 효과적인 정책이 성립되기 힘들다.

최근 쟁점이 되고 있는 주민등록번호 제도는 우리 사회가 발전하는 과정에서 스스로 만들어낸 제도이다. 국가에서 각 개인에게 유일한 번호를 부여하는 방식은 우리나라에만 존재한다. 냉전 시대에 분단된 국가의 현실에서 일사불란한 주민 관리 체계는 행정적으로나 동원 체제를 위해 효과적이었다. 국가 주도의 산업 발전과 교육 체계를 위해서도 활용도가 컸다. 특히 정보의 통합화를 실현하는데 지대한 역할을 했다는 평가를 받고 있다.

더 나아가 우리가 IT 강국이 되는 과정에서 정보의 전산화는 효율성과 생산성을 목표로 급속도로 이루어졌다. 부동산, 가족상황, 주소등록, 병역관계, 신용등급, 금융거래, 의료정보, 포털의 회원 정보 등 거의 모든 개인 정보가 전산화되었고 각 개인의 분류 기준은 주민등록번호로 일반화되었다. 일반기업의 서비스를 이용하는 과정에서도 주민등록번호는 아무 거리낌없이 사용되고 있다. 이런 상황을 고려했을 때 주민등록번호의 유출 방지에 포커스를 맞추어 문제의 해결책을 찾는 것은 근원적인 대책이 되지 못한다. 게다가 이를 대체하거나 분리하고자 할 경우, 시스템 재구성에만도 상당히 많은 고통과 비용을 수반하게 된다.

우리가 집중할 문제는 정보 그 자체다. 누가 이 정보를 볼 수 있고 누가 이 정보를 생성부터 소멸까지 관리할지에 대한 책임 소재가 분명해야 한다. 과거에 개인 정보 통합과 검색 시스템을 구축하는 데만 주력해 온 결과 정보의 라이프사이클을 책임질 오너쉽이 실종된 경우가 허다하다. 이것이 오늘날 개인정보보호를 위해 해결할 문제의 핵심이다.

그나마 물리적으로 관리 주체가 명확한 시스템, 데이터베이스, 네트워크 같은 인프라는 범위라도 정해져 있다. 거의 모든 개인이 사용하는 PC에 저장된 정보는 오너쉽이 누구에게 있는가? 게다가 PC는 플랫폼으로써 업무적, 개인적 정보와 각종 소프트웨어가 혼합되어 있다. PC가 독립적으로 사용될 때에는 영향력이 적었으나, 이미 PC는 전체 시스템에 직접적인 영향을 주는 구성 요소로 진화했다. 이와 같은 플랫폼의 정의와 주체를 규정하는 것이 논의의 출발점이다.

정보 그 자체에 집중하지 않는 상태에서 보안 솔루션이나 기술을 채택하는 경우 수박 겉핥기식이 되어 실효성은 떨어질 수 있다. 더욱이 PC 플랫폼이나 어플리케이션, 문서의 활용 형태가 워낙 다양해서 고객과 솔루션 벤더를 둘 다 만족시키는 접점을 찾는 것도 쉽지가 않다. 정보유출방지 솔루션을 도입한 많은 케이스를 보면, 사용하기는 불편하고 보안 상태는 나아지지 않고 있는 상태에서 정책을 수립하는 사람이나, 사용자 솔루션 제공자 모두가 힘들어 하는 사례가 비일비재하다.

결국 정보의 활용을 극대화하면서 생성과 소멸을 책임질 수 있는 오너쉽을 가지는 것이 관건이다. 그 주체와 범위는 각 기업이나 기관, 개인의 업무 환경과 문화에 따라 다를 수가 있다. 정보 자체의 라이프사이클이라는 초점을 잃지 말고 중심을 잡는 정책이 절실하다. 단 우리의 문화와 업무 형태를 고려한 방향이어야 실효성이 있다.@

[저자] 김홍선 안철수연구소 부사장, CTO

댓글0