최근 국내 기업과 기관들이 앞다투어 구축하고 있는 보안시스템 중 발군은 단연 내부통제시스템이라고 할 수 있다. 임직원, 용역업체를 포함해 내부인력에 의한 정보유출 시도 여부를 감시하는 목적으로 구축되는 시스템이다. 보안컨설팅을 하는 입장에서는 이 시스템의 구축에 대해 적극적으로 찬성한다. 많은 기업들에게 구축을 독려하는 쪽인데 그 효과에 대해 갖는 기대치가 높기 때문이다. 이 시스템에 기대를 거는 이유는 IT 침해행위 방지에 있어서는 사람에 대한 의존치가 낮을수록 그 효과는 높다고 생각하기 때문으로 그와 관련해 네덜란드의 비교문화경영학자인 폰스 트롬페나스 박사의 연구가 재미있다.
국가 | 캐나다 | 미국 | 영국 | 서독 | 프랑스 | 인도네시아 |
신고하겠다 | 96% | 95% | 90% | 91% | 68% | 47% |
국가 | 일본 | 싱가폴 | 스페인 | 태국 | 중국 | 한국 |
신고하겠다 | 67% | 67% | 65% | 63% | 48% | 26% |
박사는 ‘친한 친구가 차를 몰고 가다가 보행자를 치었다. 목격자는 오직 나. 신고하겠는가’ 라는 질문을 여러 나라의 사람들에게 던졌고, 다음과 같은 결과를 얻었다.
흔히 우리나라 사람들을 정이 많다고 표현하는데 이 경우엔 그놈의 정이 문제를 일으킨다. 규범과 규칙보다 그놈의 정이 우선이니 말이다. 이를 기업에 적용해보면 수많은 정보유출 행위나 시도가 적발돼도 실제 신고로 이어지는 경우는 소수일 것이라 예상할 수 있다. 기업들이 준비한 신고절차도 효용이 적고, 보안교육을 통한 계몽효과도 기대한 효과를 내지 못한다면 사람이 아닌 기술을 통해 이를 보강하여야 한다는 것이 필자의 의견이며, 그 결과가 바로 내부통제시스템 구축이다.
내부통제시스템의 가장 큰 장점은 정이 없다는 것이다. 수집된 정보와 정해진 규칙에 따라 이상행위(의심행위)를 뽑아내고 침해여부를 가려낼 뿐이니 기업은 그 결과에 따라 사실을 확인하고 조치하면 그뿐이다.
아직도 많은 기업들이 정보유출과 같은 침해행위에 대해 사람을 통한 감시와 확인, 통제에 의존하고 있다. 그러나 개인정보가 유출돼 시장에서 유통되고 있는 이유 중 하나가 정 때문이라면, 정 없는 기술에 의존하자는 정나미 없는 소리를 할 수밖에 없을 것 같다.