| 보안투자 없으면 기업 존폐위기에 놓인다 | 2014.07.28 |
[인터뷰] 한국IBM 시큐리티 오퍼링 매니저 최 용 차장 [보안뉴스 김영민] 올해 초 사상 초유의 개인정보 유출사건이 발생하면서 관련기업의 영업정지와 책임자 구속, 그리고 개인정보에 대한 새로운 관리방안이 논의되고 있다. 또한, 주민등록번호의 온·오프라인에서의 대체방안 역시 마련되고 있으며, 개인정보 유출에 대한 규제 역시 강화되고 있다. 기업들의 책임이 커지고 있는 것이다.
최근 발생하고 있는 대부분의 기업비밀 및 개인정보 유출 등 보안사고의 경우 내부통제를 제대로 하지 못해 발생하고 있다. 외부에서의 침입으로 인한 피해를 막기 위해 솔루션을 마련해 놨지만, 내부 임직원들의 일탈까지 막기에는 역부족이었다. 이에 대해 한국IBM 최용 차장은 기업들이 보안 및 윤리강령 교육을 간과한 결과라고 얘기한다. 또한, 계약직 또는 협력사 직원들에 대한 권한관리가 제대로 이뤄지지 않은 것도 문제라는 것이다. “기업에서 정책을 마련할 때 가장 고려할 것 중 하나는 윤리강령부터 관리규정까지 구체적으로 매뉴얼로 돼 있어야 한다는 점입니다. 또한, 보안을 포함한 관리규정은 윤리강령 안에 녹아있어야 합니다. 하지만 대부분의 기업에서 갖고 있는 내용을 살펴보면, 애매모호한 표현이나 선언에 불과한 형태로 돼 있는 경우가 많습니다. 때문에 어떤 대안이나 방침을 마련하기도 어렵습니다.” 최용 차장이 말하는 기업의 정책은 ‘매뉴얼화’ 되어야 한다는 것. 어떤 상황이 발생할지 모르는 상황에서 아무런 기준이 없으면 실천하기 어렵다. 하지만 이 역시 기업의 윤리강령과 밀접한 관계를 가지고 있어야 한다. 윤리강령은 최고결정권자의 기업을 이끌어가는데 제시하는 방향이기 때문이다. 또한, 매뉴얼된 관리규정은 정확하게 명시할 필요가 있다. 기업 내 기밀정보라고 할 수 있는 것은 기업내부의 지적재산권 등과 관련한 정보와 고객의 민감한 정보가 있다. 이를 어떻게 보호할 것인지, 어떤 솔루션으로 보호할 것인지, 그리고 어떻게 암호화하고 운영할 것인지에 대해서 특정할 필요가 있다. 10가지 보안관리 지침 마련, 자사 및 고객사 동일 IBM의 경우, 현재 이를 마련하고 세부적인 지침을 마련해 놓고 있다. 보안서약이나 기업 내 방문자에 대한 에스코트, 그리고 물리적인 보안 시스템은 물론 보안 솔루션 및 서비스를 제공하는 기업이기에 사내 기밀자료나 고객의 개인정보를 지키기 위한 방안을 모두 갖추고 있다. 보호해야할 정보에 대한 정확한 명시를 시작으로 정보유출 차단을 위해 10가지 보안관리 지침을 마련해 놓고 있다. 10가지라고 한다면, 일반 관리자는 물론 IT 담당자에게 부담이 될 수도 있다. 때문에 보안성은 뛰어나겠지만 업무의 효율성에 많은 제약이 있을 것으로 보인다. 하지만 IBM은 이를 자동화된 툴로 관리하고 있다. 일정한 기간, 그리고 임직원이 출근해 로그인할 때 점검을 실행하고 잘못된 것이 발견되면 사용자에게 알려줘 즉시 보완할 수 있도록 한다. 또한, 이렇게 점검된 사항은 자동으로 국내에 있는 정보책임자에게 전달되고, 본사로 다시 전달돼 기업 내의 현재 보안상황 살펴보고 개선점을 찾을 수 있다. 그렇다면 IBM에서 실행하고 있는 보호조치는 어떤 것이 있을까? 임직원들이 사용하는 PC나 사내 DB에는 회사의 기밀, 업무와 관련된 고객의 정보, 그리고 이메일이 들어 있다. 이를 암호화하고 사용 PC 및 서버계정에 대한 권한을 제한한다. 또, 법에서 요구하는 패스워드의 설정 및 변경, OS의 버전패치, 안티바이러스의 설정, 그리고 바이오스 암호화, 파일공유의 차단, 이와 함께 암호화된 하드디스크의 사용 등 최근 요구되는 기술적 조치는 모두 도입돼 있다. IBM이 마련한 보안관리규정은 솔루션과 서비스를 제공하는 기업 등에도 똑같이 적용되고 있다. 또한, 전 세계 3,300명의 보안관제사들이 4,000여 곳에 서비스를 제공하면서 발견되는 보안위협을 수집하고 이를 분석해 즉시 대응을 한다. 이와 함께 보안관리 규정 등에 대한 방향성을 제시하고 있다. 