인터넷 보급과 정보기술(IT)의 발전은 물리적 제약으로 인한 한계를 해소해 준 반면 우리에게 정보 보안이라는 과제도 함께 가져다주었다. 점점 더 많은 커뮤니케이션과 업무가 인터넷이라는 디지털 환경 속에서 이루어지면서 정보를 지켜야 하는 영역이 더욱 넓어지고 날로 지능화되는 보안 공격으로 인해 정보 보안의 어려움이 가중되고 있다.올 상반기에만 전 세계적으로 월평균 2억4500만 건 이상의 악성코드 공격 시도가 탐지됐으며 대다수의 공격이 새로운 유형의 보안 위협으로 나타나 그 위험도가 날로 심각해지고 있다. 또한 최근 아시아·태평양 및 일본 지역 중소기업들을 대상으로 한 설문 조사에서 한국의 중소기업 중 68%가 보안 침해를 경험한 것으로 나타났으며 이는 아·태 및 일본 지역의 평균 수치인 52%보다 훨씬 높아 정보 보호에 대한 대책 마련이 시급함을 보여주었다.기업과 정부기관의 취약한 보안 환경은 개인의 정보 보호에도 큰 영향을 미친다. e커머스, e뱅킹, e정부 서비스 등 현재 우리가 누리는 정보화 사회의 핵심 서비스의 대부분은 온라인 컴퓨팅 환경을 통해 제공되고 있다. 이러한 환경 속에서 정보의 제공자가 정보에 대한 안전한 관리를 요구하고 해당 기업이나 정부 기관이 그에 대한 신뢰와 확신을 보장해야 하는 것은 당연한 일이다. 정보 제공자의 정보가 유출돼 범죄에 악용될지도 모른다는 불안감을 가지게 된다거나 실제 보안 사고가 발생해 개인 및 기업 정보가 유출된다면 해당 기업이나 정부기관의 신뢰는 큰 타격을 입게 될 것이다.해외 주요 국가들은 이른바 정보화 시대의 ‘굿 거버넌스(Good Governance)’ 실현을 위해 정부 주도하에 국민 개인의 정보 보호를 위한 정책 도입 및 법률 제정에 활발히 나서고 있다. 미국은 미국 내 30개 이상의 주에서 정보 유출 사실의 통지를 핵심으로 하는 정보 보호 법률을 시행하고 있으며 버락 오바마 대통령의 지휘 아래 백악관 내 정부기관들의 사이버 보안 업무를 총괄하는 ‘사이버 차르(Cyber Czar)’라는 직제를 신설했다. 또한 유럽연합(EU)은 인터넷 서비스 업체(ISP)가 정보 유출 사고 발생 시 이를 당국에 의무적으로 신고하는 조항을 만들고, 아시아에서는 호주가 최초로 정보 유출 신고 의무를 법률화하는 등 국가 차원에서 개인 정보 보호에 힘을 쏟고 있는 점은 우리에게 시사하는 바가 크다.정보 보안과 관련해 국내에도 다양한 법률과 규제가 존재하지만 종합적이고 견고한 보안 프레임워크를 마련하기보다는 개별적인 보안 이슈에 초점이 맞춰져 있어 보안의 실효성을 충분히 높이지 못하고 있는 것이 현실이다. 가령 개인 정보 보호의 경우에는 선진국처럼 개인 정보의 정의·보호 의무뿐만 아니라 정보 수명 주기 관리를 위한 정보 유출을 통지하는 조항을 정책적으로 마련하는 것이 필요하다.강력하고 체계적인 정보 보안 환경을 확립하기 위해서는 정보 보안에 대한 시각과 접근 방법을 근본적으로 변화시켜야 한다. 정보가 어떻게 유통되는지, 누구에 의해서 접근되는지, IT 리스크와 비즈니스의 우선순위는 무엇인지, IT 환경은 어떻게 구성돼 있는지, 보안사고 발생 시 대응 체계는 갖추고 있는지 등 다각적인 분석을 거쳐 이를 바탕으로 기술과 사람, 그리고 프로세스를 유기적으로 운영하는 포괄적인 보안 프레임워크를 마련해야 한다.이러한 보안 프레임워크가 성공적으로 운영되기 위해서는 무엇보다 개인, 기업, 정부 모두 정보 보안에 대한 올바른 인식과 능동적인 참여가 중요하다. 아무리 뛰어난 보안 기술과 합리적인 프로세스를 갖췄다고 하더라도 이를 잘 활용하고 지켜가지 않는다면 안전한 정보화 사회는 요원한 일이 될 것이다. 우리가 이룩한 ‘IT 강국’, 이제는 ‘정보 보안 강국’이라는 자랑스러운 이름을 가질 수 있도록 우리 모두가 노력할 때다.약력: 1968년 서울 출생. 미국 텍사스대학 경영학 학사 및 법학 박사. 2001~04년 아서D.리틀 경영 컨설턴트. ABS 벤처스(도이체방크) 실리콘밸리 지점 파트너. 2005년 시만텍코리아 전무. 2008년 대표이사(현).