< 인포섹(주) 홍진기 이사 >

지난 2003년 7월 국내뿐만 아니라 전세계의 보안관련자들을 바쁘게 만들었던 온라인 세계해킹대회에서 우리나라의 피해 홈페이지는 7개였으며, 모두 중소기업이었다. 또한 2004년 12월부터 1월 사이에 무려 4000여건의 중소기업 홈페이지 변조 공격의 희생양이 되고 있어 초.중.고등학교의 해킹 피해와 더불어 중소기업 해킹피해가 날로 증가하고 있다.

이에 따라 본고에서는 세부 기술적 보안설정이나 제품이 대한 소개보다는 IT보안을 내용으로 중소기업의 CEO 또는 대부분 중소기업의 보안을 기획하고 담당역할을 겸임하고 있는 총무 또는 기획조직의 책임자가 기업 정보보호를 위해 고려되어야 하는 접근방법을 제안하고자 한다.

중요한 정보자산이 무엇이며 어디에 있는가?

한국정보보호진흥원에서는 중소기업의 정보화 유형을 기준으로 크게 3가지로 구분하고 있다.

매출관리, 고객관리, 내부관리 등 PC를 중심으로 작은 규모의 정보화로 이뤄져 있는 의류나 요식업종의 중소기업의 경우 PC에 대부분의 중요 정보자산을 보유하고 있는 형태, 전자산업, 중소제조업종의 중소기업의 경우 공장이나 연구소와의 인터넷을 이용한 네트워크 보안과 PC보안이 중점고려사항이 되는 형태, 인터넷과 같은 IT기반을 이용한 온라인 쇼핑몰이나 중소금융업의 형태는 네트워크보안과 데이터 보안이 중요한 요소가 된다.

그러나 이러한 구분은 단지 가이드의 관점에서 편의상 구분된 것이기 때문에 기업에서 가장 우선적인 고려사항은 ‘기업의 중요정보가 어디에 존재하는가?’이며, 그 중요정보는 기업의 비즈니스와 연관성이 깊은 정보자산을 우선적으로 고려해야 한다. 예를 들어 기술혁신형중소기업(INNO-BIZ)이나 신기술인증기업, R&D 투자기업의 경우 기술경쟁력이 중요 생존 비즈니스이기 때문에 웹 해킹에 대한 대응보다는 이러한 핵심기술이 존재하는 연구소 PC 또는 파일서버, 데이터베이스, 연구문서 등의 핵심기술에 대한 내부정보유출 대응이 무엇보다 중요한 보안요소가 된다.

결혼정보회사나 헤드헌팅사와 같은 경우는 회원정보유출 사고사례에서처럼 기업이 보유하고 있는 회원정보가 비즈니스의 핵심정보자산이기 때문에 데이터베이스에 보관되어 있는 회원정보 보안이 무엇보다도 중요한 정보자산이다. 이렇듯 기업내부에서의 중요한 정보자산이 무엇이니 정의하고 그 정보자산이 어디에 존재하는지 파악하는 것이 무엇보다도 중요하다.

그러면 이러한 중요한 정보자산을 어떻게 보호해야 하는가?

중소기업이 자금난과 인력난에 시달리고 있는 것은 어제오늘의 이야기가 아니다 지난 4월 대한 상공회의소가 6대 광역시 상공회의소와 공동으로 500개 지방 중소기업을 대상으로 실시한 ‘지방 중소기업 애로요인과 과제’ 설문조사에 따르면 지방기업들은 올해 예상되는 주요 경영애로요인으로 ‘유가ㆍ원자재가격 상승’(32.8%) ‘자금난’(28.6%), ‘인력난’(20.5%), ‘환율’(10.7%), ‘정부규제’(4.9%) 등을 꼽은 것은 기업의 정보화뿐만 아니라 정보보호의 관점에서 보더라도 전문인력 고용이나 전용 솔루션을 도입하는 것과 같은 인적, 경제적 비용은 만만치 않은 투자를 필요로 하기 때문에 경영층의 승인을 얻기에는 많은 어려움이 있다.

이러한 투자부담을 어느 정도 덜 수 있는 방안으로 공공기관들을 중심으로 제공되고 있으며 대형 벤더의 경우 다음과 같이 해당분야별 온라인 정보를 제공하고 있다.

