• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

‘중소기업을 위한 정보보호 관리 가이드’ 개정안 나왔다 2016.11.22

미국 국립표준기술연구소, 중소기업 정보보호 위해 발표
기술적인 보호 방법이 아닌 최소한의 위험 관리를 위한 정보보호 가이드

[보안뉴스 원병철 기자] 대기업에 비해 정보보호에 대한 투자나 노력을 기울이기 힘든 중소기업과 소상공인들을 위해 미국 국립표준기술연구소, NIST가 ‘중소기업을 위한 정보보호 관리 가이드’ 개정안을 발간했다.

한국인터넷진흥원(KISA)은 미국 NIST가 소규모 비즈니스를 하는 중소기업의 사이버 보안 수준 향상을 위한 정보보호 가이드 개정(Revistion 1)을 발간했다고 밝혔다. NIST는 사이버 보안에 대한 기본적인 지식이 없는 일반 기업의 사이버 보안을 위해, 기술적인 보호 방법이 아닌 최소한의 기본적인 위험 관리를 위한 정보보호 가이드 ‘Small Business Information Security : The Fundamentals’를 개정·발간했다. Small Business Information Security : The Fundamentals는 2009년에 최초로 만들어 졌으며, 사이버 보안을 위한 체계적인 관리가 가능하도록 환경 변화에 따라 개정(Revistion 1)하고 있다.

이번에 개정된 가이드에 따르면 중소기업은 전체 산업에서 대다수를 차지하며 중요한 역할을 하고 있다. 미국의 중소기업 수는 2,820만개이며, 미국 민간 부분 매출의 46%, 신규 고용 창출의 63%를 차지하고 있다. 문제는 대부분의 사업이 온라인으로 연결되고 있는데 비해 사업자들은 사이버 보안에 우선순위를 두고 있지 못하다는 것이다. 특히, 중소기업은 대기업들에 비해 상대적으로 사이버 보안에 투자할 여력이 없고, 관리가 허술한 경우가 많다. 게다가 최근 비즈니스 환경은 비즈니스의 규모와 상관없이 온라인에서의 사이버 보안 위협을 직면하고 있다는 점을 생각하면 상당히 우려스럽다. 일례로 미국 국가사이버보안협의회(NCSA)는 중소 비즈니스 업체 60%가 6개월 안에 사이버 공격으로 문제될 수 있다고 밝히기도 했다.

물론, 일부 중소기업의 경우 정보나 시스템, 네트워크 보안이 최우선 순위가 아닐 수도 있지만, 사이버 보안 사고는 비즈니스, 고객, 직원, 비즈니스 파트너 및 잠재적으로 커뮤니티에 해가 될 수 있다. 때문에 각 중소기업이 비즈니스를 지원하는 정보, 시스템 및 네트워크에 대한 위험을 이해하고 관리하는 것이 매우 중요하다는 것이다. 이에 NIST는 단순히 단편적인 보안 수칙을 가이드 하는 것을 포함, 기업 자산의 중요도와 위험을 체계적으로 관리해 사이버 보안을 대응할 수 있도록 비즈니스 프로세스 관점에서 가이드를 제시했다.


우선, 비즈니스 연속성 관점에서 사이버 보안과 인적, 물리적, 개인정보 등을 구분해 가이드의 범위를 명확하게 했다. 또한, 비즈니스 환경에서 발생할 수 있는 위협(Threats), 취약점(Vulnerabilities), 가능성(Likelihood), 영향도(Impact)를 분석해 최종적인 위험(Risk)을 판단할 수 있도록 했다. 식별(DENTIFY)/보호(PROTECT)/탐지(DETECT)/대응(RESPONSE)/복구(RECOVER)의 체계를 통한 사이버 위험 관리 계획을 수립할 수 있도록 했으며, 또한 계정관리, 어플리케이션 설치 등 업무 PC 보안, 모바일, 네트워크 분리, 이메일 보안 등 일반 업무 환경에서 보안을 강화할 수 있는 방안에 대해서도 안내하고 있다.

이와 함께 기업 내부에서 할 수 있는 위험관리를 통한 보안활동 외에도 별도 투자를 통한 보호 방법도 함께 알려줘 단계적인 보호 활동이 이뤄질 수 있도록 가이드하고 있다. 비즈니스 주요 정보에 대한 백업 및 다른 미디어, 장소로의 백업 보관 전력 안정성 확보, 사이버 보안 컨설팅, 사이버 침해 관련 보험 등 일정 수준 이상 투자가 필요한 보안 활동도 함께 안내하고 있다.

이번 NIST의 중소기업 사이버 보안 수준 향상을 위한 정보보호 가이드 개정안은 단순히 사이버 보안을 위해 투자를 유도하는 방향이 아닌, 보안이 왜 필요한지, 현재 해상 사업장의 상태는 어떤 상황인지, 큰 비용을 들이지 않아도 손쉽게 할 수 있는 최소한의 노력은 어떤 것들이 있는 지 등 실질적이면서도 효과적인 방법을 알려주는 데 큰 의의가 있으며, 단지 미국뿐만이 아닌 세계 어느 기업에서도 따라할 수 있는 방법이라는 점에서 반가운 일이라고 할 수 있다.

한편, 해당 자료는 미국 국립표준기술연구소 홈페이지(www.nist.gov/node/1111801)에서 받을 수 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>