`정보보안 불감증 극복` 정부-기업 공조체제 갖춰야

기업 3곳 중 2곳 정보보호 투자 '제로'
보안 인식ㆍ교육 담당 CSO 역할 중요
좀비PC방지법 등 범정부적 정책 필요

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


`정보보안 불감증 극복` 정부-기업 공조체제 갖춰야
■ 좀비 PC 추방하자
5. 좀비PC 차단, 민관 협력이 관건(2)


"한 중견기업의 생산라인이 멈췄다는 연락을 듣고 갔더니 라인을 움직이는 컴퓨터 네트워크에 악성코드가 감염돼 일어난 문제였다. 생산현장에 있던 컴퓨터들을 점검한 결과, 백신이 설치돼 있어도 업데이트가 전혀 안됐고, 백신이라 방화벽 외에 보안을 위한 장비는 거의 전무했다. 대부분 컴퓨터에는 생산직원들이 수시로 인터넷에 접속해 이메일 등을 자유롭게 한 흔적이 있었고 심지어 음란포르노물이 깔려 있는 경우도 있었다."

악성코드 감염으로 인해 생산라인 가동은 물론이고, 개인정보유출, 혹은 좀비PC로 활용될 여지가 충분함에도 불구하고 생산현장에 IT관리자들은 전무한 게 현실이다.

◇기업 3곳 중 두 곳은 정보보호 투자 `제로'=한 보안업체 대표가 얘기한 최근 기업들의 악성코드 감염 피해 사례 중 하나다. 지난해 7.7 분산서비스거부(DDoS)공격 이후 정부와 기업이 정보보안의 중요성을 다시 인식했다고 하지만, 여전히 공격은 발생하고 있고 이에 대한 대비는 부족한 현실이다.

한국인터넷진흥원(KISA)이 지난해 전국 종사자수 5인 이상, 네트워크로 연결된 PC를 한 대 이상 보유한 사업체 2300개를 대상으로 정보보호 실태조사를 한 결과, 기업 3곳 중 두 곳(63.6%)은 정보보호 투자가 전무했다. 정보보호 투자가 전무한 기업의 경우, 65.5%가 보안사고로 인한 피해가 거의 없기 때문이라고 답했다.

실제로 응답자 중 웜ㆍ바이러스, 해킹 등 인터넷 침해사고 피해를 경험한 곳은 19.2%였지만, 이들 피해자들이 인터넷 침해사고로 인해 입은 경제적 피해는 시스템 비정상 작동으로 인한 매출 손실뿐 아니라 정보보안 침해사고로 인한 데이터 영구 소실 등 피해 정도가 심각했다. 또 침해사고를 입더라도 이에 대한 별다른 활동을 하지 않는 곳이 응답자의 61.9%를 차지해 2차, 3차 피해의 가능성을 열어두고 있는 셈이다.

전문가들은 이 같은 피해에 대비하기 위해서는 정보보호 책임자 임명을 통해 보안의 중요성을 기업CEO에게 전달하는 게 중요하다고 강조한다.

KISA조사에 따르면 CSO(최고정보보호책임자)를 임명하고 있는 기업은 14.6%에 불과하다. 또 CEO대상의 정보보호 인식 및 관리 교육을 실시하고 있는 기업은 전체 응답자의 62%로 이는 2008년 대비 10%포인트 하락한 수치다.

염흥열 순천향대 교수(정보보호학)는 "기업의 PC들이 좀비PC화되지 않기 위해서는 기업의 정보보안 투자가 반드시 선행돼야 하며, CSO는 이를 위한 계획 수립 및 예산 확보를 위해 기업 CEO와 소통하고 정보보안의 중요성을 전달해주는 역할을 담당해야 하기 때문에 반드시 필요하다"고 말했다.

◇기업-정부 협력이 좀비PC차단 밑거름= 기업의 정보보호 노력이 동반되더라도 이를 감시하고 뒷받침해줄 수 있는 정부의 노력도 중요하다. 내년부터 본격적으로 입법이 추진될 `악성프로그램 확산방지 등에 관한 법률'(일명 좀비PC방지법)을 비롯해 한국인터넷진흥원에서 운영하고 있는 웹체크, 시큐어코딩 등이 정부가 최근 펼치고 있는 부분이다.

특히 좀비PC방지법이 본격적으로 논의되고 발효될 경우 기업들은 실질적인 역할을 수행해야하며, 그렇지 않을 경우엔 최대 2000만원까지 과태료가 부과된다. 좀비PC를 치료하지 않거나 치료에 협조하지 않는 게 더 이상 민간 차원만의 문제가 아니라 범정부적 차원에서 해결해야 할 일이 됐기 때문이다.

그러나 이러한 법망에서도 보호돼야 할 곳이 있다. 앞서 얘기된 KISA의 지난해 정보보호 실태 조사 결과, 250명 이상 종사자가 있는 기업은 60%정도가 정보화 투자 대비 정보보호 투자 비율이 1% 이상이었지만, 50∼249명 32.4%, 10∼49명 23.3%, 5∼9명 16.1%로 점차 낮게 나타났다. 대기업은 자금 여력 등으로 정보보호를 위한 조치와 투자면 에서 앞설 수 있지만, 적은 자금으로 운영하는 중소ㆍ영세 기업의 경우 적절한 조치를 취하기 어려운 면이 있기 때문이다. 따라서 정부의 중소기업에 대한 적절한 지원 정책이 필요한 것이다.

현재 KISA의 보호나라 홈페이지 등을 통해 이러한 중소규모 사업자들이 자신들의 PC상황을 체크할 수 있는 웹취약점 원격점검 및 웹 보안 강화 도구 등이 지원되고 있다.

점차 스마트폰 증가, 스마트워크 환경 구현 등 모바일을 활용한 업무량이 증가함에 따라 모바일의 좀비PC화에 대비한 노력도 필요하다. 방송통신위원회가 이 달 중으로 모바일 종합 대책을 발표, 일반인이나 기업에서 어떻게 모바일을 안전하게 활용할 수 있는지 가이드를 제시할 계획이다.

원유재 KISA 인터넷정책단장은 "기업들이 좀비PC방지 등에 투자하거나 협력이 소홀한 것은 내가 피해자가 아니라는 인식이 있기 때문"이라며 "인터넷서비스사업자(ISP)나 포털 등 중소규모 이상의 기업들은 피해가 확산되지 않고, 피해 받은 곳을 구제하는 데 대한 사회적 책임을 갖고 정부와 보안에 좀 협력하는 자세가 필요하다"고 말했다.

김지선기자 dubs45@

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]


추천기사