보안의식 향상을 위한 대응책을 다각적으로 마련 기업이 직면한 보안 위험에 능동적으로 대처해야
최근 기업정보에 대한 유출경로의 다양화로 정보자산에 대한 위협이 증가하고 있다. 하지만 국내기업의 정보보안 위기관리 수준이 매우 낮다는 조사결과가 나와, 이에 대한 대응책 마련이 시급하다는 지적이 제기되고 있다.
대한상공회의소는 최근 국내기업 300개사를 대상으로‘국내기업의 정보보안 위기관리’실태조사를 실시했다. 그 결과, 전체의 97.5%가 정보보안의 중요성에 대해서는 인식하고 있지만, 응답 업체 10곳 중 7곳(68.3%)은 위기관리수준이 매우 낮은 것으로 나타났다. 특히 응답 업체의 69.5%가 과거에 내부정보 유출 경험이 있다고 응답하여, 기업의 중요자산인 내부정보유출 문제가 생각보다 심각한 것으로 조사됐다. 이러한 문제해결을 위한 시급한 과제로 기업들은‘정보보안에 대한 지속적인 인프라투자(34.9%)’와‘임직원을 대상으로 한 정기적인 교육 및 훈련실시(21.8%)’등을 꼽았다. 한편, 과거에 경험했던 정보보안 위기의 유형에 대해 41.4%가‘바이러스에 의한 사내전산망 감염’이라 답했으며, ▶해커의 공격에 의한 사내 서버침투(17.8%) ▶고객정보 데이터베이스 손실(11.8%) ▶사내 중요문서 외부유출(9.1%) ▶퇴직자에 의한 기업비밀 유출(7.8%) 등의 순으로 나타났다. 이러한 결과는 기업들에 인터넷 사용이 보편화되면서 온라인상의 정보보안 피해가 오프라인보다 더욱 심각해지는 양상을 띄우는 것으로 풀이된다. 이러한 위기경험으로 이들 업체들은 ▶사내전산망 복구에 따른 금전적 손실(38.3%) ▶기업이미지 훼손(24.7%) ▶매출액과 순이익 감소(16.0%) 등 직간접적인 피해를 본 것으로 나타났다. 이러한 피해업체의 경우 대응방안으로 38.7%가‘해커와 바이러스 침투에 대비한 방화벽 설치’라 말했고, ▶주요정보 암호화 프로그램 설치(16.4%) ▶문서보안 솔루션 도입(12.8%) ▶침입탐지시스템(IDS)설치(8.5%) 등이 뒤를 이었다. 하지만 이러한 대응방안은 아직까지도 초보 수준에 머무는 것으로 보인다. 이에 우리기업들은 향후 직면할 수 있는 다양한 유형의 정보보안 위기에 적극 대응해야 할 것이다. 특히 고객신뢰 확보와 기업가치 증대를 위해선 선진기업들이 도입하고 있는 국제보안인증 획득이나 첨단보안시스템의 도입이 필수적인 것으로 분석됐다.
비즈니스적인 시각으로 보안 문제에 접근하라
▲ 사진 1. 지난 4월에 열린 차세대 보안 전문 세미나 ‘NES 2008’에서는 네트워크접근제어 기술과 통합보안위험관리, 내부정보유출을 주제로 다양한 보안 전략과 신기술이 소개되었다.
국내기업의 정보보안 예산규모가 전체 IT예산의 1~5% 정도에 그치고 있는 것으로 드러나 선진기업의 10% 이상에 비해 크게 부족한 수준인 것으로 밝혀졌다. 특히 자사의 정보보안 위기관리의 가장 중요한 문제점으로 전체의 44.8%가‘인프라구축관련 예산부족’을 들고 있어 무엇보다 충분한 예산확보가 근본적인 문제해결을 위한 급선무인 것으로 조사됐다.“최근 정보보안 위기관리가 기업 경쟁력의 새로운 척도로 부상하고 있다”고 밝힌 대한상공회의소의 한 관계자는“기업의 중요한 정보자산인 기술을 보호하고, 특히 임직원의 자발적인 정보보안 의식의 향상을 위해선 경영시스템 전반에 걸친 종합적인 위기관리체계 구축이 절실히 필요하다”고 주장했다. 더욱이 최근 들어 각종 대형 보안사고가 잇달아 터져 나오면서 정보보안의 중요성이 점점 커지고 있는 것과 관련해 윤종기 한국IBM SW사업본부 전무는 자신의 칼럼을 통해“국내 굴지의 이동통신사와 전자상거래기업이 해킹으로 인해 개인정보를 도둑맞은 것은 물론 청와대조차 해킹의 피해자가 된 현실은 우리의 정보보안 환경의 취약성을 잘 드러낸다”고 지적했다. 하지만 이번 사고가 국내 전반의 정보보안 인프라스트럭처와 역량을 강화할 수 있는 절호의 기회가 될 수 있다고 설명한 윤 전무는 기업 환경에 맞는 정보보안 체계를 구축하려면, 보안 문제를 정보기술(IT) 인프라스트럭처만이 아닌 비즈니스적인 시각에서 함께 접근해야 한다고 전했다. 즉, IT는 보안에 있어서 훌륭한 도구지만 비즈니스적인 목적에 부합해 활용돼야만 그 효과를 제대로 볼 수 있다는 것이 그의 설명이다. 이른바 최고보안책임자(CISOㆍChief Information Security Officer)를 임명하고, 그 사람에게 조직 전체의 보안책임을 부여해야 한다는 것이다.“우리 회사에 맞는 보안 정책을 실행하는 노력도 필요하다”고 밝힌 윤종기 전무는“수립된 보안 정책이 반드시 실행돼야 하며, 이를 위해서는 지속적인 교육이 필요하다”고 피력했다.
