• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안관리체계 확립과 보안 시스템 구축ㆍ운영 필요 2010.05.07

중소기업 보안문제와 효과적인 보안 구축방안

기업보안에서 솔루션이 모든 것을 해결할 수는 없다. 기업의 비즈니스를 서포트하는 것으로 IT가 있고 보안은 그 사업을 안전하게 해주는 것으로 우리 회사에서 가장 중요하게 보호해야 하는 것이 무엇인가를 먼저 파악해야 한다. 특히 중소기업은 대기업에 비해 보안이 미흡하다. 이에 중소기업은 내부적으로 무엇이 보안에서 우선 순위인지를 먼저 파악하고 적절한 보안관리체계의 확립과 보안 시스템 구축, 운영, 관리가 필요하다.


최근 한국이 IT강국으로 부상하고 최신 기술을 바탕으로 산업경쟁력이 강화되면서 경쟁 국가 및 기업에 의한 불법적인 기술유출 시도가 지속적으로 증가하고 있다. 하지만 중소기업의 보안 인프라는 매우 열악하여 전체 기술 유출 중 약 65% 이상을 차지하고 있어 이에 따른 대응책 마련이 시급한 상태이다.

 

중소기업 정보화 수준 조사 보고서의 정보보안 인식 수준을 보면 많은 보안 솔루션이 운영되고 있는 것을 알 수 있다. 하지만 정보자산을 식별하고 있는 기업은 16.9%이며 정보보안 교육을 실시하고 있는 기업도 9% 수준에 불과하다. 특히 정보자산 식별, 정보보안 교육은 보안의 핵심적인 부분으로 대부분의 기업들이 대체로 핵심적인 정보보안 역량 강화보다 보안시스템 구축에만 집중한 것을 볼 수 있다.

 

주요 자산에 대한 식별 없이 운영되는 보안시스템은 활용도가 매우 낮으며 임직원 보안인식이 없다면 효과는 매우 적을 것이다. 따라서 중소기업의 정보보안 수준은 매우 취약한 것으로 보이며 이는 정보보안 관리체계 미비에서 온다고 볼 수 있다.

 

전담 인력 및 조직의 부재 또한 기업보안강화 활동 시 발생하는 애로사항 중 하나이다. 정보화 담당인력 보유현황을 보면 절반 이상(58.5%)의 기업에 정보화 담당 인력이 없음을 알 수 있다. 이 또한 PC수리, 바이러스 치료 등 일반적인 업무로 대부분의 시간을 보내어 실제 기업보안 강화에 투자할 시간이 절대적으로 부족하며 날마다 엄청난 속도로 발전하고 있는 전문 기술을 따라 갈수가 없다.

 

이러한 원인으로 해킹사고는 꾸준히 증가하여 2009년 발표된 것만 약 13만 건이며 해킹 피해에 대한 신고를 하지 않는 기업이 대다수이기에 실제 피해 사례는 이보다 상당히 많을 것으로 예상된다. 실제로 2009년 상반기에 발생한 대량 웹 침해사고로 많은 사이트에 악성 스크립트나 링크들이 삽입이 되었고 지금까지 조치가 이루어지지 않아 그 흔적이 많이 발견되고 있다. 이러한 관리체계 미비와 인력부족에 따른 보안위협증가에 대해 중소기업이 할 수 있는 효과적인 보안구축 방안은 무엇일까?


기업보안 관리체계 확립과 보안 시스템 구축ㆍ운영

첫 번째로 정보자산 식별 및 보안현황 분석 후 주요 자산에 대한 취약점 분석, 도출된 취약점에 대한 보안 대책 수립하는 일련의 과정을 통해 기업보안 관리체계를 확립하는 것이다.

 

보안관리체계의 확립을 통해 임직원의 보안의식 및 관심도를 높일 수 있고 각종 보안기준을 마련하여 보다 높은 수준의 정보보호역량을 바탕으로 내외부로의 기술 및 정보 유출을 방지할 수 있다. 정보보안업체의 컨설팅을 통해 손쉽게 관리/문리/기술적 관점의 체계적인 관리체계를 확립할 수 있고 여러 가지 문제로 컨설팅 수행이 힘들다면 정부에서 진행하는 각종 사업을 통해 어느 정도 수행이 가능하다.

 

두 번째로 기준과 프로세스에 따른 체계적인 보안시스템 구축 및 운영하는 것이다.

보안시스템 구축의 경우 많은 초기 투자비용이 발생하고 유지보수 및 관리의 어려움이 존재하며 전문인력 부족으로 실제 활용도는 낮은 것으로 조사되고 있다. 이에 대해 보안관제 서비스를 이용한다면 장비 임대 서비스를 통해 초기 투자비용을 최소화할 수 있고 전문 인력이 24시간×365일 동안 수행하는 유지보수 및 관리를 통하여 종합적이고 체계적인 대응이 가능하다. 뿐만 아니라 진단, 취약성정보, 침해사고조사 등의 부가 서비스를 통해 중소기업에서 전문인력 부족으로 진행하기 힘든 부분을 지원 받을 수 있다.


특성에 맞는 컨설팅과 적절한 보안관리체계 확립

지금까지 수행한 대부분의 방안은 일회성 사업으로 지속적인 관심이 부족했고 단기간에 진행되어 세부적인 컨설팅이 미흡했으며 솔루션 지원 중심으로 단순한 솔루션 설치로 끝나는 경우가 많았다.

이에 중소기업 및 회사 특성에 맞는 컨설팅 업무를 수행하여 기업보안 관리체계를 확립하고 보안관제 서비스 결합을 통해 지속적인 관계 유지 및 지원이 이루어져야 한다. 이를 통해 보안관리 감독 체계 미 구축, 전문인력 부족, 초기 비용, 유지보수 및 관리의 어려움, 임직원 보안인식제고 등의 문제를 해결하여 중소기업의 핵심기술 보호 기반을 마련하고 기업 고유의 핵심 역량과 경쟁력을 유지해야 할 것이다.

<글 : 김동영 SK인포섹 MSS 사업본부 관제고도화팀 과장(lulu80xx@skinfosec.co.kr)>


[월간 정보보호21c 통권 제116호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>