대상기업, “전반적인 정보보호 수준 향상에 기여”

마감기간 쏠림현상, 점검 수수료 적정선 조정 등 문제점 남아...

정보통신부는 “지난해 정보보호안전진단 수검 업체는 총 142개 업체로, 4개 업체가 면제를 받고 138개 업체가 안전진단을 받았다. 그 중 자발적 안전진단 수검업체는 10개 업체(IDC 1개업체, VIDC 2개업체, 쇼핑몰 7개업체)였다고 최종 발표했다.  

                                  <2005 정보보호 안전진단 수검 업체 현황>

현재 정보보호컨설팅 전문업체로 지정된 10개 업체중 8개 업체가 안전진단 수행을 실질적으로 하고 있으며 8개 업체 당 평균 13.8건의 안전진단을 수행했다. 한편 안전진단 수검이 4~7월에 집중적으로 몰리면서 안전진단 수행업체의 인력 부족현상이 발생하는 등 법정 마감 기한에 임박해 안전진단 수검이 이루어지는 현상이 발생해 문제점으로 지적되고 있다.

정보통신부 관계자는 “2005년 안전진단 결과 안전진단 대상업체들의 정보보호 수준이 한 단계 향상되는 계기가 됐으며 직원들의 정보보호 인식을 제고하는데 긍정적인 효과가 컸다”고 자평했다.

세부적인 성과를 살펴보면, 주요정보통신서비스제공자(ISP)들은 “전반적으로 높은 정보보호 수준을 유지하게 됐고 정보보호 방침 및 지침 수립과 정보보호 시스템 도입 등이 활발하게 이루어졌다”고 평했다.

집적정보통신시설사업자(IDC)는 “안전진단과 사전컨설팅을 통해 정보보호 관리체계 정비를 강화하게 됐고  정보보호 활동을 위한 시스템을 체계화 하는데 효과적이었다”고 밝혔다.

쇼핑몰 등 기타정보통신서비스제공자들은 “조직 전반의 정보보호 체계를 정비할 수 있는 기회였으며 고객 정보보호를 위한 정보보호 활동이 강화됐다”고 말했다. 

정보보호 안전진단 소요 기간을 살펴보면, 전체 평균 5.8일의 기간이 소요됐고 대상자의 55.6%가 5일 이내, 24.2%가 5~10일 이내 수검을 완료했다.

안전진단 수행과정에서 정보보호에 대한 CEO의 관심도를 묻는 설문 응답 결과 대상업체 CEO의 65%가 높은 관심도를 보인 점도 특이 사항이다.

                               <안전진단 대상 기업 CEO의 정보보호 관심도>

또한 안전진단 대상자의 59.6%가 안전진단 제도 시행에 대해 ‘만족’한다고 응답했으며 대체로 긍정적인 반응을 보였다.

                                       <안전진단 제도 시행에 대한 만족도>

정보보호전담조직의 운영과 구성 측면에서 보면 안전진단 수검 이전 45.8%에서 이후에 79.9%로 33.9%가 상승했으며, 나머지 20.1%는 전산관련 부서에서 정보보호 업무를 겸직하고 있어 정보보호 업무를 전담할 수 있는 전문인력 배치와 조직관리 강화가 필요한 것으로 드러났다.

특히 정보보호 책임자 지정에는 수검 이전이 56.7%인 반면 수검 이후 100%로 43.3%가 상승했고 정보보호 책임자의 직급 분포를 보면 임원급이 58.2%, 부서장이 36.4%, 대리급이 5.4%로 정보보호 관리자의 위상이 상승했음을 볼 수 있다. 전문가들은 “비상사태 발생 시 대응에 대한 결정 권한 위임이 선결돼야 한다”고 강조했다.

