• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

잇따른 ‘역대급’ 개인정보 유출사고, 기업 대비책은? 2014.08.22

개인정보보호 전담조직 구성...일관된 정책으로 사고위협 대비 필요


[보안뉴스 김지언] 21일 전 국민의 절반이 넘는 2700만명, 건수로는 최대 규모인 2억 2천만건의 개인정보 유출 사실이 드러나면서 개인정보보호를 위한 기업들의 고민이 커지고 있다. 이렇듯 국내외에서 시쳇말로 ‘역대급’ 개인정보 유출사고가 끊임없이 발생하고 있는 가운데 정작 기업들은 어떻게 개인정보 유출 위협에 어떻게 대비해야 하는지 명확한 답을 갖지 못한 상태다.
 


이와 관련 공공 및 기업의 개인정보보호 수준 향상을 위해 가장 필요한 것은 ‘개인정보보호 전담 조직 구성(31%)’인 것으로 나타났다.


이는 공공기관과 기업의 개인정보보호담당자 및 보안담당자 911명을 대상으로 조사한 결과로, ‘기업의 개인정보보호 수준 향상을 위해 가장 필요한 것은 무엇이라고 생각하시나요?’라는 질문에 283명이 개인정보보호 전담조직 구성이라고 답했다.


이와 관련 익명의 보안전문가는 “개인정보보호는 전담인력이나 전담조직을 구성하는 것부터 시작해야 한다”며 “책임조직 없이 보안정책을 이행하는 것은 불가능하기 때문”이라고 밝혔다. 이어 그는 “개인정보보호 책임조직과 정책이 마련된 후 그에 따라 업무 프로세스를 조정하고, 보안 솔루션을 구비한다면 개인정보 유출 위협에 대해 좀 더 효과적으로 대응할 수 있다”고 덧붙였다. 


소프트웨어 개발 전문업체에서 근무하는 이모 씨는 “기업에서 개인정보를 취급할때 데이터 흐름상 굉장히 많은 사람의 손을 거칠수 밖에 없다”며 “이때 전담조직이 일관된 정책과 책임감을 가지고 개인정보의 흐름을 제어하지 않으면 사고의 가능성이 커진다”고 전했다.


컨설팅 업체에서 근무하는 또 다른 보안전문가는 “대부분의 기업은 IT 책임자를 개인정보보호 책임자로 선임하는 반면, 개인정보관리 전담조직을 구성해 둔 곳은 많지 않다”며 “DB 암호화 솔루션과 같은 보안 솔루션만으로는 개인정보 유출을 막을 수 없기에 개인정보보호 전담 조직을 구성해 체계적으로 개인정보를 관리할 필요가 있다”고 밝혔다.


이어 두 번째로 많은 답변은 ‘CEO 및 경영진의 보안의식 제고(25.3%)’가 차지했다.   


보안컨설턴트 홍성권 씨는 “CEO 및 경영진의 보안의식 제고가 가장 필요하다고 본다”며 “보안담당자가 열정을 가지고 보안 솔루션 도입 및 임직원 대상 개인정보보호 관련 교육 등을 실시하려고 해도 경영진의 보안의식이 없다면 이는 불가능하다”고 밝혔다.


백신업체에서 근무하는 김모 씨도 “경영진의 지원없이 실무자들의 권한과 노력만으로 개인정보 유출을 막는데는 한계가 있다”며 “대표나 경영진이 보안을 비용으로만 판단하기 보다는 위험관리의 측면에서 보고 투자해야 개인정보보호 수준을 향상시킬 수 있다”고 덧붙였다.


다음으로는 개인정보보호 관련 임직원 교육 강화가 21.6%로 뒤를 이었다.


시만텍코리아 윤광택 이사는 “내부 직원에 의한 일상적인 정보 유출을 막기 위해 기업들은 정기적인 보안교육을 통해 정보 유출의 위험성과 위법성을 적극 알리고 기밀유지계약(NDA)을 강화해 향후 기업정보를 유출할 경우 본인뿐만 아니라 이직하게 될 직장에 불이익이 있을 수 있다는 점을 인지시켜야 한다”며, “데이터유출방지 솔루션(DLP)과 같은 모니터링 기술을 도입해 직원들이 실수나 고의로 부적절한 정보에 접근하거나 유출하는 행위를 관리해야 한다”고 조언했다. 그러나 그는 이마저도 경영진의 관심이 없다면 불가능하다고 밝혔다.

네 번째로 많은 응답은 요구하는 수준 만큼의 개인정보보호 솔루션 도입(17.1%)이 차지했다.


이와 관련 G기업 보안담당자는 “국내 대부분의 기업들은 최소한의 개인정보보호 솔루션조차 도입하지 않았다”며 “개인정보 유출방지 솔루션, 내부정보유출방지(DLP) 솔루션, DB보안 솔루션 등을 도입해 1차적인 개인정보유출 위협에 대비하는 것이 필요하다”고 밝혔다.


‘CSO/CISO/CPO 등 보안관련 임원 임명’이라고 답한 응답자는 2.7%를 차지했다. 몇몇 보안인력들은 “현재 대부분의 기업에서 보안관련 임원이 임명됐으나 전혀 보안과 관련 없는 임원이 임명되는 경우가 비일비재하다”며 “관리적·기술적으로 전문 지식을 갖춘 임원이 임명되길 바라는 입장에서 이를 택했다”고 입을 모았다. 


이외 기타(2.2%)의견으로는 개인정보관련 주요 문건 작성 및 관련 지침 수립, 개인정보보호 관련 전문지식을 갖춘 인력 채용, 각 분기별 지속적인 웹사이트 모의해킹 등이 있었다.


이번 설문조사를 통해 많은 기업들이 개인정보보호 전담인력이 아닌 1~2명의 IT 인력으로 개인정보를 관리하는 것으로 드러났다. 개인정보는 보안인력 외에도 개인정보를 확인할 수 있는 인력 등 모든 직원의 개인정보보호 의식 수준이 향상되어야 보안위협을 줄일 수 있다. CEO는 투자를 통해, 일반 임직원들은 개인정보보호 의식 개선을 통해 기업의 개인정보보호에 힘써야 할 것으로 보인다.

[김지언 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>