빠르게 변하는 보안환경, 전문성 갖춰야 정보유출을 막기 위한 솔루션을 갖췄다고는 하지만, 보안사고는 계속 발생하고 있다. 대기업의 경우, 대부분 보안 솔루션을 마련해 운영하고 있으며, 정기적으로 보안교육도 실시하고 있다. 최용 차장에 의하면, 정보유출 등으로 인한 심각성을 인지하고 있지 못하기 때문이다. 또한, 국내의 관련법이 빠르게 바뀌면서 민간 사업자가 따라가기 힘든 형태이기 때문이다. “이미 대기업 등에서는 솔루션을 마련하고, 보안교육을 실시하는 등의 필요한 조치를 취하고 있습니다. 하지만 지속적으로 발생하는 보안사고는 그 심각성을 모르기 때문입니다. 단순히 어떻게 하면 안 된다. 정보보호의 중요성을 역설할 것이 아닌 실제사례를 통해 교육을 진행하고, 정보유출로 인해 돌아올 심각성을 알 수 있도록 해야 합니다. 그러기 위해서는 전문성을 갖춘 보안담당자가 필요합니다.” ‘산업기술유출 방지 및 보호에 관한 법’, ‘부정경쟁방지 및 영업비밀보호법’, ‘개인정보보호법’ 등 정보유출과 관련된 법을 전부 인지하기는 쉽지 않다. 최근 조금씩 바뀌고는 있지만, 기업의 정보보호책임자는 대부분 업무특성이 고려되지 않은 채 임명돼 왔다. 관련법을 파악하기는커녕 업무파악도 제대로 되지 못했다. 보안에 관한 교육이 진행된다고 해도 단순히 어떤 것을 하면 안 된다는 수준의 교육만 이뤄졌다고 볼 수 있다. 이에 대해 최용 차장은 보안업무에 적합한 인물을 찾아야 한다고 얘기한다. “믿을만한 담당자를 뽑기 어렵다면, 믿을만한 어드바이저나 파트너를 두는 것이 필요합니다.” 보안투자, 기업 지속성을 위한 방편 대기업과 중소기업, 국내기업과 외국계 기업을 비교하면, 보안의 역량은 뚜렷하게 나타난다. 그리고 큰 차이를 보이고 있다. IBM이 보안솔루션과 서비스를 제공하면서 점검한 결과, 대부분의 중소기업에서는 10점 만점에 7점을 넘기기도 쉽지 않은 것으로 파악된다. 이는 평균적인 보안수준을 나타내는 것이기에 그 심각성은 더욱 크다. 하나의 솔루션이 아무리 잘 갖춰졌다고 해도 수준미달인 부분에서 보안사고가 발생하기 때문이다. “IBM은 많은 기업에 서비스를 제공하고 있어 산업계의 평균이나 국가에 대비한 수준을 평가할 수 있습니다. 잘돼 있는 경우는 10점인데, 대부분의 기업들이 6점 내지는 7점을 겨우 넘기는 수준입니다. 보안투자를 해야 할 필요가 있습니다. 하지만 대부분의 기업에서 보안투자를 지출이라고 생각하는 것이 아쉽습니다.” 기업에서 갖고 있는 정보는 방대하다고 할 수 있다. 그 중 핵심정보 유출은 기업의 존폐를 좌우할 수 있는 치명타가 될 수 있다. 법적인 부분이 점차 강화되면서 미이행시 받게 되는 불이익 또한 커지고 있다. 이러한 측면에서 봤을 때 보안투자는 기업의 존립을 지속하고, 최소한의 법을 준수하는 개념으로 봐야할 것이다. “정보유출로 인해 기업의 지속성이 흔들린다면, 이는 과감히 투자해야 할 것입니다. 그리고 관련법이 강화되고 있습니다. 단지 법을 지키는 측면이 아닌 설사 정보유출이 발생했다고 하더라도 기업을 지킬 수 있는 수단으로 보안투자가 필요합니다. 선관주의 원칙이라고 있습니다. 법에서 요구하는 사항을 지켰는데도 사고가 발생했다면 정작참작의 소지가 있습니다.” 보안투자는 더 이상 지출이 아닌 재무, 회계, 마케팅과 같은 기업 운영에 필요한 하나의 분야라는 인식이 높아지고 있다. 하지만 이러한 인식의 변화가 대기업과 외국계 기업을 중심으로만 이뤄지고 있다. 해외에서는 각 산업계에서 자율적으로 관련 규정을 만들어 움직이고 있다. 아직까지 보안인식이 크게 자리잡지 않은 지금 기업의 존립을 지키기 위한 최소한의 움직임을 보여야 하지 않을까 싶다. [김영민 기자(sw@infothe.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
ibm.jpg)
대부분의 기업에서 핵심기술 등에 대한 보안조치를 취하고는 있지만, 대기업을 제외하고는 보안성을 갖췄다고 보기 어려운 경우가 많다. 기업비밀과 함께 개인정보에 대한 관리의 중요성이 부각됐지만 대처하기가 쉽지만은 않다. 그렇다면 어떤 방안을 마련해야 할 것인가.