비관적이지만, 결국 대처해나가는 수밖에 없다. 그게 새로운 세상이라고 말하니 말이다.
6. 사베인스 악슬리 법을 구현함으로써 해결되는 정보 보호 문제는 무엇인가?
정보보호란, 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적 기술적 수단, 또는 그러한 수단으로 이루어지는 행위를 말한다.
SOX법은 정보 보호의 1차 방어수단이라고 할 수 있는 사람에 대한 문제를 해결 할 수 있다. 기업들은 직원, 고객, 협력사들이 전자적으로 조직 내부의 정보에 접속할 수 있게 해야 하기 때문에 정보 보호를 구현하기가 더 복잡하다. 대부분의 정보 침해는 조직의 정보를 의도적이거나 비의도적으로 잘못 사용하는 사람에 의해 발생한다. SOX법을 따르자면, 비의도적인 행위는 막을 수는 없겠지만, 의도적으로 레코드를 변형이나 파기하려는 행위는 제제가 가능하다.
7. 기업의 정보 보호를 위해 사베인스 악슬리 법을 어떻게 활용할 수 있는가?
SOX법을 이용하여 1차 방어 수단인 사람과 2차 방어 수단인 기술적인 측면에서 모두 활용할 수 있다. 6번 문제에서 말했다 시피 SOX법에 대한 법적 책임으로서 사람들의 불법적 행위를 처벌한다.
이전의 자료들이 파괴, 변경, 위조와 저장에 대해서 어떠한 형식이 없었다면 SOX법에 의해 형식화 되었다. 이렇게 형식화된 자료는 인증과 인가를 통하여 접근이 가능하게 되었으며 컨텐트 필터링 (스팸, 바이러스에 위협 제거), 암호화 (공개키, 단일키), 방화벽, 탐지와 대응에 대한 기술로서 정보를 보호한다.
8. 사베이스 악슬리 법을 구현함으로써 중소기업의 정보 보호에 미치는 영향은 무엇인가?
현재 중소기업에서는 정보보호에 대한 교육이 증가했다. 또한 개인정보보호에 대한 교육은 아직 실시하지 않은 쪽이 63%나 된다. 최근에 이슈가 된 것으로 내년에는 개인 정보보호에 대한 교육이 더욱 늘어날 것으로 보인다.
정보보호에 대한 투자를 살펴보게 되면 정보보호 지출에 대하여 없는 것이 절반정도이고 나머지 1%미만인 곳이 대부분이다.
정보보호에 대한 지출이 없는 이유에 대해서는 사고 피해가 없다는 것이 주된 이유이다. 사이버 보안 사고에 대한 신고는 전혀 하지 않음이 조금 증감하였고 그 차지하는 비용도 절반에 가깝다. 사이버 보안사고 미신고 이유 중 제일 문제점은 관계기관을 알지 못한다는 점이다.
이를 통해 보면 투자도 적게 할 뿐 아니라 정보보호에 대한 개념에 이해도 부족하다. 따라서 SOX법이 시행 될 경우 좀 더 본격적인 투자가 단행될 것이며 이에 앞서서 보안에 대한 개념적인 이해도도 증가될 것이다.
9. 사베인스 악슬리 법을 준수하려는 조직에 가장 큰 장애가 되는 정보 보호 문제는 무엇인가?
정보화 사회에서는 정보의 가치는 높아지는 반면에, 정보는 그 성질상 쉽게 유출될 위험도 가지고 있다. 기업 활동에 있어서도 이러한 정보의 가치가 높아지는 만큼 그 유출의 방지는 종전보다 중요한 과제가 된다.
정보보호의 관점에서 살펴볼 경우, ‘근로자의 개인정보보호’도 매우 중요한 과제이다. 정보화 사회에서는 근로자의 근로, 또는 근로자 자신도 정보화 되어, 그 정도는 더욱더 고도화 된다. 극단적으로 말하면, 근로자의 근로를 포함하는 인격 전부가 디지털 정보로 전환될 가능성조차 있다. 이것은 사용자가 근로자의 근로 또는 인격 모두를 파악할 수 있고, 이 정보는 언제나 가공 이전 가능한 상태로 축적할 수 있는 것을 의미한다. 이러한 결과 남에게는 알리조 싶지 않은 정보가 순간적으로 광범위하게 퍼지거나, 또는 자기에 관한 이미지가 네트워크를 통하여 마음대로 유통되는 등 근로자도 여러 가지 위험에 노출될 가능성이 있다.