기업은 현재 많은 위협에 직면해 있다. 2010년 산업기밀보호센터의 통계에 따르면, 2004년부터 2009년까지 국내 기업의 첨단기술을 해외로 불법 유출하다가 적발된 건수만 203건에 이르며 그 수가 매년 지속적으로 증가하고 있다. 또한, 고객정보를 유출하게 되면 그 피해 역시 만만치 않다. 지난 2010년 3월에 개인정보 암호화 등 기술적 보호조치 의무를 이행하지 않아 51만 건의 인터넷 회원정보를 유출한 업체 대표가 최초로 사법 처리되어 불구속 입건됐고, 지난해 4월에는 부산경찰 사이버수사대가 1,300만 건의 개인정보 유출과 관련하여 해커 2명과 서버 보안 관리를 소홀히 한 업체 관리자 32명을 입건하기도 했다. 이는 사후대응보다는 선제적 예방활동이 중요하며, 기업의 지속적인 성장을 위해서 보안에 대한 투자가 더 이상 선택이 아닌 필수라는 것을 시사하고 있다.

올해는 IT 환경변화에 따른 기업의 정보보호 정책 설정과 융합보안 트렌드, 그리고 스마트폰이 중요한 이슈로 떠오를 것이라는 전망이 있다. 유·무선 통신과 방송기술이 융합된 컨버전스(convergence) 시대가 옴에 따라 Wibro, 스마트폰, 태블릿 PC 등의 새로운 기술과 제품이 대중화되고 공격기법도 다양화되고 있어 기업의 보안관리도 변화되어야 한다. 세계적인 보안전문가 브루스 슈나이어 씨가 남긴 “보안은 제품이 아니라 프로세스이다(Security is a process, not a product)”는 유명한 말처럼 이제는 각 기업의 상황에 적합한 정책을 수립하고 환경변화에 따라 업무 프로세스에 대한 지속적인 개선활동이 이루어져야 한다.

특히, 기업의 정보유출은 국가적 손실은 물론이고 국민 경제에까지 큰 피해를 입힐 수 있기 때문에 솔루션이나 장비를 도입해서 보안을 완성했다는 착각에 빠져서는 안 된다. 장비를 사용하는 주체는 인력이므로, 인력에 대한 보안과 함께 장비를 사용하는 방법 및 절차 역시 보안의 한 부분임을 잊어서는 안 된다. 즉, 기업의 보안관리는 기술적 부분과 함께 관리적인 부분을 균형적으로 갖춰야 한다. 또한, 정보보호에 대한 기업의 사회적 책임과 역할이 어느 때보다 중요한 시점이다. 보안 컴플라이언스 등 보안관리 문제가 기업경쟁력의 핵심 요소로 인식되고 있어 보안사고로 인한 법적분쟁 발생 시 정보보호 활동에 대해서도 어떻게 대응할지 고민해야 한다.

최근 경영여건의 어려움으로 기업들이 보안관리에 대한 비용 압박이 늘어 비용효과적인 대책 수립이 중요한 이슈로 대두되고 있다. 이에 따라 선제적 예방활동, 지속적인 개선활동과 함께 기술적·관리적·법률적 대응을 체계적으로 운영할 수 있는 종합적인 관리체계가 해결책이 될 수 있을 것이다. 이러한 기업의 보안전략이 바로 정보보호관리체계(ISMS)를 구축·운영하는 것이라 할 수 있다. 정보보호관리체계(ISMS)를 구축하여 기업의 비즈니스 전략과 부합된 정보보호 전략을 일관적으로 수행할 수 있을 것이다. 

<글 : 장 상 수 한국인터넷진흥원 기업보안관리팀장(ssjang@kisa.or.kr)>

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>