현재 IT 기술의 컴퓨터와 인터넷의 급속한 발전 속에 우리의 실생활과 비즈니스에서 많은 도움을 받고 있고 그 의존도는 점점 높아지고 있다.
컴퓨터기술의 발달은 방대한 양의 정보를 손쉽게 처리하고 보관하고 활용할 수 있으며 인터넷을 통해 수많은 자료 검색 및 정보교류의 장으로 활용되고 있다. 특히 스마트 기기의 발달이 더해지면서 모바일을 활용하여 금융거래 및 사회적 이슈에 대한 자유분방한 토론을 이끌어 내어 여론을 형성하기도 한다.
최근 연이어 발생되는 개인정보의 유출·오용·남용 등 개인정보 침해사례가 지속적으로 발생함에 따라 개인의 신상 정보 및 민감 정보를 이용한 명의도용 전화사기 등의 정신적, 금전적 피해를 초래하고 있다. 이러한 피해를 원천적으로 방지하기 위해 지난해 2011년 9월 30일 개인정보보호법 시행에 따라 모든 공공부문과 민간부문의 단체에서 반드시 개인정보를 처리함에 있어 반드시 암호화를 수행해야 한다.
본 연구를 통해 개인정보 DB암호화 구축에 관리적 효율성을 극대화하기 위해 Risk IT 프레임워크의 전반적인 확대를 도모하고자 한다.
본 연구는 전문가 집단을 대상으로 통계적 분석을 위해 정보보호 전문가(50명), 정보보호 거버넌스 전문가(20명), Risk IT 프레임워크 전문가(30명), IT관련 업무 종사자(50명)를 대상으로 2012년 5월 21일부터 6월 3일까지 15일간 전자우편(E-mail)을 통한 설문 조사를 실시하였다. 그 결과 총 108건의 설문응답을 회수하여 분석을 수행하였다.
이 연구가 갖는 의미는 개인정보 보호법 시행에 따른 관련 기관 및 기업의 개인정보 DB암호화의 효율적 관리 방안을 Risk IT 프레임워크의 3가지 도메인인 '리스크 거버넌스', '리스크 평가', '리스크 대응'의 3가지 부문으로 내용을 구성하여 그 부문의 하위 요소 아홉 가지 비즈니스 프로세스를 통하여 기업 내 전사차원의 Risk 관리가 체계적으로 구축/운영되고 있는지에 대한 의견을 실문조사로 실시하였다.
3가지 부문은 첫째, 리스크 거버넌스 부문은 고위 경영진들이 그들의 의사결정 안에서 IT리스크의 모든 측면을 고려하여 결정을 하고 있는지, IT리스크 관리자가 설계 중이거나 실행 그리고 정상 상태의 운영 시 신뢰할 수 있는 조언자로 간주되고 IT 부서는 비즈니스 운영 리스크 업무와 기업 리스크 업무에 주요 역할을 수행하고 있는지에 기준을 두었다.
둘째, 리스크 평가 부문은 의사 결정권자는 IT리스크 투명성을 선호하며 손실 및 이득 확률, 새로운 노출 및 기회에 대한 최상의 정보를 이용할 수 있으며, 실제 운영에 대한 실제 리스크의 촉진요소가 확장된 기업을 통해 적극적으로 전달되고, 직원들이 모든 수준에서 리스크 요인의 비즈니스 관련성 결정에 직접적인 책임 있고, 기업은 공식적으로 Risk에 대한 데이터 수집, 리스크 분석 및 프로파일링 기술의 지속적인 개선을 수행하는지에 기준을 두었다.
셋째, 리스크 대응 부문은 전체 요구사항 및 리스크에 대한 대처 방법에 대해 준비되어 있는 전략과 계획을 잘 알고 있는지, 리스크 대응들이 적극적으로 현재 운영과 위협에 대해서 확장된 전체 기업 전반에 걸쳐 전달되고, 전체 기업은 일반적으로 유행적인 리스크 문제에 대응하기 위해 외부단체와 함께 협력하여 리스크 노출을 완화하고 있는지에 기준을 두었다.
연구 결과 첫째, 리스크 거버넌스 부문에서 파악된 내용은 다음과 같다.
고위 경영진들의 IT리스크에 대한 관심은 높게 나타났지만 IT리스크 관리자에 대한 체계적인 교육 및 인재 육성은 상대적으로 낮게 나타났다. 개인정보 DB암호화를 수행하기 위해서는 수많은 리스크가 산재되어 있고 이러한 리스크에 대해 효율적으로 관리하기 위해서는 반드시 고위 경영진의 높은 관심 속에 체계적인 리스크 관리 교육 및 인재 육성이 필요함을 발견할 수 있었다.
둘째, 리스크 평가 부문에서 파악된 내용은 IT관련 리스크에 대한 식별, 분석 및 보고를 효과적으로 하기위한 자료 수집은 되고 있지만 주기적인 분석 및 Risk결정 판단 프로세스 부재로 인해 Risk에 대한 최신 상태유지는 물론 리스크의 프로파일링이 이뤄지지 않아 지속적인 개선을 못하고 있음을 발견할 수 있었다.
셋째, 리스크 대응 부문에서는 리스크 발생 후 적시에 보고서를 작성하고는 있지만 리스크에 대한 명확한 분석 및 투명한 보고가 이루어 지지 않음을 알 수 있었다. 리스크 발생 이후 잔여 리스크에 대한 모니터링은 하고 있지만 수용가능 수준으로 낮추기 위한 체계적인 관리가 부족하고 리스크 발생 이후 배운 교훈 또한 체계적으로 관리되고 있지 않음을 확인할 수 있었다.
이를 통해 개인정보 DB암호화의 효율적 관리를 위해서는 전사차원의 체계적인 IT리스크 관리 방안들이 필요하다고 할 수 있다. 본 연구가 갖고 있는 한계를 넘어서 이러한 연구에 역점을 두는 후속연구가 이어졌으면 하는 바람이다.