“신규 보안 솔루션 도입보다 기존 보안관리 환경 개선이 더 중요”

[보안뉴스 김태형] “정보보호는 이제 IT 리스크(Risk) 관리 차원을 넘어 이제는 비즈니스 리스크 문제로 관리되고 다뤄져야 한다. 지금까지 기업들의 비즈니스의 확장에 따라 보안위협은 점차 증가했고 정보보호 인력의 부족으로 보안 솔루션에 의지했다. 하지만 신규 보안 솔루션의 도입보다는 기존 보안관리 환경 개선이 더 중요해졌다.”

삼정KPMG 김민수 이사는 13일 서울 삼성동 코엑스에 개최된 정보보호포럼 워크숍에서 ‘클라우드 및 빅데이터 환경에서의 정보보호 대응 과제’를 주제로 한 강연에서 이와 같이 말했다.

최근 정보보안 트렌드를 보면, 올해 IT분야 10대 전망 중에는 △2년 연속 마이너스 성장 △성장 측면에서 유일한 IT 마켓플레이스 성장 △빅데이터 영역 표준화 단계 △수요자 주도의 클라우드 클라우드 2.0 등이 포함됐다. 그리고 올해 개인정보보호 이슈로 떠오른 것은 △빅데이터 분석 △클라우드 컴퓨팅 환경 등이다.

김민수 이사는 “최근 인터넷 모바일 뱅킹이 확대되고 있다. 이용자 수가 매년 10% 이상 늘어나면서 보안위협도 증가하고 있다. 또한 여러 분야에서 빅데이터 활용도 확대되고 있다. 이로 인해 개인의 민감정보가 침해될 수 있는 부분도 함께 증가했다”면서 “클라우드 환경의 도입과 이용이 확대됨에 따라서 데이터 유출, 데이터 손실, 인터페이스와 API의 취약점에 의한 데이터 침해 등의 위협도 증가하고 있다”고 최근의 보안 트렌드를 설명했다.

이 외에도 악성 앱 증가와 정보유출 경로의 다양화 등은 보안위협이 증가한 요인으로 분석된다. 삼정KPMG의 정보유출 관련 설문조사 결과, 전체 정보유출 사고 67%가 해킹에 의한 것이며 이중 개인정보가 가장 많은 것으로 나타났다. 또 제3자가 포함된 데이터 유출사고는 기술 업종에서 가장 일상적으로 발생하고 있는 것으로 나타났다.

김 이사는 “사고 원인 중에서 해킹이 67%로 가장 많았고 부정이나 사회공학이 7%, PC도난도 4.8%를 차지했다”면서 “보험분야에서는 부정이나 사회공학적 원인으로 발생한 정보유출이 가장 많았고 유통분야에서는 대부분이 해킹에 의한 정보유출이 가장 많았다. 그리고 헬스케어 분야에서는 PC도난이나 부정·사회공학, 하드카피 등 다양한 방법으로 정보가 유출되고 있음을 알 수 있었다”라고 설명했다.

지난해까지 개인정보 유출사고를 일으킨 58개사 중 과태료 처분을 받은 기업이 13개, 시정조치 기업이 14개 뿐이었다. 대부분 기업이 징계를 받지 않은 것. 하지만 이제 보안사고는 신경영 리스크로 작용하고 있다. 최근 정보유출 사고를 보면, CEO와 이사회의 책임이 강화되고 있다. 이에 정보보호에 보다 효과적으로 선제적 대응이 필요하다는 것이다.

이에 대해 김 이사는 “비즈니스의 확장에 따른 정보보호 위협의 증가로 기업들은 보안 솔루션을 도입했다. 이는 정보보호 전문인력 부족으로 인한 보안위협 대응책이었다. 하지만 이렇게 도입한 보안 솔루션은 보안성 강화에는 도움이 됐지만 업무 효율성 저하와 시스템 간의 간섭이라는 문제를 가져왔다”라고 말했다.

이어서 그는 “이처럼 정보보안 침해사고 발생가능성의 증가에 따른 신규 보안솔루션 도입 이전에 기존 보안관리 환경의 개선이 더 중요하다. 정보보호 거버넌스 측면에서 보안은 IT 리스크가 아니라, 비즈니스 리스크로 다뤄져야 한다. 즉 비즈니스와 정보보안 사이에 전략적으로 연계된 보안 프레임워크 구축이 필요하다. 비즈니스 성과를 고려한 정보보안 성과관리를 통해 정보보안 거버넌스가 확립돼야 한다”고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>