KISA, 기업의 관리적 보안 결함 Top 10 발표

고객 개인정보에 대한 자산 관리 강화 노력 필요

우리나라 기업의 보안상 결함 중 가장 높게 나타난 것이 시스템 로그 백업 등 백업절차의 부재에 있는 것으로 나타났다. 한국정보보호진흥원(이하 KISA)이 지난해 실시한 ‘정보보호 관리체계 인증심사’ 결과에 따르면 대부분의 기업들이 소홀할 수 있는 보안상 결함이 작은 것에서 시작된 다고 밝혔다.

대부분 결함 사항을 보면 시스템 로그 백업 미흡 등 백업절차 부재, 자산 분류 기준 부재와 자산의 보안등급 미표기 및 취급절차 미흡, 관리자 계정 공동사용, 보안사고 예방 및 대응절차 미흡으로 매일 반복되는 보안절차에서 발생되고 있다.

이에 따라 KISA는 지난해 동안 모두 40건에 이르는 정보보호관리체계인증심사 및 사후관리 심사를 진행했으며 이때 발견된 결함을 분석해 결함발생빈도 순으로 Top 10을 도출했다. 결함발생빈도는 발견된 취약점 수를 총 심사건수로 나눠 계산했고 이는 인증심사시 137개 세부통제항목별로 얼마나 자주 결함사항이 발견됐는지를 나타낸다.

가장 많이 발견된 결함은 ‘정보시스템 백업‘으로 대부분 기업이 정보시스템에 대한 백업을 수행하고 있지만 백업범위(데이터, 시스템 로그, 환경설정 파일 등), 주기, 방법 등을 정의한 지침 및 절차가 마련돼있지 않은 것으로 지적됐다. 이는 백업이 명확한 절차에 의해서가 아니라 담당자의 주관에 따라 임의적으로 이루어지고 있다는 것을 의미한다. 특히 시스템접속 및 운영 기록이 저장된 주요 로그 파일에 대한 백업 미흡은 침해사고 발생 시 사고조사 및 대응을 어렵게 만드는 원인이 될 수도 있다.

또 ‘정보자산의 보안관리’는 개인정보 유출에 대한 사회적인 심각성과 이에 대한 일반 국민들의 관심을 고려해 강조되는 정보보호대책 중 하나지만 발생빈도가 40%로 인증심사 5회당 2번꼴로 결함이 발견돼 기업의 관심도를 높일 필요성이 제기됐다.

이밖에 정보자산의 분류 기준이 없는 경우, 정보자산을 분류 기준에 부합하지 않게 관리하는 경우, 정보자산 분류시 꼭 포함해야 할 고객정보 DB를 비롯한 전자정보와 기밀문서 및 중요 보고서 등을 누락시킨 경우, 정보자산의 보안등급을 물리적 및 전자적으로 표시하지 않은 경우, 문서자산의 경우 자산의 중요도 산정(1/2/3등급 등)과 문서자산 보안등급(기밀, 대외비, 사외비 등)간 일관성이 없는 경우, 정보자산 보안등급에 따른 취급절차가 미흡한 경우 등으로 조사됐다.

KISA 관계자는 “이번 분석한 결함빈도 Top 10을 국내 기업이 간과하기 쉬운 기업 보안상 결함으로 보고있다”며 “취약성이 많은 웹을 대량 취급하는 서비스 업체가 상시 정보보호 관리를 할 수 있도록 정보보호관리체계 수립을 다각도로 지원하는 한편 기업 정보보호 실효성을 제고해 정보보호 수준을 강화하겠다”고 밝혔다.

한편 정보보호관리체계인증(ISMS)은 정보보호관리체계 수립·운영을 위한 5단계 관리과정(정보보호정책수립, 정보보호관리체계 범위설정, 위험관리, 구현, 사후관리)과 문서화 및 정보보호대책이 적절하게 수립되고 체계적으로 관리되고 이행되는지를 인증기관이 평가해 인증을 부여하고 있다. 현재 중요정보를 취급하는 사업자를 포함한 통신, 금융, 의료, 교육 분야 등 산업 전 분야에서 인증을 ISMS를 취득했거나 추진 중이다.

[배군득 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>