정보보호 방침 및 지침 수립상태를 보면, 안전진단 이전은 55.9%에서 이후에는 100%로 대부분의 기업이 방침과 지침을 마련하게 됐다. 특히 ISP 업체와 IDC업체의 경우, 정보보호 방침 및 지침 수립과 동시에 책임자를 지정하고 쇼핑몰 등 기타정보통신서비스 업체의 경우 54.8%가 안전진단을 위해 지침을 수립함으로써 체계적인 보안활동 기반을 구축하게 됐다.  

또한 안전진단 기간에 정보보호컨설팅 및 취약점 점검 현황은 컨설팅을 받은 업체는 46.7%며, 안전진단과 연계해 취약점 점검을 실시한 업체 비율은 58.3%에 이른다. 그와 연계해 정보보호 제품 도입도 활발하게 이루어졌다.

방화벽 도입은 85%에서 91.7%로 상승했고, 백신 도입은 71.7%에서 73.7%로 늘어났다. 또한 침입탐지시스템 도입은 53.5%에서 65%로 11.5% 늘어나 정보보호에 대한 실질적인 투자가 이루어졌다.

보안패치 관리는 안전진단 이전 86.4%에서 100%로 관리 수준이 증가했고 규모가 작은 중소기업들에게 많은 도움을 준 결과가 됐다. 

                                          <안전진단 이전/이후 정보보호조치별 이행 효과>

백업 설비 및 시설 설치 운영부문은 안전진단 이전 98.3%에서 100%로 완벽하게 시행되고 있으며 안전진단 수검 전에 가장 높은 이행률을 보인 항목으로, 해킹 등 침해사고 대비 방법으로 기업들이 백업을 선택하고 있는 것으로 드러났다.

한국정보보호진흥원 안전진단 관계자는 “효율적인 안전진단 수검 환경을 조성하기 위해 풀어야 할 숙제들도 있다”며 “진단 수수료가 적은 중소규모 업체들에 대한 안전진단 수행 기피 현상과 특정 기간의 안전진단 쏠림 현상 그리고 진단하는 기업과 받는 기업간의 적정 수수료 결정이 원만하게 해결돼야 한다”고 강조했다. 

그는 이 문제에 대해 “안전진단 소요일수가 많은 대형 ISP, IDC, 쇼핑몰 등의 사업자는 1/4분기에 진단을 받을 수 있도록 업무를 추진할 필요가 있고 안전진단대상자는 일정, 예산 등을 고려한 안전진단 계획을 조기에 수립해 업무를 추진해야 한다”고 밝혔다. 

정통부 관계자는 “안전진단 제고의 인식제고를 위한 PR 및 현실적인 지원노력이 미흡했고 안전진단 대상자의 진단 준비 노력이 부족해 미흡한 상태에서 수검이 이루어진 경향도 있고 안전진단 대상 여부 확인에 대한 업체의 수동적인 자세로 진단 시기가 지연 되는 등 개선해야 할 부분이 많다”고 지적했다.

또한 그는 “올해부터 안전진단 수행업체에 대한 철저한 감독 및 진단결과에 대한 검증을 강화하고 지난해 정부 주도의 안전진단대상자 선정방식에서 올해는 업체의 자율적 판단에 맡길 예정”이라고 밝혔다.

정통부는 올해 안전진단 방향에 대해 “지난해까지는 제도 시행 초기로 정보보호정책 등 최소한의 관리적 보호조치에 중점을 두었다면 올해는 기술적 보호조치 이행 강화 등 질적 수준 제고에 중점을 둘 예정”이라며 “안전진단 결과 검증을 위한 방법 및 후속조치 시행 등 현장검사를 강화할 방침”이라고 강조했다.

이밖에도 “정보보호 안전진단 시행에 따른 제도 개선 검토와 IT 환경 변화에 따른 안전진단 기준 고도화 연구, 국내외 관련 제도 및 기술 동향 분석 등 안전진단 수준 강화를 위해 노력하겠다”고 말했다.

[길민권 기자(is21@infothe.com)]

 <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>