“보안의 핵심은 관리와 투자다”
▲ 사진 2. 안철수연구소의 창업자이자 이사회 의장인 안철수 씨는 한국 사회의 정보보호 의식 부재에 대해 일침을 날리고, 보안 관련 투자를 늘릴 것을 주문했다.
안철수연구소의 창업자이자 이사회 의장인 안철수氏가 최근 한국사회의 정보보호 의식 부재에 대해 일침을 날리고, 보안 관련 투자를 늘릴 것을 주문했다. 지난달에 열린 귀국 기자간담회에서 안 의장은 연일 이어지고 있는 개인정보 유출 사고와 관련해“1000만 명이 넘는 개인정보가 한꺼번에 유출된 옥션 사태는 누구나 100% 예상할 수 있었던 일”이라고 말했다. 그는 옥션 해킹 사태 등에 대해“보안전문가들은 오래 전부터 숱하게 우려를 표명했었다”며“현 상황에서는 전 국민의 개인 정보가 이미 위험에 노출돼 있고, 기업의 보안 환경은 뚫리게 돼 있다”고 진단했다. 그는 특히“당장 피해가 없다는 이유로 정보 유출을 무서워하지 않고, 보안 문제에 대한 준비를 소홀히 하면, 사회 전체적으로 수많은 유출 사고가 발생한다”고 전했다. 또한“이처럼 위험 관리를 제대로 하지 않으면 그동안 쌓아 왔던 것을 한 번에 모두 잃어버릴 수가 있으므로, 이에 대한 사회적 공감대가 필요하다”며, 보안을 아직도 투자로 바라보지 않는 한국 사회의 안일한 시각에 대해 안타까움을 토로했다. 투자의 효율성을 철저하게 따지는 선진국 IT업체들도 예산의 10% 정도를 보안에 투자하고 있다고 전한 안 의장은“우리나라에서의 보안 투자는 1% 수준이다. 당장 비용을 절감했다고 좋아할 일이 아니다”라며, 국내 기업의 안이한 보안의식에 일침을 놓았다. 이어 안 의장은“해답은 투자”라며, 안이한 보안의식이 심각한 경영 위험 요소라는 사실을 기업들이 인지하고, 보안 관련 투자를 늘려야 한다고 거듭 강조했다. 단적인 예로 KOTRA가 발표한 국외사례에 따르면, 미국은 기업 보안관련 지출을 꾸준히 늘리고 있으며, 특히 IT업계는 여전히 기업 보안을 중요한 과제로 생각하고 있는 것으로 나타났다. 아울러, 대규모 정전사태와 같은 예기치 못한 긴급사태에도 비즈니스가 중단 없이 영위될 수 있도록 비상시스템 향상에 많은 돈을 투자하고 있다. 경기침체 때문에 지난 몇 년간 IT지출이 많이 줄어든 것은 사실이나, IT종사자들에게 기업보안 향상은 가장 중요한 선결과제가 되고 있는 것이다. 특히 IT종사자 1000명 중에 약 40%정도는 기업보안 문제를 가장 중요한 이슈로 생각하고 있으며, 이 중의 대다수가 자기 회사의 보안 관련 IT지출이 지난 6개월간 증가했다고 전했다. 또한 미국의 IT 조사 전문기관인 IDC는 기업 보안 향상 및 비상사태 대처 시스템 관련 지출이 매년 두 배 이상 성장하고 있으며, 오는 2008년까지 기업 지출액이 1160억 달러 규모에 이를 것으로 전망하고 있다.
