2024-03-29 19:15 (금)
정보 중심의 정보보호 관리체계의 필요성②…정보이용 변화
상태바
정보 중심의 정보보호 관리체계의 필요성②…정보이용 변화
  • 길민권
  • 승인 2014.07.18 07:41
이 기사를 공유합니다

내부적인 정보이용 형태 어떻게 변했나
기존 정보보호 관리체계에서 필요한 보완점은 무엇일까. 씨드젠 김휘영 대표의 정보 중심의 정보보호 관리체계의 필요성 두번째, 조직 내에서의 정보이용의 변화를 주제로 작성된 연재 내용을 편집없이 공개한다.  [편집자 주]
 
<연재 순서>
제1화 환경변화에 따른 정보보호 관리체계의 변화
제2화 조직 내에서의 정보이용의 변화
제3화 정보유출의 원인
제4화 프로세스 중심적 정보보호 관리체계를 만든다는 것
 
◇조직에서의 정보유통 변화
전통적인 산업사회 이후에 조직에서의 커뮤니케이션은 피라미드라고 불리는 조직도 형태로 이뤄졌다. 즉, 상급자가 정보를 가진 채 하급자에게 전달해주지 않으면 정보의 유통은 절단되었다. 이러한 형태는 팀 내에서, 부서 내에서, 본부 내에서만 정보가 유통되는 되는 것을 의미한다.
그러나 지식정보 사회가 변화해 오면서 Mobile Messenger, SNS 등의 IT기술을 활용한 커뮤니케이션 수단의 발달로 정보 유통의 속도와 방식이 괄목할 만큼 증가하였다. 이런 흐름은 다시 조직 내외부의 정보전달과 커뮤니케이션의 양적 증대를 초래했다.

 
그림 1에서 볼 수 있듯, 전통적인 산업사회가 피라미드 구조의 조직형태였다면, 지식정보사회로에서의 조직구조는 유연한 형태로 변화되었다. 정확히 말하면 조직도의 형태는 그대로 이지만 정보 유통방식이 원형의 그물망 형태로 복잡하게 변화했다는 것을 의미한다. 우리가 조직 내에서 자주 볼 수 있는 TFT(Task Force Team)의 형태가 대표적이다.
 
조직이 변화됨에 따라 업무지시가 상하, 좌우, 대각 등 다양한 곳에서 업무가 내려지고, 정보유통과 협업도 다양한 형태로 이뤄지게 되어 통제, 관리, 표준화의 어려움이 나났다. 또 이러한 조직의 중요한 커뮤니케이션 정보는 공급과잉의 시대에 중요한 재화로서 가치를 지니게 되었다.

 
◇조직구성원의 정보 이용 행태 변화
산업사회 이후에 나타난 조직의 변화는 정보이용의 관점에서 상당히 큰 의미를 갖는다. 정보의 유통, 즉 정보를 관리하기 위한 대상이 실제 정보가 아니라 정보가 담겨 있는 유형의 자산에서 무형의 자산으로 이동 되었기 때문이다.
 
예전의 정보는 유형자산에 담긴 상태로 관리가 가능했다. 단일 정보는 단일 자산으로 1:1로 맵핑되었기 때문이다. 그로 인해 자산의 관리가 곧, 정보의 관리를 의미했다. 정보의 유통을 막고 싶으면 하드웨어를 통제하면 가능했다는 뜻이다.
 
예를 들면 서버에 담긴 정보를 보호하고 싶으면 장비의 입출입 대장을 쓰고 출입자를 관리하면 되었고, 사용자 PC 단에 담긴 정보를 관리하고 싶으면 USB나 CD의 입출입을 관리하면 정보의 통제가 가능했다. 그러나 지금은 다르다.
 
정보를 통제하기 위해서는 정보를 둘러싼 하드웨어만을 통제해서는 안 된다. 정보의 형태가 계속적으로 변하기 때문이다. 또한 어플리케이션을 통제하는 것으로 일부의 성과를 얻을 수는 있지만 실제 가능한 통제범위를 효과적으로 보호하기는 힘들다.
다음 ‘정보 이용행태’를 살펴보자.

 
정보는 데이터베이스에 집적되어 있거나 개인이 관리하는 형태로 보관되다가 프린트를 하여 소프트카피에서 하드카피로 변경된다. 이러한 1차 생산물은 PDF나 SCAN을 통해 이미지 형태의 소프트카피로 또다시 변경이 가능하며, 복사나 FAX를 통해 다른 사람에게 전달될 수 있다. 이러한 정보는 다시 PDF나 SCAN을 통해 소프트 카피화되며, ‘image to text’ 등의 프로그램을 통해 50~90%까지 데이터를 복원할 수 있다.
 
이러한 정보이용의 형태는 정보기술의 환경변화(‘제1화 환경변화에 따른 정보보호 관리체계의 변화 2. 정보기술의 환경변화’ 참조)에 힘입어 다양한 디바이스로 동일한 정보가 복제된다. 동일한 정보가 서버에도, 내 PC에도, 스마트패드에도 스마트폰에도 복제된다. 업무목적이기 때문에 전통적인 비인가자를 통제하는 보호대책이나, 알 권리에 따른 권한부여 역시 무력화 할 수 있다. 최근에는 비인가자나 권한부여의 미흡으로 인한 정보유출보다, 임직원의 실수와 악의적인 행동. 이 두가지 경우로 일어나는 사례가 더 많기 때문이다.
 
지난 주 제1화에서는 정보보호 관리체계를 둘러싼 외부적인 환경변화를, 이번 제2화에서는 내부적인 정보 이용행태를 살펴보았다. 다음 편에는 정보유출의 원인에 대해 살펴보겠다.
 
[글. 정보보안 전문기업 씨드젠 김휘영 대표이사]
 
<★정보보안 대표 미디어 데일리시큐!★>
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★