문의상담 바로가기
  • 청렴윤리인권 자료실
  • 청렴윤리인권 사례

청렴윤리인권 사례

[기본] 기업윤리와 정보보안

관리자 2018.08.21 14:09 조회 1543

기업윤리와 정보보호


 

우리는 환경 보존에 힘쓰고, 협력업체와의 상생을 위해 노력하는 기업들을 향해 착한 기업 또는 윤리적인 기업이라고 부른다. 착한 기업의 이러한 활동은 SNS를 통해 회자되며 기업의 평판과 신뢰는 한층 올라가게 된다. 디지털 경제시대를 보자. 고객의 개인 정보는 사고로 또는 의도적으로 유출이 되어 팔리고 있다. 고객의 소중한 개인 정보는 보호되어야 하는 권리임에 틀림없다. 개인의 권리를 보호하는 기업 활동이야말로 정보가 돈이 되는 시대에 착한 기업이 해야 하는 윤리적인 행동이 아닐까?


 

이번 보고서리뷰에서는 일리노이 대학 연구(University of Illinois Law Review) 저널에 2016년 게재된지속가능한 사이버안보: 사이버공격 관리에 녹색운동으로부터의 교훈 적용(Sustainable Cybersecurity: Applying Lessons from the Green Movement to Managing Cyber Attacks)’을 통해 기업윤리와 정보보호 간의 연결고리를 찾아보고자 한다.

 


◎법규준수와 기업의 사회적 책임


이번 보고서리뷰의 논문은 환경으로부터 보안과 기업윤리의 연결고리를 찾을 수 있다고 주장하며, 미국에서는 잘 알려진 최악의 환경 재난사례인 ‘Love Canal’사건을 소개한다. 19세기 후반에서 20세기 초반 사이에, 미국 나이아가라 폭포 인근에서는 Love라는 사람의 운하공사가 경제공황 등으로 인해 중단되게 된다.


 

공사가 중단된 운하부지는 한 화학회사의 화학폐기물 매립지로 사용되었고, 10년간 축적된 화학폐기물이 묻힌 이 장소는 1달러에 나이아가라 시()에 매각되어 학교부지로 사용되었다. 덮혀진 매립장 위에 생겨난 마을의 주민들은 원인모르는 고통을 받아야 했다. 아이들의 몸에는 화상 자국이 선명했고, 마을의 유산률과 암 발병률은 타 지역에 비해 월등히 높았다. 이 사건으로 인해 수많은 환경규제들이 생겨나게 되었고 당시 이 화학회사의 행동은 위법이 아니었지만, 기업이 했어야 할 사회적 책임을 다하지 못했다는 거센 비판을 받아야만 했다.

 

기업의 사회적 책임이란 위법 여부에 초점을 맞추지 않는다. 법의 그물망에서 벗어날 수는 있어도 신뢰에 돌이킬 수 없는 손상을 입게 된다. 정보가 행동을 결정한다는 주장이 나올 만큼 정보가 전부인 시대에서, 정보가 유출이 되었을 때 법적으로 큰 책임이 없는 만큼 정보보호에 애를 쓰지 않아도 될까? 데이터가 행동을 결정하는 정보화 시대에서, 이러한 행동이 이해관계자와의 신뢰를 저버리는 행동은 아닌지 진지하게 생각해 봐야 하는 것이다.


 

◎정보보안의 중요성


본 논문에서는 신뢰를 크게 Hard trust, Real trust, Good trust 등의 세 가지로 분류하고 있다. 구체적으로, 사회 구성원들의 합의를 통해 도출된 법률과 같은 Hard trust, 기업이 외부에 비춰지는 이미지나 명성과 같은 Real trust, 마지막으로 내부 구성원의 행동을 이끌어낼 수 있는Good trust가 신뢰를 분류할 수 있는 방법 중 한 가지라는 것이다.


 

기업의 정보보호 활동을 위의 3가지 신뢰측면으로 분류해 보자. 법률과 제도의 수립(Hard trust), 개인정보보호를 위한 의지표명 등 고객을 위해 헌신하는 이미지(Real trust), 회사 내부에 윤리문화 정착(Good trust) 등을 통해 신뢰를 구축해 나갈 수 있다.


 

◎지속가능한 정보보안

시스코의 전 CEO인 존 챔버스(John Chambers)는 다음과 같은 말을 했다고 한다. “세상에는 해킹을 당한 회사와 해킹을 당한지 조차 모르는 두 타입의 회사가 있다.” 이를 기업 외부의 시선에서 바라볼 경우, 한 가지 더 치명적인 사실이 있다. “혹은 누출사실을 알리지 않은 회사.” 최근 정보유출에 대한 많은 제도와 판결들이 기업을 우선시했던 과거와는 달리 개인을 중요시하는 판결로 바뀌고 있다. 아직 완전히 드러나지 않은 심각한 문제들을 위한 대비책 마련의 필요성이 점차 강조되고 있는 것이다.


 

예측할 수 없는 내ž외부의 다양한 공격에 대응해야 하는 정보보호 활동은 매우 어려운 일임에 틀림없다. 하지만 사고가 발생했을 때, 앞서 제시한 세 가지 신뢰구축을 위해 노력한 기업과 그렇지 않은 기업을 바라보는 사회 구성원들의 시선에는 극명한 차이가 존재할 것이다.


 

본 논문은 지속가능한 정보보안을 위한 즉, 기업의 신뢰를 위한 정보보안의 여섯 가지 원칙을 제시한다. 아래에 제시한 정보보안의 여섯 가지 원칙이 우리 기업에도 적용되고 있는지 검토해 보길 권한다.


 

-기밀유지(confidentiality) : 인가되지 않은 사람으로부터 읽히거나 복사되지 않도록 보호


-온전성(integrity) : 인가되지 않은 사람으로부터의 정보 변경 및 삭제 방지


-유용성(availability) : 서비스가 손상되지 않도록 보호


-지속성(consistency) : 이용자의 기대 수준에 맞게 작동하도록 보장


-통제(control) : 접근에 대한 규제


-감사(audit) : 모든 활동에 대한 기록


 


[출처 : 기업윤리브리프스/2018-8월호]