• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정보보호 피해, 기업별 연간 1,168시간 2006.01.19

정보보호 투자의 정량적 관리기법과 경제성마련 해야...

정보보호 전문기업과 학계, 정부당국 모두의 힘이 필요


한국침해사고대응팀협의회(CONCERT)는 지난해 11월 21일부터 31일 총 11일간 320개 회원사 중 205개 사를 대상으로 총 60문항의 ‘정보보호 실태조사’를 실시해 그 결과를 KISA 웹진 <월간정보보호뉴스>에 발표했다.


이번 조사를 총괄한 한국침해사고대응팀협의회 측은 “이번 조사는 CONCERT 회원사들의 정보보호에 대한 인식을 파악하고 실제 침해사고 발생 정도 및 이에 대한 대응을 살피는 데 목적이 있었다”며 특히 “정보보호 투자의 경제적 가치 인식의 정도와 정보보호 투자효과 인식정도를 알아보기 위한 온라인 조사였다”고 밝혔다.


‘정보보호 투자를 얼마나 제대로 관리하고 있는가’란 물음에 대해 조사대상 기업들중 79.2%의 기업이 ‘필요하다’고 답해 대다수 기업들이 관리의 필요성을 절감하고 있는 것으로 나타났다. 반면 정보보호 정량적 관리수준을 묻는 질문에는 39.6%만이 ‘관리를 잘하고 있다’고 답했고 34%는 ‘관리하지 않고 있다’고 답해, 필요성에 비해 정보보호 투자효과 관리 수준은 미흡한 상태로 드러났다. 

 


‘정보보호 투자효과 극대화를 위한 조건’에는 34%의 응답자들이 ‘정보보호 경제성에 대한 인식’을 꼽았고 ‘경제적 평가기준 수립’과 ‘경제적 평가 프로세스’ 등의 순으로 답했다. 이에 협의회 측은 “정보보호 경제성에 대한 인식제고 문제는 비단 보안하는 사람들만 뭉친다고 해서 해결되는 문제가 아니라 기업의 ‘보안전문가’들의 역할이 가장 중요하다”고 덧붙였다.

 


또한 정보보호가 기업가치에 기여하는 부분을 묻는 질문에 45.3%의 기업들이 ‘마케팅 가치(영업효과)’라고 응답했고 브랜드 가치제고와 같은 재무적 가치를 꼽은 응답자들은 28.3%에 그쳤다. 기업들은 여전히 정보보호의 가치 수준을 ‘생산적 이익’보다는 ‘피해 최소화’라는 소극적 수준에 한정시켜 평하고 있는 것으로 나타났다.


반면 정보보호 투자에 따른 실제 체감효과를 묻는 질문에는 ‘마케팅적 이익’ 보다는 정보보호에 관련한 업무협조, 관계향상 등 ‘전략적 이익’에서 많은 효과를 체감한 것으로 나타났다. 정보보호 투자를 통해 기업이 원하는 것은 마케팅적 이익인 반면 실재 정보보호 담당자들이 체감한 것은 전략적 이익이었던 것.


이 결과에 대해 “응답에 임한 정보보호 담당자들이 회사 매출이나 브랜드 관리업무에 직접적 연관성이 없기 때문인 것으로 보이며 정보보호 담당자들이 스스로 속한 기업 내에서 각 부서간 원활한 업무 협조와 유기적 커뮤니케이션을 이끌어내야 할 필요가 있음을 말해준다”고 협의회는 설명했다.

 


보안 침해사고 언론유포시 영향 정도와 관련해서는 해당기업의 이미지 하락폭이 평균 25% 하락하는 것으로 나타났고 매출액은 12.2%, 주식 일일 하락율은 4.3% 등으로 나타났다. 각종 언론에 게재되는 기업 침해사고 발생 관련 기사는 실제로 발생하는 사고들의 극히 일부에 불과한 것도 이와 같은 이유 때문인 것으로 밝혀졌다.

 


그렇다면 직원들이 정보보호와 관련된 문제로 인해 실제 입게 되는 피해는 얼마나 될까. 악성코드의 경우 연평균 3.9회의 침해사고를 야기한 것으로 나타났고 이로 인한 시스템 비정상 가동시간은 평균 5.3시간, 근무에 영향을 받은 직원 수는 38.1명 수준인 것으로 드러났다.


이를 시간상으로 환산하면 악성코드의 경우 774.9시간, 애드웨어/스파이웨어는 93.3시간, 외부로부터 비인가 접근이 77.6시간, Dos 공격이 5시간으로 나타났다. 즉 정보보호 관련 문제로 직원들이 피해를 입은 시간은 총 950시간으로 나왔지만 정보 시스템 업무 의존도까지 고려하면 피해시간은 1,168시간으로 늘어난다. ‘시간=돈’이라는 개념하에 그 피해비용은 각 기업이 계산해야 한다.


이번 조사와 관련 협의회 관계자는 “기업 정보보호 투자의 정량적 관리의 필요성을 대다수의 기업들이 절감하고 있고 이 같은 추세가 앞으로도 지속될 것이라는 점은 중요한 부분이며 이를 위한 각 기업의 로드맵 마련이 시급한 실정”이라고 말했다.


끝으로 그는 “정보보호 투자의 정량적 관리나 그 투자의 경제성에 대한 근거 마련은 몇 명의 정보보호 담당자에 의해 만들어 질 수 없다”며 “정보보호 전문기업과 학계, 정부당국 모두의 힘이 합쳐져야 한다”고 강조했다. 


또한 “지금 상황에서는 정보보호 투자의 정량적 관리기법이나 투자의 경제성에 대한 근거확보를 마련하는 것이 기업 보안담당자들에게 날개를 달아주는 것이고 기업 정보보호의 수준을 제고할 수 있는 첩경이 될 수 있을 것”이라고 밝혔다.   

[길민권 기자(is21@infothe.com)]

         

 <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>