| 스타급 보안 컨설턴트들이 꼽은 기업 정보보안 현안 | 2014.11.02 | ||||||||||||||||||
형식적 보안인증, 비전문적 보안조직, 정보보호 인식 제고가 현안 정보보호, 단순히 통제가 아닌 조직문화로 정착시켜야 중소기업의 보안수준 향상 위한 제도·정책 지원 필요 [보안뉴스 김태형] 최근 보안위협은 갈수록 증가하고 있다. 특히 사이버 공격으로 인한 피해가 증가하고 있고 국내 주요 기업들의 보안 문제가 지속적으로 대두되고 있는 상황이다.
[‘기업 정보보안 현안과 실천방안’ 간담회 참석자(성명 가나다순] - 김민수 삼정KPMG 이사 - 김형준 안랩 컨설팅사업본부장 - 박명훈 이글루시큐리티 수석컨설턴트 - 박억남 한국품질보증원 팀장 - 서정호 영국표준협회(BSI) 선임심사원 - 신현민 인포섹 컨설팅본부 이사 - 이원백 사이버보안전문단원/ISMS심사원 - 전성훈 시큐아이 보안컨설팅팀 부장 - 홍성권 EY한영회계법인 수석컨설턴트 - 사회 : 김태형 기자 / 정리 : 민세아 기자
이 자리에서는 기업 정보보안 분야의 주요 현안과 개선해야 할 사항에 대한 다양한 논의가 진행됐으며 기업 정보보안 강화를 위한 실질적인 가이드를 제시했다.
먼저 삼정KPMG 김민수 이사는 “일반 기업들을 대상으로 할 경우 컴플라이언스가 요구되는 조직들, 즉 공공이나 IT 서비스 기업 등을 제외한 기업들은 보안 투자가 매우 미흡하다. 아예 예산이 없다는 것이 문제”라고 지적했다.
김민수 이사는 기업의 CISO는 기존 보안팀장 업무인 보안관리 이상의 보안 목표와 가치를 찾는 것이 중요하다. 기업 CEO가 어떤 의지를 가지고 회사의 보안수준을 가져갈 것인지를 잘 파악하고, 이에 따른 기업의 보안 목표나 수준을 정확하게 수립하고 실천해야 한다고 강조했다.
이어서 안랩 김형준 본부장은 “CFO가 그 회사의 재무관계를 꿰고 있어야 하듯, CISO는 그 회사의 보안 전반을 꿰고 있어야 한다. 컨설팅 현장에 가보면 CISO들은 일반 직원의 보안의식 제고방안에 대한 고민이 많다”고 말했다. 이보다는 행동경제학을 이용해 자연스럽게 보안을 지킬 수 있는 방법들을 적용하는 것이 바람직하다는 게 김 본부장의 의견이다. 그는 “비용이 들지 않으면서도 조금만 더 생각하면 할 수 있는 것들이 많다. 예를 들면, ‘CISO가 캘린더에 언제 무엇을 점검하겠다’는 내용을 공개하면 보안담당자들은 그것을 보고 계속 신경을 쓰고 점검하게 된다”면서 “본인에게 손해가 가는 구체적인 사항을 명확히 인식시키커나 시각화하는 방법, 그리고 강제화하는 방법도 있다”고 말했다. 일례로 고객센터내 PC 앞에 ‘보안을 철저히 하자’는 문구 대신 ‘업무 이외에 고객정보를 조회하면 안된다. 이를 어기면 관련 법에 의해 벌금 5000만원 이하에 처할 수 있다’ 등의 문구가 넣을 경우 더 효과적이라는 얘기다. 이처럼 보안은 업무와 관련지어 설명하면서 자연스럽게 따라가도록 하는 방법이 중요하다는 점을 강조했다.
이글루시큐리티의 박명훈 수석컨설턴트는 정보보호 컨설팅 업무 15년차이지만 초창기 때 봤던 기업의 보안취약점이 아직도 보안취약점으로 발견되거나 10년 전의 체크리스트와 현재의 그것이 큰 차이 없다는 점을 지적했다. 현재의 개인정보보호법과 정보통신망법 등과 같은 보안 컴플라이언스는 위에서부터 탑다운 식으로 내려오다 보니 지킬 수 밖에 없다. 자사 위주의 보안이라면 프로세스에 종속되어 있는 보안에 신경을 쓰기 마련이다. 이로 인해 CIO, CFO 등 임원들은 개인정보보호만큼은 지켜야 한다는 인식에 이미 공감하고 있다는 것.
