[보안뉴스 김경애] 2013년 한해 동안은 3.20·625 사이버테러를 비롯해 개인정보유출, 스미싱, APT 공격, 금융권 해킹 등 사회 전반적으로 혼란을 야기시킨 각종 사건·사고들이 끊이지 않고 발생했다.

더군다나 2014년에는 전자금융사기와 사이버범죄의 지능화, 악성코드 유포방법의 고도화 등 보안위협 트렌드가 잇따라 발표되고 있어 정보보호의 중요성은 더욱 커지고 있다.

이에 따라 안전행정부(안행부), 방송통신위원회(방통위), 금융위원회(이하 금융위) 등 각 정부부처와 유관기관 등에서는 부문별 정보보호 강화에 나섰다.

안행부는 2014년 8월부터 시행 예정인 ‘주민등록번호 처리 제한’ 등 개정된 개인정보보호법을 통해 주민번호 유출 등의 사고가 발생할 경우 과징금(5억원 이하)을 물리는 방안과 CEO 등에 대한 징계권고를 신설했다. 또한 개인정보 무단수집, 오·남용 등 법 위반 기관·기업의 명단이 공표할 예정이다.

이보다 앞서 방통위는 2013년 2월부터 시행된 개정 정보통신망법으로 인터넷상 주민번호 수집을 금지했다. 또한, 금융위는 2013년 7월에 발표한 ‘금융전산 보안강화 종합대책’을 통해 금융회사들은 2014년까지 의무적으로 망분리를 해야 하고, 정보보호최고책임자(CISO)의 역할 및 독립성을 강화하도록 했다.

뿐만 아니라 금융거래 환경도 인터넷 및 모바일 기반으로 바뀌고 있어 보안의 중요성은 더욱 커지고 있다. 한국은행에 따르면 2013년 3월 기준 전자금융 이용비중이 87.7%에 이르고, 인터넷뱅킹 가입자 수는 8940만 명, 모바일뱅킹 가입자 수는 4천만 명이며, 인터넷뱅킹 및 모바일뱅킹을 이용한 거래금액은 일일평균 33조 804억에 이르고 있다.

그럼에도 불구하고, 보안관련 인증을 보유한 기업은 많지 않은 것으로 드러났다. 이와 관련 본지가 보안담당자 2844명을 대상으로 ‘귀사가 보유하고 있거나 획득한 보안관련 인증은?(중복체크 가능)’이란 질문으로 설문조사를 실시했다. 조사결과 보안관련 인증이 ‘없다’라고 답변한 응답자가 전체응답자 중 절반 이상인 57%(1620명)로 1위를 차지했다. 이는 정보보호에 대한 기업 및 기관의 인식 부족을 여실히 보여주는 결과라고 할 수 있다.

정보보호 인식 부족은 정보화 투자에서도 여과없이 드러났다. 미래부에 따르면 정보화 예산에 투자한 사업체 수는 2011년도에 비해 크게 상승했으나(1,929,512개→2,405,636개 대부분 네트워크 관련 투자비용이 늘어난 것으로 조사됐고(1,755,417개→2,398,621개), 전년 대비 투자가 동결된 경우가 무려 93.6%로 집계됐다. 

또한 정보보호 제품 사용 사업체는 2011년 1,823,282개에서 2012년 2,074,891개로 크게 늘었으나, 컴퓨터 보유 사업체의 증가로 인하여 컴퓨터 보유 대비 비율은 오히려 3.5%p 하락했다.

이와 관련 한 보안전문가는 “CISO 대부분이 가장 중요하게 생각하고 시간을 많이 할애하는 업무가 비즈니스와 연계된 정보보호 전략 수립 및 구현이라고 응답했다” 며, “가장 큰 해결과제는 임직원의 인식 부족”이라고 지목했다. 또한 CISO들의 주요 과제로 그는 “조직 전반에 대한 경험 및 지식이 부족하고, 전임자의 낮은 기업 공헌 및 기여, 기술적인 용어에 따른 의사소통의 어려움이 있다”고 덧붙였다.

2위는 전체응답자 중 555명(19.5%)이 ISO27001이라고 응답했다. ISO27001 인증은 국제표준화기구(ISO)가 제정한 정보보안 경영시스템 국제규격으로 정보보호 국제 표준 인증이다. 그러다 보니 국내에만 적용되는 국내용 인증보다는 국제 표준에 맞춰 좀더 폭넓게 적용하기 위해 획득한 것으로 풀이된다.

3위는 ISMS/G-ISMS가 483명으로 17%가 차지했다. 한국인터넷진흥원에 따르면 2002년부터 2013년까지 발급된 ISMS 인증서는 총 189건으로 2002년 1건. 2003년 6건, 2004년 18건, 2005년 9건, 2006년 4건, 2007년 8건, 2008년 12건, 2009년 19건, 2010년 22건, 2011년 27건, 2012년 25건, 2013년 38건으로 조사됐다.

G-ISMS 발급현황은 총 55건으로 2002년부터 2009년까지는 0건, 2010년 6건, 2011년 15건, 2012년 22건, 2013년 12건으로 집계됐다.

이는 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제47조제2항에 따라 △기간통신사업 허가 받은 자로 정보통신망 서비스 제공지역이 ‘서울특별시 및 모든 광역시’인 사업자 △집적정보통신시설 사업자(IDC) △정보통신서비스부문 전년도 매출액 100억 이상 또는 전년도말 기준 3개월간 일일평균 이용자 수 100만 명 이상인 정보통신서비스 제공자를 의무 인증대상으로 포함하고 있다. 이에 따라 해당 기관·기업이 이를 준수하기 위해 획득한 것으로 보인다.  

이어서 4위는 PIMS가 171명(6%)으로 나타났고, 5위는 기타로 96명(3%)이 답변했다. 하지만 2013년까지 발급된  PIMS 인증서 역시 총 29건으로 미흡한 실정이다. 특히 2010년까지 인증서 발급은 0건이었으며, 개인정보보호법이 신설된 2011년 10건, 2012년 10건, 2013년 9건으로 그나마 증가하는 추세를 보이고 있다. 

점차 강화되는 관련 제도 및 정책과 지능화되는 보안위협으로 인해 보안관련 인증 획득이 증가하는 등 기업의 보안인식이 개선될 수 있을지 귀추가 주목된다.  

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>