 

■ 중소기업청의‘핵심기술 유출방지 및 영업비밀 보호실무’서비스

각 지방청 별로 예산을 편성해 기업의 핵심기술 및 영업비밀 보호를 위한 무료교육 서비스를 시작했으며, 호응도가 높아 각 지방청들은 교육뿐만 아니라 좀더 실질적이고 효과를 위한 각종 서비스를 준비하고 있다.(www.sbc.or.kr)

 

■ 정보통신부 정보보호진흥원의 ‘중소기업 정보보호’ 서비스

중소기업의 비용 효과적인 정보보호 대책 마련 및 자율적인 정보보호 조치능력 강화를 목적으로‘중소기업 정보보호 가이드라인 개발 및 보급’,’ 중소기업 정보보호 기술훈련장’등을 서비스하고 있으며 ‘보호나라’(www.boho.or.kr)을 통해  ‘웹 취약점 점검서비스’, ‘원격 점검 서비스’, ‘긴급 방역 서비스’, ‘백신/보안패치 다운로드’ 서비스 등을 제공하고 있으며, ‘중소기업 정보보호 수준 자가진단 서비스’를 준비 중이다.

 

■ 국가정보원의‘산업기술 보호대책’온라인 콘텐츠 서비스

첨단기술을 보유한 산업체와 연구소를 대상으로 산업보안 지도ㆍ교육을 통해 기술보호 대책을 지원해 산업체와 연구소들의 자율적인 보안관리 능력을 배양토록 ‘산업보안교육’, ‘산업보안지도활동’, ‘산업보안워크샵’, ‘산업보안위원회구성’, ‘산업보안정보자료 제작지원’, ‘산업스파이 신고상담소 운영’등을 제공하고 있으며 국가사이버안전센터를 통해 세부적인 보안동향과 사고사례 및 정보들을 제공하고 있다. (www.nis.go.kr, www.ncsc.go.kr)

 

■  마이크로소프트의 정보보호 교육 온라인 콘텐츠 제공 서비스

몇 가지의 무료보안점검도구들과 보안가이드들을 제공하고 있으며 특히 스파이웨어, 스팸메일 처리, 바이러스 및 웜 방지 등에 대한 온라인 비디오를 제공하는 마이크로 소프트의 웹사이트를 활용하는 방법도 좋겠다.

(www.microsoft.com/korea/technet/security)

 

■ 기타 전문업체의 서비스 및 제품

자체 전담인력 보유의 부담을 덜 수 있는 방안으로 기업의 중요시스템을 원격에서 24시간 365일 보안관제 모니터링 아웃소싱 서비스를 제공하는 전문업체들이 있으며 보호대상 시스템의 대수에 따라 저가의 월 비용으로 자체 인력채용 부담 없이 상시 모니터링 서비스를 받을 수 있다. 또한 인터넷 유해차단시스템, 메일 모니터링 시스템, 내부정보유출방지시스템 등 중소기업을 대상의 소규모 통합 솔루션을 판매하는 벤더들이 있다. 또한 정부시책으로는 정보화 추진 규모에 따라 중소기업 ASP 및 ERP 이용비용 세액공제가 제공되고 있으며 이러한 혜택을 이용하는 것도 한가지 방법이 되겠다.

무엇보다도 기업 구성원의 정보보호 인식제고에 대한 노력이 필요하다.

정보보호의 특성상 여러 가지 전용 솔루션을 도입하고 통제를 가한다고 해도 보안사고의 근본적인 원인이 되는 임직원에 대한 보안 인식제고가 없다면 투자효과가 떨어질 수 밖에 없다. 예를 들어 유해차단 소프트웨어나 메신저를 네트워크 차원에서 차단 설정을 하거나 관련 솔루션을 도입한다고 하더라도 우회하여 사용할 수 있는 소프트웨어들이 또한 존재하고 진화하기 때문이다.

이를 해결하는 방안으로 보안사고 및 피해사례 교육으로 보안경각심을 고취시키고 상ㆍ벌 제도를 통한 사기진작도 방안이 될 수 있지만 이러한 방법만으로 임직원들에 대한 태도를 바꾸기에는 인내를 필요로 하기 때문에 교육과 더불어 중요한 것은 기업 내부의 중역 등이 앞장서서 실천적 행동을 보임으로써 기업 내부 조직문화에 보안문화가 내재되는 것이 중요하며 대기업에 비하여 혁신에 유리한 중소기업의 특성을 고려할 때 보다 더 실질적이고 효과적인 방법이 되겠다.

[글: 인포섹(주) 정보보호컨설팅 사업본부 홍진기 이사]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>