정보보호 준비도 못지않게 '포렌식 준비도' 시급
2014-09-16 14:31
아주경제 장윤정 기자 = 정부가 지난달 '정보보호 투자 활성화대책'의 일환으로 발표한 '정보보호 준비도 평가'에 관심이 쏠리며 이 못지않게 '포렌식 준비도' 또한 중요하다는 주장이 제기됐다.
포렌식 준비도(Forensic Readiness)란 평소 중요하다고 여겨지는 기업 내 분야에 대해 포렌식(디지털증거분석) 장비를 둬 사건 발생 시 신속한 대응 및 원인 파악을 할 수 있도록 기술적 대책을 마련하는 것을 말한다. 사고 대응 비용을 최소화하고 신뢰할 수 있는 디지털증거를 수집하기 위한 조직적 노력을 말하기도 한다.
영국은 정부기관 정보보호정책 프레임워크에 의무적으로 포렌식 준비도 정책 및 계획을 포함시키도록 규정화하고 있으나 국내에서는 포렌식 준비도는커녕 디지털 포렌식에 대한 개념조차 희박한 실정이다.
올초 카드 3사의 개인정보 유출 사고에 이어 KT 개인정보 유출 사고 등으로 기업의 책임과 배상 문제가 불거지며 평소 포렌식 준비도와 같이 보안 사고에 대비할 방안 마련이 시급하다는 지적이다.
최근 정부가 발표한 정보보호 준비도 평가는 기업의 정보보호 역량 강화를 위한 노력과 준비 수준을 민간 평가기관이 측정하고, 결과에 따라 등급을 부여하는 제도다. 정보보호 준비도 평가처럼 포렌식도 개인정보유출, 해킹 등 보안사고 발생 시 사고에 대비할 노력과 준비 수준을 정부나 민간평가기관이 측정하고 등급을 부여하는 방안 등도 고려할 필요가 있다는 것.
임종인 고려대학교 정보보호대학원 원장은 "최근 전자금융거래법 개정안에서 전자금융사고에 대해 금융회사에서 입증책임을 부여하고 있고 개인정보보호법에서도 최소한의 정보 수집, 유출 시 고의·과실 없음, 관리자의 의무를 다했다는 입증책임이 부여돼 있다"며 "이에 따라 금융 기업의 배상책임, 개인정보 유출 사고 대응 등을 위해서는 로그기록 관리, 내부통제 체계, 포렌식 준비도 등에 대한 고려가 필요하다"고 말했다.
이어 임 원장은 "조직 거버넌스에서 디지털 포렌식은 기업 자산 보호와 신뢰성 강화로 핵심적인 역할을 수행할 수 있다"며 "그러나 포렌식 준비도를 갖춰두는 과정에서 고용인들의 감시 체계를 강화한다는 지적을 받을 수 있으므로 노조와의 조율 등이 선결해야할 과제"라고 설명했다.
개인정보 소송 등에 대비하기 위한 기업의 자기방어권 측면에서 포렌식 준비도는 꼭 필요하지만 노동자의 인권 문제가 걸림돌로 지적되므로 이에 대한 균형있는 조율이 포렌식 준비도 실현의 우선 과제라는 설명이다.
이찬우 더존정보보호서비스 대표는 "디지털 범죄수사를 위해 시작된 포렌식이 회계부정 등 기업 내부감사 등 수사가 필요한 영역에서 필수요소로 떠오를 것"이라며 "정보 유출사고 발생 후 빠른 원인분석과 효과적인 대응을 가능하게 할 수 있는 디지털 포렌식 준비도의 마련이 시급하다"고 강조했다.
또 이 대표는 "늘어나는 개인정보 유출사고, 해킹 등으로 인한 보안 사고에 대비해 정부의 포렌식 준비도 마련에 대한 관심과 지원이 절실하다"고 덧붙였다.