96 정보보호 심포지엄/김세헌 과기원 교수
수정 1996-07-03 00:00
입력 1996-07-03 00:00
한국과학기술원 김세헌 교수는 2일 서울 강남구 삼성동 인터콘티넨탈 호텔에서 한국 정보보호센터 주최로 열린 「96정보보호 심포지엄」에서 최근 컴퓨터 해킹 등 정보누출이 사회문제로 대두되면서 정보의 안전한 관리 필요성이 커지고 있는 가운데 정보 기밀등급 분류및 관리기법 등에 관한 체계적 방법을 제시했다.〈편집자 주〉
원칙적으로 기업운영에 부정적인 영향을 끼칠 수 있는 정보는 모두 기밀 분류대상이 된다.경영층은 기밀분류에 대한 기본적인 정책과 균형있는 가이드라인을 수립해야 한다.
지나친 보안정책으로 너무 많은 정보를 기밀로 분류하면 이를 유지하는 과다한 행정력이 필요해져 불필요한 경비를 유발한다.또 보호해야 할 정보도 제대로 보호하지 못하는 결과를 초래한다.
반면 너무 허술한 보안정책은 중요한 정보를 제대로 보호하지 못한다.결국 경영층이 기업이 보유하고 있는 정보의 가치를정확히 인식,적절한 보안정책을 세워야 한다.
기밀을 형태별로 분류하면 취급허용범위를 기준으로 한 분류와 중요도를 기준으로 한 분류방식으로 나뉜다.
먼저 취급허용범위 기준에 의해서는 ▲극비정보 ▲부외비 정보 ▲대외비 정보 ▲일반정보 등이 있다.
극비정보는 기업이 갖고 있는 최고기밀로서 노출되면 기업의 존망에 영향을 끼치는 것이다.
부외비정보는 기업내 지위와는 관계없이 업무수행상 알 필요의 원칙에 따라 정보가 필요한 부서에 한정한 정보다.
대외비 정보는 기업의 소유권보호나 직원의 권리보호 또는 사업상 판단하기에 그 내용을 기업내로 한정해야 할 것들이다.
이밖에 비밀로 취급할 필요가 없는 것들은 일반정보로 분류된다.
중요도를 기준으로 한 분류형태는 주로 국가 안보에 관련된 기관들에서 주로 사용하던 것으로 ▲전략적 성격의 정보로 노출때 기업의 총업무 효과의 5%이상의 감소효과를 일으킬 1급비밀 ▲경영층에게만 이용 가능한 정보로 그밖에 사람들에게 노출되면 기업의 총업무효과의 1∼5%의 감소를 초래할 만한 2급비밀 ▲기업구성원에 관련된 것으로 기업외부에 노출되면 안되는 정보로서 기업내부의 윤리강령이나 직원들의 프라이버시에 관계된 3급비밀 ▲그밖의 일반정보로 나뉜다.
기밀정보 분류는 원칙적으로 정보의 발생자가 하는 것이므로 그 업무의 주관부서가 결정해야 한다.
기밀도 분류를 한시적으로 할 때도 많이 있다.예를 들어 시제품의 정보는 발표전에는 회사외부는 물론 내부에서도 필요이외의 직원에게까지 비밀로 취급해야 한다.
공개적으로 발표할 시기까지 한시적으로 비밀로 취급함을 명시할 필요가 있다.이렇게 하지 않으면 일반에 공개된 정보가 사내에서는 여전히 비밀로 취급돼 불필요해진 기밀정보가 쌓이게 된다.물론 행정력의 낭비와 보안관리의 허점이 유발되는 것은 당연하다.따라서 기밀의 특성을 잃은 정보는 즉시 기밀등급분류를 수정하는 것이 좋다.
기업에서 직원들이 기밀구분을 제대로 인식하고 있는 경우는 드물다.따라서 직원들에게 기밀도 구분의 의미를 이해시키고 모든 정보에 기밀도 구분을 부착하여 이를 회사내에 철저히 인식시키는 것이 무엇보다 중요하다.
1996-07-03 12면
Copyright ⓒ 서울신문 All rights reserved. 무단 전재-재배포, AI 학습 및 활용 금지
