[보안강국 코리아 - 국내 기업의 정보 보안 실태]
보안의식 향상을 위한 대응책을 다각적으로 마련
기업이 직면한 보안 위험에 능동적으로 대처해야
최근 기업정보에 대한 유출경로의 다양화로 정보자산에 대한 위협이 증가하고 있다. 하지만 국내기업의 정보보안 위기관리 수준이 매우 낮다는 조사결과가 나와, 이에 대한 대응책 마련이 시급하다는 지적이 제기되고 있다.
대한상공회의소는 최근 국내기업 300개사를 대상으로‘국내기업의 정보보안 위기관리’실태조사를 실시했다. 그 결과, 전체의 97.5%가 정보보안의 중요성에 대해서는 인식하고 있지만, 응답 업체 10곳 중 7곳(68.3%)은 위기관리수준이 매우 낮은 것으로 나타났다. 특히 응답 업체의 69.5%가 과거에 내부정보 유출 경험이 있다고 응답하여, 기업의 중요자산인 내부정보유출 문제가 생각보다 심각한 것으로 조사됐다. 이러한 문제해결을 위한 시급한 과제로 기업들은‘정보보안에 대한 지속적인 인프라투자(34.9%)’와‘임직원을 대상으로 한 정기적인 교육 및 훈련실시(21.8%)’등을 꼽았다. 한편, 과거에 경험했던 정보보안 위기의 유형에 대해 41.4%가‘바이러스에 의한 사내전산망 감염’이라 답했으며, ▶해커의 공격에 의한 사내 서버침투(17.8%) ▶고객정보 데이터베이스 손실(11.8%) ▶사내 중요문서 외부유출(9.1%) ▶퇴직자에 의한 기업비밀 유출(7.8%) 등의 순으로 나타났다. 이러한 결과는 기업들에 인터넷 사용이 보편화되면서 온라인상의 정보보안 피해가 오프라인보다 더욱 심각해지는 양상을 띄우는 것으로 풀이된다. 이러한 위기경험으로 이들 업체들은 ▶사내전산망 복구에 따른 금전적 손실(38.3%) ▶기업이미지 훼손(24.7%) ▶매출액과 순이익 감소(16.0%) 등 직간접적인 피해를 본 것으로 나타났다. 이러한 피해업체의 경우 대응방안으로 38.7%가‘해커와 바이러스 침투에 대비한 방화벽 설치’라 말했고, ▶주요정보 암호화 프로그램 설치(16.4%) ▶문서보안 솔루션 도입(12.8%) ▶침입탐지시스템(IDS)설치(8.5%) 등이 뒤를 이었다. 하지만 이러한 대응방안은 아직까지도 초보 수준에 머무는 것으로 보인다. 이에 우리기업들은 향후 직면할 수 있는 다양한 유형의 정보보안 위기에 적극 대응해야 할 것이다. 특히 고객신뢰 확보와 기업가치 증대를 위해선 선진기업들이 도입하고 있는 국제보안인증 획득이나 첨단보안시스템의 도입이 필수적인 것으로 분석됐다.