세부적인 보안관련 규제법 제정이 선결과제
▲ 사진 3. 한국에너지기술연구원 한문희 원장이 노르웨이 DNV인증원으로부터 정보보호 국제 표준 인증인 ISO 27001을 획득하였다.
기업의 정보보호 책임론이 대두되고 있는 가운데 이에 따른 보안규제들도 새롭게 등장하고 있다. 하지만 기업들의 정보유출에 따른 사회적 책임형태의 위협요소 또한 증가하고 있는 것이 현실이다. 지난 5월, 정보보호업체 이글루시큐리티가 개최한 유저 컨퍼런스(ISUC 2008)에서 고려대학교 임종인 교수는“선진국에서는 각종 보안규제로 인해 글로벌 기업들이 평균 140개 소송에 시달리고 있다. 패소하면 수백만불에서 수십억불을 배상해야할 판”이라며“선진국에서는 기업들이 위험관리차원에서 보안을 하지 않으면 막대한 책임을 져야한다는 의식이 정립돼 있다”고 말했다. 하지만 아직 우리나라에서는 보안관련 규제들이 상세하게 마련되지 않은 상태라는 지적이 많다. 임 교수는“미국은 기업의 내부통제 강화를 위한 법, 의료분야 정보보호법, 정보유출시 기업 배상과 관련된 법, 금융 분야 정보보호 관련 법 등 각종 세부적인 규제 법안들이 마련돼 있다”며“하지만 한국은 아직 개인정보보호법도 마련이 안 된 상태여서 향후 정부의 절실한 노력이 필요한 상황”이라고 설명했다. 이에 따라 국내에서도 행정안전부와 방송통신위원회를 중심으로 개인정보보호법 마련에 박차가 가해질 전망이며, 의료정보 분야 관련법도 입법안이 마련될 예정이다. 하지만 여전히 걸음마 단계이며, 각 분야별로 세분화된 정보보호 관련 규제들이 마련돼야 한다고 전문가들은 말하고 있다. 임종인 교수는“결국 기업은 내부통제강화, 보안 프로세스 정립, 정보보호 패러다임을 전사적 위험관리차원에서 능동적인 자세로 적극적이고 통합적으로 접근해야 한다”며“적극적인 IT컴플라이언스와 개인정보보호를 통해 기업의 이미지 제고와 경영성장을 이루길 바란다”고 강조했다. NP
**************** 박스기사 처리 요망 ******************
[국제표준화기구 27001(ISO 27001)]
▲ 사진 4. 한국후지제록스는 ISO27001 인증획득을 위해 정보보안 추진 사무국을 운영하며 문서자산과 물리적 자산, 소프트웨어 자산 등 총 7개 그룹으로 정보자산을 분리해 보다 실질적인 관리가 이루어질 수 있도록 했다.
정보보호에 대한 기업의 인식과 관심이 높아지면서‘ISO27001'에 대한 기업들의 관심도 증가하고 있다. ISO27001은 국제표준화기구에서 제정한 국제 보안표준규격으로 정보보호 분야에서 가장 권위 있는 국제인증으로 통한다. 이 인증을 획득하기 위해서는 정보보호 관리체계 기준에서 정하는 위험관리, 보안정책, 자산분류 및 통제 등 11개 세션, 133개 항목에 대한 심사과정을 통과해야 한다. ISO27001의 11개 세션은 정보보호 정책, 정보보호 조직 및 구성, 자산관리, 인적보안, 물리적․환경적 보안, 통신 및 운영 관리, 접근통제, 시스템 도입․유지보수, 침해사고대응관리, 사업연속성 관리, 준거성 등이다. 인증심사 절차는 우선 ISO27001인증을 받기 위한 조직의 정보보호관리체계 구조를 구축하고 인증기관에서 심사에 필요한 기간 및 비용을 산정, 인증심사 요청서 및 계약서 작성·제출, 인증기관에 의한 서면검토 실시, 인증기관에 의한 현장심사 실시 및 개선 권고사항 제시, 심사종료 및 인증서 발행 순이다. 인증심사에서 문서심사는 정보보호관리체계 프레임웍 검토, ISMS 범위, 위험분석 및 관리기법의 적정성, 적용성 보고서, 정보보호정책서 및 보안관련 문서 검토 등이 이루어지고, 현장심사는 구현된 ISMS의 효과성, 정보보호 정책 및 보안관련 문서 내용에 대한 준수, 인터뷰, 관찰, 이행관련 기록 확인 등으로 전개된다.