이어서 한국품질보증원 박억남 팀장은 국내 정보보호관련 인증 및 제도에 관한 문제점을 지적했다. 그는 “지난 2002년 국내에서 ISMS 인증제도 시행 이후 2014년 정보보호 준비도 평가까지 13개의 정보보호관련 인증 및 제도가 생겼다”고 말했다. 박억남 팀장은 “이런 문제들을 근본적으로 해결하기 위해서는 정보보호 및 개인정보보호 관련 유사 제도의 통합이나 개선이 필요하며 기업 입장에서는 복잡한 제도 및 컴플라이언스 등의 보안규제 환경에 종속돼 수동적으로 움직이기 보다는 기업 특성에 맞는 자체적인 보안 프로세스를 수립하기 위한 적극적인 활동이 중요하다”고 말했다 그는 또 획일적인 인증심사 체계도 문제점으로 지적하면서 체크리스트 기반, 위험도 분석을 통해 평가하기 때문에 인증 취득 자체가 완전한 것은 아니라며, 기업들의 경우 인증서 취득을 만병통치약으로 인식하는 경향이 있는데 이는 부적절하다고 덧붙였다.
영국표준협회(BSI코리아) 서정호 선임심사원은 국내 기업의 정보보호 담당자들은 과도한 규제로 인해 처리해야할 업무가 너무 많고, 규제 준수에만 초점을 맞춰 기업 정보보호의 큰 틀에 대해 고민할 시간이 없다는 점을 문제로 지적했다. 그는 “기업의 정보보호 체계는 중요한 정보가 무엇인지, 어디에 있는지 파악하는 것부터 시작된다. 또 단순 보고나 결재만을 수행하는 CISO보다는 기업 내의 모든 이슈 및 해결방안을 보안담당자와 함께 고민할 수 있어야 한다. 실무 경험이 풍부한 사람들이 관리자의 역할을 담당해야 한다”면서 “정보보호를 단순히 통제가 아닌 조직문화로 정착시켜야 한다. 조직의 정보보호는 정보보안 조직에서만 수행해야 하는 업무라는 생각을 버려야 한다. 현업 부서에서 이슈를 가장 잘 알고 있으므로 모든 조직원들이 정보보호 활동을 수행할 수 있도록 직원들에게 보안업무를 부여해야 한다”고 말했다.
인포섹 신현민 팀장은 금융, 공공, 대기업 등에서는 보안투자가 어느 정도 이루어지고 있다. 하지만 중소기업이나 중견기업 등은 보안관련 정책, 조직, 투자가 아예 없거나 많이 부족하다고 설명했다. 신현민 팀장은 “특히 중소기업의 경우 보안문화 조성을 하고 싶어도 할 수 없는 기업이 대다수다. 이를 위해 정부가 법률 등 제도적 보완을 통해 GRC(Governance, Risk Management, Compliance) 전략을 수립하도록 지원해야 한다”면서 “중소기업에서 보안수준을 높이고 체계적인 정보보호 정책을 수립하기 위해 정보보호 준비도 평가 등을 활용하는 것도 좋은 방법”이라고 설명했다. 그는 또 CISO는 정보보호 전담조직을 구성하고, 기업내 법률이라 할 수 있는 정보보안 규정·지침을 컴플라이언스에 맞게 재정립해야 한다고 말했다.
이어 사이버보안전문단원으로 활동하고 있는 이원백 ISMS 심사원도 중소기업의 취약점에 대해 언급했다. 그는 “인증심사를 다녀보면 중소기업들은 평가 이후 후속조치가 없는 것이 가장 큰 문제다. 심각한 취약점에 대해서는 신속하게 처리해야 하는데 정보보호 담당자의 코멘트조차 없다. 즉 정보보호 조직이 껍데기만 있는 허수아비에 불과하다. 이런 기업들의 경우 인증심사 관련 인터뷰를 하다 보면 보안에 대해 전혀 모른다는 것을 알 수 있었다”고 말했다. 이원백 심사원은 “중소기업에서 보안을 위해 예산을 투자하는 것을 보면 솔루션 아니면 유지보수 비용으로 다 나간다. 중소기업에서는 솔루션 도입보다는 정보보안 담당자 등 인적자원에 비용을 투자해야 한다”고 강조했다.
시큐아이 전성훈 부장은 “보안도 부익부 빈익빈이 되어 가고 있다. 보안담당자들은 인력이 부족한 가운데서도 인증과 규제준수, 감사 등 해야 할 업무가 많아 본연의 업무 수행이 힘들다. 더욱이 보안인증 획득이 기업의 보안수준을 높이는 방향이 아닌 단순한 보안인증 라이센스를 획득하기 위한 것으로 흘러가고 있다”고 지적했다.
마지막으로 EY한영회계법인 홍성권 수석컨설턴트는 “기업에서는 우리가 보호해야 할 대상에 대해 잘 모르는 경우가 많다. 정보자산을 식별하는데 반나절이 걸리는 경우도 허다하다”면서 “정형화된 서버를 찾는데도 많은 시간이 걸리는데, 비정형 데이터의 경우는 실제 있는지도, 그리고 어디에 얼마나 있는지조차도 모르는 경우가 많다”고 설명했다. <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||||||||||||||||
 |