비즈니스적인 시각으로 보안 문제에 접근하라
“보안의 핵심은 관리와 투자다”
안철수연구소의 창업자이자 이사회 의장인 안철수氏가 최근 한국사회의 정보보호 의식 부재에 대해 일침을 날리고, 보안 관련 투자를 늘릴 것을 주문했다. 지난달에 열린 귀국 기자간담회에서 안 의장은 연일 이어지고 있는 개인정보 유출 사고와 관련해“1000만 명이 넘는 개인정보가 한꺼번에 유출된 옥션 사태는 누구나 100% 예상할 수 있었던 일”이라고 말했다. 그는 옥션 해킹 사태 등에 대해“보안전문가들은 오래 전부터 숱하게 우려를 표명했었다”며“현 상황에서는 전 국민의 개인 정보가 이미 위험에 노출돼 있고, 기업의 보안 환경은 뚫리게 돼 있다”고 진단했다. 그는 특히“당장 피해가 없다는 이유로 정보 유출을 무서워하지 않고, 보안 문제에 대한 준비를 소홀히 하면, 사회 전체적으로 수많은 유출 사고가 발생한다”고 전했다. 또한“이처럼 위험 관리를 제대로 하지 않으면 그동안 쌓아 왔던 것을 한 번에 모두 잃어버릴 수가 있으므로, 이에 대한 사회적 공감대가 필요하다”며, 보안을 아직도 투자로 바라보지 않는 한국 사회의 안일한 시각에 대해 안타까움을 토로했다. 투자의 효율성을 철저하게 따지는 선진국 IT업체들도 예산의 10% 정도를 보안에 투자하고 있다고 전한 안 의장은“우리나라에서의 보안 투자는 1% 수준이다. 당장 비용을 절감했다고 좋아할 일이 아니다”라며, 국내 기업의 안이한 보안의식에 일침을 놓았다. 이어 안 의장은“해답은 투자”라며, 안이한 보안의식이 심각한 경영 위험 요소라는 사실을 기업들이 인지하고, 보안 관련 투자를 늘려야 한다고 거듭 강조했다. 단적인 예로 KOTRA가 발표한 국외사례에 따르면, 미국은 기업 보안관련 지출을 꾸준히 늘리고 있으며, 특히 IT업계는 여전히 기업 보안을 중요한 과제로 생각하고 있는 것으로 나타났다. 아울러, 대규모 정전사태와 같은 예기치 못한 긴급사태에도 비즈니스가 중단 없이 영위될 수 있도록 비상시스템 향상에 많은 돈을 투자하고 있다. 경기침체 때문에 지난 몇 년간 IT지출이 많이 줄어든 것은 사실이나, IT종사자들에게 기업보안 향상은 가장 중요한 선결과제가 되고 있는 것이다. 특히 IT종사자 1000명 중에 약 40%정도는 기업보안 문제를 가장 중요한 이슈로 생각하고 있으며, 이 중의 대다수가 자기 회사의 보안 관련 IT지출이 지난 6개월간 증가했다고 전했다. 또한 미국의 IT 조사 전문기관인 IDC는 기업 보안 향상 및 비상사태 대처 시스템 관련 지출이 매년 두 배 이상 성장하고 있으며, 오는 2008년까지 기업 지출액이 1160억 달러 규모에 이를 것으로 전망하고 있다.
세부적인 보안관련 규제법 제정이 선결과제
기업의 정보보호 책임론이 대두되고 있는 가운데 이에 따른 보안규제들도 새롭게 등장하고 있다. 하지만 기업들의 정보유출에 따른 사회적 책임형태의 위협요소 또한 증가하고 있는 것이 현실이다. 지난 5월, 정보보호업체 이글루시큐리티가 개최한 유저 컨퍼런스(ISUC 2008)에서 고려대학교 임종인 교수는“선진국에서는 각종 보안규제로 인해 글로벌 기업들이 평균 140개 소송에 시달리고 있다. 패소하면 수백만불에서 수십억불을 배상해야할 판”이라며“선진국에서는 기업들이 위험관리차원에서 보안을 하지 않으면 막대한 책임을 져야한다는 의식이 정립돼 있다”고 말했다. 하지만 아직 우리나라에서는 보안관련 규제들이 상세하게 마련되지 않은 상태라는 지적이 많다. 임 교수는“미국은 기업의 내부통제 강화를 위한 법, 의료분야 정보보호법, 정보유출시 기업 배상과 관련된 법, 금융 분야 정보보호 관련 법 등 각종 세부적인 규제 법안들이 마련돼 있다”며“하지만 한국은 아직 개인정보보호법도 마련이 안 된 상태여서 향후 정부의 절실한 노력이 필요한 상황”이라고 설명했다. 이에 따라 국내에서도 행정안전부와 방송통신위원회를 중심으로 개인정보보호법 마련에 박차가 가해질 전망이며, 의료정보 분야 관련법도 입법안이 마련될 예정이다. 하지만 여전히 걸음마 단계이며, 각 분야별로 세분화된 정보보호 관련 규제들이 마련돼야 한다고 전문가들은 말하고 있다. 임종인 교수는“결국 기업은 내부통제강화, 보안 프로세스 정립, 정보보호 패러다임을 전사적 위험관리차원에서 능동적인 자세로 적극적이고 통합적으로 접근해야 한다”며“적극적인 IT컴플라이언스와 개인정보보호를 통해 기업의 이미지 제고와 경영성장을 이루길 바란다”고 강조했다. NP
**************** 박스기사 처리 요망 ******************
[국제표준화기구 27001(ISO 27001)]