‘내부직원 관리·보안교육 강화’ 우선...‘데이터 백업’도 중요

[보안뉴스 김태형] 최근 빅데이터 및 IoT 시대를 맞아 기업·공공기관에서는 업무 시스템과 각종 디바이스를 통해 저장되는 다양한 데이터 보안이 최우선 과제가 되고 있다. 유출 시 막대한 피해로 이어질 수 있기 때문. 이러한 보안사고 방지와 정보유출 피해를 최소화하기 위해 선행되어야 과제로 보안종사자들은 ‘내부직원 관리 및 보안교육 강화’를 첫 손에 꼽았다.


이는 본지가 지난 4월 5일부터 5월 3일까지 진행한 ‘공공기관·기업에 저장되는 데이터가 급증함에 따라 랜섬웨어 등 각종 보안위협도 점차 커지고 있습니다. 이에 대응하기 위해 가장 선행되어야 할 것은?’이라는 설문조사 결과로, ‘내부직원 관리 및 보안교육 강화’라고 응답한 사람이 전체 응답자 중 30.8%를 차지해 가장 많았다.

이는 지난 2014년 초 사회적인 이슈가 됐던 주요 카드사 고객정보 유출사고가 해당 카드사의 전산개발 용역 수행업체 직원에 의해 벌어진 일로 알려지는 등 개인정보 유출사고 대부분이 내부직원 및 협력업체 직원 등 내부자에 의한 보안사고였기 때문으로 풀이된다. 이에 내부직원에 대한 보안관리를 강화하고 보안교육을 통한 보안의식 제고가 우선적으로 이루어져야 한다는 것이다.

두 번째로 많은 응답은 ‘데이터 백업 관리 철저’로 전체의 24.2%를 차지했다. 더욱이 최근 들어 ‘랜섬웨어’가 기승을 부리면서 데이터 보호에 대한 중요성이 더욱 커지고 있다. 랜섬웨어의 경우 개인에서 기업으로 공격대상이 확대되고 있음은 물론 PC·스마트폰·스마트워치 등으로 대상 기기도 확산되고 있어 더욱 위협적으로 다가오고 있다.

이러한 랜섬웨어 피해를 최소화하기 위해서는 랜섬웨어에 감염되지 않도록 스팸메일이나 출처를 알 수 없는 이메일에 대한 주의도 필요하겠지만, 중요 데이터를 복원하거나 복구할 수 있는 백업 관리도 중요하게 인식하고 있기 때문으로 분석된다.

세 번째로 많은 응답은 ‘보안인력 충원과 관련 조직 확대’로 14.3%를 차지했다. 이는 최근 많은 기업에서 CISO를 선임하고 있지만, CEO의 보안인식 수준은 아직 미흡한다는 점을 대변하는 통계라고 할 수 있다. 한 예로, 기업에서 보안관련 조직을 전산팀 안에 두거나 보안전문가를 계약직으로 채용하는 경우가 많다. 결국 주요 데이터 보호를 위해서는 보안전문 인력이 포함된 별도의 보안조직을 운영해야 한다는 게 보안전문가들의 공통된 지적이다.


그 다음은 ‘문서중앙화/DLP/DRM 등 데이터 보호 솔루션 도입’으로 전체 응답자의 13.6%를 차지했다. 최근 랜섬웨어가 기승을 부리고 있는 가운데 기업 및 공공기관에서 문서중앙화를 통해 중요 문서를 체계적으로 관리하고 통제함으로써 보안을 강화하려는 움직임이 확대되고 있다. 특히, 문서중앙화 솔루션은 기업이나 기관의 내부정보 유출방지와 업무 데이터를 지식자산으로 인식해 모든 데이터를 개인 PC가 아닌 중앙 스토리지로 집중시켜 저장·관리하는 방식이어서 중요 문서 데이터 보호에 효과적이라는 평가다.

이 외에도 ‘보유 데이터 암호화’가 9.1%, ‘접근권한 차등화 등 내부 보안 프로세스 확립’이라고 응답한 사람이 7%였다. 그러나 ‘개인정보보호 및 정보보호 관련 인증 획득’이라고 응답한 사람은 0.7%에 불과해 인증 획득만이 능사가 아니라는 인식을 보여줬다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)