• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정보보호 기술 발전했지만 77%가 외부 공격 받아 2013.04.08

정보보호 고질적 원인이 정보보호의 효과성 저해하는 장애물 


[보안뉴스 김경애] 3.20 전산망 마비 사태는 이후 방송사와 금융사 등 주요 민간기업의 보안의 취약함이 드러남에 따라 정보보호가 중요해지고 있다. 그러나 기업의 대부분이 정보보호를 위한 고질적인 원인이 정보보호의 효과성을 저해하고 있는 것으로 조사됐다.


특히 스마트폰과 같이 모바일 기술의 발달로 스마트워크 환경이 증가되면서 정보보호의 중요성은 더욱 커지고 있다. 그렇다면 기업에서 정보보호의 현실적인 문제점은 무엇이고, 정보보호를 위해 개선돼야 할 점은 무엇일까? 


지난해 총64개국 1,800여명의 글로벌 기업의 CISO, 정보보호 관리자 등 관련 인력을 대상으로 글로벌 정보보호 자료조사 기관인 언스트앤영은 기업이 당면하고 있는 심각한 위험, 정보보호 장단점 및 수준 등을 조사했다.

  ▲정보보호 효과의 주요 장애요소


주요 통계 조사결과를 살펴보면 정보보호 전략의 미비함, 고질적인 원인, 올해 정보보호 부문의 최우선 과제 등 기업이 시급히 필요로 하는 정보보호 통제의 현실적인 접근방법이 필요한 것으로 집계됐다.


정보보호 전략이 미비한 기업의 경우 정보보호 전략, 위협 인텔리전스 프로그램 등을 수립·구현하지 못했으며, IT 보안솔루션 업체 등과 같은 정보보호 서비스 제공자가 적절한 서비스를 제공하는 지에 대한 확인·확신 등이 없다고 응답했다.

  ▲지난 12 개월간 위험 환경의 변화


또 예산·지원·숙련된 인력 부족, 조직내의 문제 등과 같은 전형적이고 고질적인 원인이 정보보호의 효과성을 저해한 것으로 나타났다. 특히 대응기술이 발전하고 있음에도 불구하고 77%가 외부로부터 공격을 받는다고 답변했고, 46%는 내부 취약점이 증가한다고 답변했다.


올 한 해 동안 정보보호 부문의 최우선순위로는 51%가 BCM, 29%는 구조적·전반적인 재설계와 DLP 등을 꼽았다. 정보보호 예산의 주요 대상으로 응답자 중 39%는 전년대비5%이상 증액한다고 밝혔으며, 55%가 모바일, 클라우드, 빅데이터 등 신기술 관련 정보보호에 편성된다고 대답했다.


클라우드 보안의 경우 2010년 30%, 2011년 44%, 2012년 59%까지 기업의 활용 비율이 꾸준히 증가되고 있으나, 38%의 기업은 클라우드와 관련해 어떠한 통제도 적용하고 있지 않는 것으로 조사됐다. 또 기업의 38%는 임직원의 SNS 사용 관련 통제가 전무하다고 밝혔다.


스마트폰과 태블릿 통제와 관련해서는 44%의 기업이 임직원의 BYOD(Bring Your Own Device)를 허용하고 있고, 52%는 임직원의 스마트폰과 태블릿 사용과 관련해 정책 측면의 통제만 적용하고 있었으며, 40%는 정보보호 인식 확대와 암호화 통제 등에 의존한다고 답변했다.


이외 16%의 기업만이 정보보호 니즈를 만족하는 관련 기능·조직을 보유했다고 응답했고, 63%의 기업은 공식적인 정보보호 아키텍처 프레임워크가 없는 것으로 집계됐다.


그렇다면 기업의 발전되고 새로운 챌린지를 관리하기 위해서는 어떻게 해야 할까? 언스트앤영은 다음과 같은 4가지 방향을 제시했다.


첫째 정보보호 전략을 비즈니스 및 추구하는 전반적인 결과까지 연결해야하고, 둘째  신기술을 고려하고 정보보호 아키텍처를 재설계 할 때에는 더 나은 결과를 위해 백지에서 시작해야 한다고 언스트앤영은 제시했다. 그래야 장애물을 재거하고 근본적인 변화를 방해하는 편견을 물리칠 수 있다는 것이다.


셋째는 기업이 지속적인 정보보호 통제를 수행할 수 있는 환경을 창출함으로써 근본적인 정보보호 통제의 재설계를 수행해야 하고, 신기술 도입 시 기회와 위험의 양면성에 대한 심도 있는 접근을 해야 한다고 언스트앤영은 강조했다. 또 소셜미디어, 빅데이터, 클라우드 등과 같은 신기술의 효과성, 관련 이슈 등을 지속적으로 측정하고 모니터링을 해야 효과적인 정보보호를 할 수 있다고 덧붙였다.


3.20전산망 마비 이후 지속적으로 근본대책이 필요하다는 목소리가 높아지고 있는 가운데 민간기업의 정보보호도 시급하다. 특히 정보보호의 기술이 발달하고 있음에도 불구하고 고질적인 원인이 효과적인 정보보호의 장애요인이 되고 있어 개선이 필요하다.

따라서 예산·지원·숙련된 인력 부족, 조직내의 문제 등 고질적인 문제를 해결하고, 소셜미디어와 빅데이터 등과 같은 신기술에 따른 정보보호 통제도 함께 수반돼야 할 것으로 보인다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>