CEO 및 임직원 보안인식 제고, 실질적인 정보보안 실천이 중요
[보안뉴스= 김호성 KISA 개인정보기술지원팀장] 사회 전반에 걸쳐 계속되는 안전사고로 인해 안전에 대한 국민들의 관심과 요구가 높아지고 있다. ICT 기술의 발달로 모든 것이 인터넷으로 연결되는 세상이 열리고 있는 상황에서 고객정보를 핵심자산으로 다루는 기업에도 안전과 개인정보보호는 반드시 해결해야 하는 과제가 되고 있다.
그러나 잊을 만하면 발생하는 대형 개인정보 유출사고를 보고 있자니 기업의 개인정보보호를 예외사항이라고 생각하고 있는 것은 아닌지 우려스럽다.
고객정보를 안전하게 보호하기 위한 기업의 투자나 노력이 부족하다는 말은 익히 들어왔다. 그러나 최근의 조사는 이러한 상황이 달라지지 않았음을 그대로 보여주고 있다. 한국인터넷진흥원이 조사한 ‘2013년 정보보호 실태조사’에 따르면 중소기업, 소상공인에서 정보보호 정책을 수립해 시행하는 비율이 24% 이하, 정보보안 교육 실시가 24.6% 이하, 51.8% 이상이 정보보호 관련 지출이 없을 정도로 매우 열악한 상황이었다.
더욱 심각한 것은 실제 정보보안 활동도 매우 부족하다는 것이다. 정기적 보안점검 수행, 자동업데이트 보안패치 설정, 업무에 따른 권한 차등 부여 등을 하지 않는 비율이 절반 수준에 그쳤다. 사회적으로 정보보호에 대한 중요성과 인식이 높아졌다고는 하나 기업의 실질적인 조치 수준은 아직 걸음마 단계에 머물고 있는 것이다.
그렇다면 소상공인과 중소기업이 침해사고에 대비한 정보보안 조치를 실행하지 않거나 못하는 이유는 무엇일까. 여러 이유가 있겠으나 보안에 대한 CEO 및 직원의 인식 부족, 생업우선 경향에 따른 정보보안의 우선순위가 밀리는 것이 큰 원인인 것으로 보인다.
중소기업청에서 발표한 ‘2013 중소기업 실태조사 결과’에 따르면 중소기업은 영업 이익의 하락, 전문인력의 이직, 근로자 평균연령의 증가 등으로 경영상 어려움을 겪고 있는 것으로 조사됐다.
중소기업에 반복되고 있는 경제적 어려움이나 전문성 부족 문제는 실제적인 정보보안 활동을 저해하는 요인으로 작용하고 있을 것이다. 한국인터넷진흥원은 이러한 기업환경에 도움을 주고자 정보보호와 관련한 종합컨설팅을 지원하고 있다.
여기서 더 나아가 정보보호가 기업의 문화로 정착돼 보호조치 수준이 강화되기 위해서는 다각적인 노력이 이어져야 한다. 첫째로 소상공인 및 중소기업이 정보보호를 이행할 수 있도록 국가차원의 지원이 확대돼야 한다. 이러한 점에서 정부가 소상공인에 2조원을 투입하기로 결정한 사항이나 ‘중소기업 기술보호 지원에 관한 법률’이 지난 5월 공포된 것은 기업의 정보보안 실천에 촉매제가 될 것으로 기대된다.
둘째로 중소기업의 정보보호 조치를 지원하는 정책들은 눈높이에 맞춰 추진돼야 한다. 중소기업의 가용 정보자원, 숙련도, 연령 등을 고려해 기술지원 체계를 운영하고, 지침·매뉴얼·솔루션을 개발하고 보급해야 실효성을 높일 수 있다. 이를 통해 궁극적으로는 기업들이 정보보호 실천활동을 자율적으로 이행하도록 하는 방안이 마련돼야 한다.
셋째로 개인정보가 기업의 핵심자산이라는 인식에서 나아가 이를 보호하기 위한 내부의 실질적인 노력이 필요하다. 직원들이 OS 기본 보안기능을 반드시 사용하도록 하고, 보안정책을 준수하도록 관리·감독하는 것은 CEO의 의지만으로도 충분히 가능하다.
침해사고는 의외로 사소한 부분에 대한 관심과 조치를 통해서도 사전에 예방할 수 있다. 이제는 정보를 보호하기 위한 다짐을 실천해야 한다. 정보보호가 우리 사회와 기업이 준수해야하는 구호로만 그치지 않고 유효한 실천으로 이어지기를 바란다.
[글 _ 김 호 성 한국인터넷진흥원 개인정보기술지원팀 팀장]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
