강은성의 보안 아키텍트 | 코로나19와 개인정보 위기관리

CIO KR
중국에서 발생한 코로나바이러스 감염증 사태가 전 세계로 확산하고 있다. 지난 1월 20일 국내에서 처음 발생한 확진자 수가 이제는 8천 명을 넘어섰다. 세계적으로도 많은 편이다. 그런데도 우리나라의 코로나19 대응에 대한 세계 유수의 통신사나 G7 국가의 언론, 정부의 찬사가 뉴스에 나온다. 질병관리본부(질본)를 중심으로 한 중앙정부와 지방정부의 신속한 대응, 세계 최고 수준 의료진의 헌신, 마스크 쓰기와 사회적 거리두기를 실천하는 성숙한 국민이 만들어낸 합작품이다. 10여만 원의 진단비와 최대 수천만 원에 이르는 치료비를 무료로 처리해 주는 국내 보건의료체계가 그 토대가 되었음은 물론이다. 강제로 ‘저녁 있는 삶'을 누리는 분들과 함께 이 사태가 빨리 끝나기를 바라면서, 개인정보 위기관리에 대해 교육과 컨설팅을 하는 입장에서 인상적으로 본 몇 가지를 정리해 보려고 한다.

첫째, 위험평가(Risk assessment)에 관한 것이다. 중국에 이어 이탈리아 등 유럽에서 코로나19 확진자가 급증하면서 해당 국가 국민의 국내 입국 제한에 대해 기자가 질문하자 정부에서는 질본과 감염병 전문가들이 ‘위험평가'를 하고 있다고 답변했다. 감염병 분야의 전문가가 아니라서 잘은 모르겠으나, 지난 한 달 동안 습득한 지식을 바탕으로 추측해 보면, 해당 나라에서의 확산 상황과 해당국의 관리 수준, 국내 유입 가능성, 국내 확산 및 관리 상황, 방역 방법, 부작용 등 여러 요소를 종합적으로 평가하지 않을까 싶다. 

개인정보보호나 정보보안 분야에서도 위험평가를 수행한다. 정보보안 위험관리에 관한 국제 표준인 ISO 27005에서는 위험평가를 통해 식별된 위험의 수준과 우선순위를 정하여 보안대책을 수립하도록 하고 있다. 각 기업에서는 이에 따라 적절한 위혐평가 방법론을 활용하여 보안위험을 평가하고 보안대책을 마련하여 우선순위에 따라 수행하면 된다. 하지만 실제 현실에서는 ‘개인정보 보호조치’에 관한 법규를 점검 목록으로 만들고, 준수 여부를 O, X로 ‘평가'하여 대책을 수립하는 기업이 많다. 국내에서는 법규 위반에 따른 위험이 가장 크기 때문이라고 해석할 수 있고(법규에 기술적 내용도 어느 정도 포함되어 있기도 하다), 경영진을 설득하기 쉽기 때문일 수도 있다. 어쩌면 위험평가 방법을 몰라서 그럴 수도 있을 것 같다. 결과적으로 기술적·사업적·법적 위험을 종합적으로 고려한 위험평가가 제대로 이뤄지지 않아서 우선순위에 따른 보안대책이 나오기 어렵다. 경영진이 개인정보보호 정책의 목적이나 보안투자 이유를 물었을 때 법규 이외의 투자 근거를 대기 어렵게 된다.

둘째, 질본이 2015년 우리 사회를 혼란에 빠뜨렸던 감염병 메르스 사태에서 배우고 보완한 점이 눈에 띈다. 신속한 정보 공개와 관련 기관 사이의 정보 공유 등 감염병 예방법이 대폭 개정되었고, 식약의약품안전처의 의료기기에 대한 긴급사용 승인 프로세스 도입, 질본과 감염병 전문가, 전문기업이 진단도구를 연구, 개발할 수 있는 협업 체계가 준비되었다. 질본과 대형병원들에서 감염병 대응 모의훈련도 이뤄졌다. 감염병에 대비한 총체적인 노력이 이번에 빛을 발하고 있는 것이다. 이러한 활동은 ‘재난관리 프로세스’의 네 단계인 예방 - 대비 - 대응 - 복구 중 ‘대비’에 속한다. 재난이 발생하면 ‘대비’한 만큼 신속하고 정확하게 ‘대응’할 수 있다. 대비가 부족하면 호미로 막을 일을 가래로 막게 된다. 코로나19에 대한 중국의 대처를 보면 어렵지 않게 알 수 있다.

