방송통신위원회(위원장 최시중)와 한국정보보호진흥원(원장 황중연)이 실시한 ‘2008년 정보보호 실태조사 결과’에 따르면 기업들의 사이버환경에 대한 불안감은 늘어났음에도 불구 정보보호 침해에 대한 대응은 미비한 것으로 나타났다.

조사에 따르면, 공식적으로 문서화된 정보보호 정책을 수립한 기업은 33.4%이고 40%는 내부 사용자에 대한 정보보호 가이드를 제정ㆍ운영하고 있는 것으로 나타났다.

웹사이트를 통하여 개인정보를 수집하고 있는 기업 대부분은 개인정보 수집 절차를 준수하고 있다고 응답했다. 기업의 정보보호 수준에 대해 6점을 척도로 평가한 결과, ’07년 평균 4.44점에서 ’08년 평균 3.53점으로 0.91점 하락했으며, 매우 안전하지 않거나(1점) 안전하지 않다(2점)는 응답이 12%로 나타나 안전하지 않다는 응답이 전년도보다 5.4% 증가했다.

정보보호책임자(CSO)를 임명하고 있는 기업 12.2%

정보보호 관련 최고 책임자인 CSO를 임명하고 있는 기업의 비율은 여전히 저조한 수준이다. 조사에 응답한 기업 중에서 정보보호책임자(CSO, Chief Security Officer)는 12.2%, 정보관리책임자(CIO, Chief Information Officer)는 18.9%, 개인정보보호책임자(CPO, Chief Privacy Officer)는 웹사이트를 통해서 개인 정보를 수집하는 사업체의 31.5%가 임명하고 있다고 답했다.

정보보호에 대한 교육의 필요성은 공감하는 분위기였다. 조사에서 정보보호 교육이 필요하다고 보는 기업은 전체의 49.1%이고, 개인정보 수집 기업의 93.7%는 개인정보 관리자 대상 교육이 필요하다고 응답했다.

허나 정보보호 교육을 실시하는 기업은 13.7%에 불과했다. 정보보호 교육을 실시한 경우, 교육내용은 대부분 일반 직원 대상의 정보보호 기초교육으로 나타났다.

게다가 정보보안 침해사고에 대응하기 위한 활동을 하지 않는다고 답한 기업은 61.1%로 높게 나타나 그 심각성을 드러냈다.

개인정보 침해 사후처리 대비 늘어

개인정보를 수집하는 인터넷기업중 개인정보 침해사고에 대한 사후처리 방침을 공식적으로 제정하고 있는 비율은 32.8%로 나타났다. 또한 작년대비 3.6% 증가한 수치다. 재해나 침해사고에 대비해 비상복구계획을 수립/운영하고 있는 기업은 ‘07년 26.4%에서 ’08년 31.1%로 증가했다. 이는 전년대비 4.7% 증가한 수치다.

국내 사업체의 정보보호를 위한 투자 수준은 전반적으로 개선되고 있다고 나타난 가운데 사이버 보안사고 대비 보험가입은 가입률이 저조한 것으로 나타났다.

사이버 보안사고가 발생해도 신고하지 않아

응답한 사업체중 50.3%가 사이버 보안사고가 발생해도 신고하지 않는다고 답해 실질적인 보안 사고의 잠재 위험성은 나타난 것 보다 높을 것으로 예상된다. 보안사고에도 불구 신고를 하지 않는 이유는 ‘신고기관을 모르기 때문’이라는 응답이 가장 많았다.

특히 웜/바이러스 및 애드웨어/스파이웨어에 대한 사고가 가장 많은 것으로 나타나 이들이 국내 기업의 경제적 손실을 유발하는 인터넷 침해사고 주요 원인으로 나타났다. 또한 매출손실, 업무효율 저하 등 사업체에 실질적인 피해를 입힌 침해사고 원인 역시 웜/바이러스 및 애드웨어/스파이웨어인 것으로 파악됐다.

이런 위협의 주요 감염 경로는 ‘다운받은 프로그램’을 통했다는 응답이 가장 많았고 ‘특정 웹사이트 방문’ 및 ‘이메일’을 통해 감염됐다는 응답도 많았다. 이로 인해 인터넷 침해 사고로 인한 경제적 피해 발생 응답비율도 전반적으로 증가했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>