대규모 개인정보 유출사고와 같은 개인정보 위기관리도 같은 방식으로 단계를 구분한다. 단계별로 할 일은 다음과 같다. 
 
<그림> 단계별 개인정보 위기관리 업무
 
출처: 강은성, “기업의 개인정보 유출 위기대응", 강의자료 2019 

개인정보 보호를 위한 기술적·관리적·물리적 조치는 ‘위기예방’ 단계의 업무에 포함된다. 개인정보 내부통제나 모니터링 시스템 구축 역시 예방을 위한 유용한 대책이다. 대비 단계의 주요 업무는 기업 내에서 위기관리 체계를 수립하고, 위기상황을 상정해 모의훈련을 하는 것이다. 기업에서는 위기관리위원회, 위기관리실무협의체를 구성하여 관련 프로세스를 정의하고 모의훈련을 할 필요가 있다. 필자는 특히 ‘일상적 위기관리’의 중요성을 강조한다. 이것은 개인정보 유출의 징후나 소규모 사고를 탐지했을 때 위기관리 체계의 틀을 작동시키는 것이다. 중국에서 코로나19가 발생한 것을 알게 되었을 때 질본과 감염병 전문가들의 대응체계가 작동한 것과 비슷하다. 저절로 위기대응 훈련이 되고, 작은 사고가 위기로 번지는 것을 막을 수 있다. 

셋째, 인력에 관해서다. 대규모 개인정보 사고가 발생하면 위기대응 단계로 진입한다. 기간도 길고 할 일도 많다. 대비 단계에서 준비해 놓은 체계가 잘 작동하려면 조직과 개인의 역량이 중요하다. 그중에서도 고위 책임자와 역량과 경험은 매우 중요하다. 메르스 사태를 경험했던 전문가들이 현 감염병 대비와 대응의 주축이라는 점은 코로나19 대응에서 간과하지 말아야 할 중요한 사실이다. 당시 실무책임자로 최선을 다하고도 징계까지 받았지만 버티다가 능력을 인정받아 발탁된 현 질병관리본부장(차관급)이나 그때 경험을 바탕으로 지금 큰 몫을 하는 감염병 전문가들이 바로 그들이다. 개인정보 사고가 터지면 책임을 지고 회사를 그만둬 전문성과 경험이 쌓이지 않는 대다수 기업과는 크게 다른 모습이다.
 
---------------------------------------------------------------
강은성 칼럼 인기기사
->강은성의 보안 아키텍트 | APT 공격, 어떻게 막을까?(2)
-> 강은성의 Security Architect | 보안관제 100% 활용하기(1)
->강은성의 Security Architect | APT 공격, 어떻게 막을까?(1)
-> 강은성의 Security Architect | 보안관제 100% 활용하기(2)
-> 강은성의 Security Architect | Software Architect? Security Architect!
-> 신간 인터뷰 | "모든 C-레벨의 2015년 화두는 정보보안" 강은성 대표
---------------------------------------------------------------

확진자 수가 100명 안팎으로 줄고, 확진자보다 완치자가 늘어나면서, 불안감이 완전히 가시지는 않았지만 그래도 좀 출구가 보이는 것 같다. 의료진과 방역당국의 노력과 함께 우리 개개인의 꾸준한 실천이 있어야 그것이 현실로 다가오겠지만 말이다. 이번 사태로 삶이 팍팍해진 모든 분께도 다시 희망으로 가는 변곡점이 하루빨리 오기를 바라마지 않는다.   

*강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 개인정보보호 및 정보보호 컨설팅과 교육 사업을 하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr