해킹 대비 보안, 잘하는 기업 '이유 있네'

입력 2011. 8. 30. 10:06 수정 2011. 8. 30. 11:14
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

해킹수법 날로 지능화, 일부 기업 보안투자 '뒷전'

[이코노미세계]

최근 보안 문제가 중요한 이슈로 확산되고 있는 가운데 해킹피해를 예방하기 위한 기업들의 보안 인식변화가 시급히 요구되고 있다.

농협, SK컴즈에 이어 최근 한국엡손에 이르기까지 무방비로 해킹을 당했다는 소식이 전해지면서 보안관리 문제가 산업계의 화두로 부각되고 있다.

기업들의 개인정보 유출 사고가 끊이지 않는 데는 주민번호를 기반으로 한 기업들의 DB 확보와 개인정보에 대한 기업내부 인식 미흡, 외부 위탁관리 소홀, 허술한 시스템 구축과 운영 등이 주요인으로 나타나고 있다.

특히 개인정보의 매매 등 개인정보 내부취급자 및 위탁관리자의 개인정보 유출 및 오·남용, 그리고 허술한 관리 및 방치로 인한 침해사례가 빈번하게 이뤄지고 있다.

이와 함께 기업들은 개인정보 관리와 관련한 낮은 정보보호 투자로 인해 개인정보 침해에 고스란히 노출되고 있어, 대책 마련이 절실한 실정이다.

본지는 개인정보 유출에 따른 피해를 최소화 할 수 있는 방안과 해킹 등 보안관리 체계가 철저한 기업과 그렇지 못한 기업들 간 차이점이 무엇인지 분석해 봤다.

실제로 2010년 기업체의 정보보호 투자현황을 보면 63.5%의 기업은 정보보호 투자를 전혀 고려하지 않고 있고, 정보보호투자가 1% 미만인 곳도 17.9%로서 전체의 약 86%가 정보보호 투자에 매우 소극적인 것으로 나타났다.

한마디로 고객정보 수집에는 기업이 이윤을 위해 혈안이 되어 있지만, 정작 개인정보보호나 보안망관리 투자에는 '뒷전'이라는 것이다. 개인정보를 탈취하기 위한 해킹기법은 날로 지능화되고 있지만, 일부 기업들은 개인정보보호에 대한 지속적인 관심과 투자에는 도덕적 해이를 넘어 이렇다 할 죄의식을 느끼지 못한다는데 커다란 문제점이 제기되고 있다.

그렇다면 해킹 등 보안 관리를 철저히 하는 기업과 그렇지 못한 기업들 간 차이점은 무엇일까.

기업 특성에 따라 다소 차이는 있지만, 대개 개인정보를 안전하게 관리하고 있는 기업들은 개인정보의 처리를 총괄해서 책임지는 개인정보보호책임자를 지정하고 있다는 것이다.

특히 철저한 개인정보보호 계획의 수립 및 시행을 통해 ▲개인정보파일의 보호 및 관리·감독 ▲개인정보 처리 실태에 대해 지속적인 내부 점검 ▲개인정보의 적절한 처리 등을 체계적으로 수행하고 있다. 또한 기업 CEO를 비롯해 임직원의 개인정보에 대한 인식제고를 위해 교육이나 홍보, 정보제공 등 안전장치를 꾸준히 병행하고 있다는 것.

일부 업체, 기업 이윤 집착…개인정보 관리 소홀

반면 보안체계가 허술한 기업들은 보통 기업 내 보안업무의 성과가 잘 드러나지 않아 '잘해야 본전'이라는 안일한 인식이 팽배해 있다는 점이다.

게다가 개인정보를 철저히 보호해야겠다는 사회적 책임 의식과 CEO의 관심도도 낮다. 또 관리자의 계정관리 소홀과 고객 비밀번호의 암호화조치 미흡 등 기업이 기본적으로 준수해야 할 사항들조차 제대로 인지하고 못하고 있다.

특히 해킹사고 발생시, 기업의 이미지 훼손과 책임을 의식해 그 사실을 숨기기에만 급급한 실정이다. 실제 지난 4월에 발생한 농협사태등의 사건에서 나타났듯, 주요 금융권 IT담당 인력의 절반가량은 외주업체로 구성돼 있어 개인정보를 다루는 기업들은 문제발생시 그대로 위험에 노출되어 있다.

개인정보유출 사건은SK컴즈 이외에도 다음 고객상담 관리 시스템 해킹 7000명 개인정보 유출(2007년), 옥션 해킹 사건 1863만명 정보유출(2008년 2월), 저축은행 7곳 300만건(3월), 하나로텔레콤(현 SK브로드밴드) 600만명 고객정보 유출, GS칼텍스 개인정보 유출사건 1125만명 정보 유출(9월), 신세계몰 등 백화점 고객 등 650만명 개인정보 유출(2010년 3월), 아이러브스쿨, 대명리조트 등 25개 사이트 2000만명 개인정보 유출 등 매년 발생했다.

전문가들은 체계적인 관리 시스템이 작동하지 않는다면 해킹 등 보안관련 사고는 언제든지 재발할 수 있다고 말한다.

장광수 행정안전부 정보화전략 실장은 "우리나라 기업들은 고객 맞춤형 서비스, 마케팅 등의 제공을 이유로 개인정보를 필요이상 과다, 수집하는 경향이 있다"면서 "많은 기업들이 개인정보침해 사고가 발생했을 때 어떤 방법과 절차를 통해 피해를 최소화할 수 있을지 제대로 인지하지 못하고 있다"고 말했다.

그는 "개인정보 피해를 최소화하기 위해선 개인의 고유 식별정보 및 민감 정보처리 제한, 개인정보 처리를 위한 내부관리 계획 수립 등 각종 조치들이 엄격히 적용돼야 한다"면서 "개인정보파일을 위탁?관리하는 수탁자에 대한 철저한 관리체계도 중요하다"고 강조했다.

삼성전자 보안, 기업의 생사 결정짓는 핵심요소 인식

체계적인 보안 관리로 잘 알려진 삼성의 경우 기술이나 영업 기밀자료 등에 대한 보안을 기업 경쟁력의 핵심요소 중 하나로 인식, 제도와 프로세스로 자체 전문 인력을 통해 보안강화에 주력하고 있다.

실제 삼성전자는 지난해 최지성 부회장이(당시 사장) 직접 'CEO 특별 메시지'를 통해 임직원들에게 보안의 중요성을 강조하는 등 사내 인트라넷을 통해 철저한 보안 관리를 해오고 있다.

삼성전자의 보안은 기업의 경쟁력 유지는 물론 생사를 결정짓는 핵심적인 요소라는 인식하에 정보보안의 중요성을 몸소 실천하고 있다.

특히 국제 기업보안인증인 ISO27001을 획득해 세계수준의 보안체계를 갖춘 삼성전자 반도체의 경우 지난 2002년 초 본격적인 활동을 시작으로 ▶보안조직부문 ▶출입절차에 대한 보안 ▶IT보안 ▶보안교육 등 산재돼 있던 보안 관련 핵심요소들을 재정비했다.

또 임직원이 자발적으로 정보의 소유자, 관리자, 사용주체로 정보를 관리하는 '임직원 자율보안' 개념을 도입, 신개념 보안체계를 구축했다.

실제 한국의 명견 진돗개를 형상화한 '세티'(Setti)라는 보안 캐릭터를 만들고 보안전문 사이트를 개설했고, '세티켓'이라는 보안 용어를 통해 '7대 세티켓 운동', '세티켓 10부제' 등 자율적인 보안활동을 추진하고 있다.

이외에도 반도체 사업장의 경우 특수 용지를 사용해?사외 반출을 위해 보안 게이트 통과시?보안 경보가 울리도록 하는가하면, 사내 문서출력 시, 출력자의 사번이 문서에 표시돼 보안관리에 만전을 기하고 있다.

삼성전자 관계자는 "임직원 개개인이 보안 프로그램을 온라인 교육을 통해 이수할 정도로 매년 철저히 사전보안 교육을 실시하고 있고, 오프라인도 집합 교육을 통해 체계적인 보안교육을 하고 있다"면서 "반도체 부문의 경우 현재 국내외 사업장의 보안시스템을 통합, 국제표준규격으로 통일된 글로벌 통합보안시스템을 구축, 운영하고 있다"고 말했다.

LG전자의 보안관리 체계 및 보안교육 또한 지난 2006년의 시행착오를 반복하지 않기 위해 임직원의 보안의식 제고 및 사내 보안 정책과 제도를 주기적으로 실시하고 있다.

특히 ▲부서별 보안담당자 제도 ▲보안 진단 및 각종 보안 시스템 운영을 통한 보안 절차를 준수하고 보안을 생활화 할 수 있도록 체계를 갖췄다.

임직원의 보안의식 제고를 통한 보안사고 예방을 위해서 직급별, 대상별로 체계적인 보안교육을 실시하고 있고, 부서별 보안 담당자 제도 운영 및 보안 진단에 주력하고 있다.

LG전자는 특히 PC에서 생성, 저장되는 전자파일의 무단 복사, 전송을 방지하기 위해 PC보안용 소프트웨어가 설치돼 있다.

주요 사내 정보시스템에는 문서보안 솔루션을 도입해 접근권한이 없는 임직원이 자료를 무단 열람·저장할 수 없도록 했다. 또 사내 FAX를 통한 정보유출을 방지하기 위해 FAX보안 시스템을 도입, 운영하고 있다.

보안규정을 위반한 직원에게는 페널티를 부여하고 있다. 벌점은 중요도에 따라 5점에서 15점 단위로 적용된다. 적발된 보안 위반사례는 모두 조직책임자에게 통보된다. 연간 누적으로 벌점 30점이 넘으면 팀장 통보, 70점이 넘으면 징계 심사가 이뤄진다. 벌점을 받고 나서 2년 동안 위반 사례가 없으면 기존 벌점의 30%가 삭감된다.

LG전자 관계자는 "이는 징계 관점이 아니라 보안사고 예방 차원에서 실시하는 것으로 임직원들의 보안의식이 철저히 이뤄지는 계기기 된다"며 "이러한 일련의 체계들은 고객들이 신뢰할 수 있는 보안시스템을 인정받았다는데 그 의미가 있다"고 말했다.

LG전자는 올해 고객정보보호 강화와 관련 ▲임직원 PC 내 고객정보 취급 모니터링 시스템 적용 ▲모든 고객정보 암호화 ▲전 개인정보 취급자의 '개인정보관리사' 취득 등 다양한 활동에 주력할 방침이다.

이외에도 LG전자는 스피드 게이트, RFID, CCTV 등 출입보안 시스템을 각 사업장에 설치·운영하고 있다. 각 연구소 및 주요 시설에는 이중으로 시스템을 설치해 엄격한 보안 관리를 실시하고 있다.

정보저장 장치의 반·출입을 관리하기 위해 보안검색 장비인 EAS, X-ray투시기, 금속 탐지기 등을 설치했으며, 해외에서도 해당 국가가 제안하는 보안기준에 맞도록 보안관리 체계를 강화하고 있다.

개인정보 처리 실태 지속적인 내부 점검 관건

POSCO의 경우 공장 안에서 서비스를 하다가 공장 밖으로 나가면 자연적으로 디지털 지도가 삭제된다든지, 공장 내의 정보가 공장 밖으로 나가면 전파가 차단되도록 정보보안 강화에 만전을 기하고 있다.

포스코는 보안교육에 있어서도 단순히 이메일 정보보안에 한정하기보다는 임직원들을 대상으로 적극적으로 보안에 대한 중요성을 강조하고 있다.

특히 포스코는 각 해외 법인 임원들이 정보보안에 대한 중요성은 물론, 생산이나 연구개발 조직이 있는 해외 법인에는 별도의 보안조직을 운영, 현지 임원들에게도 본사 직원들과 똑같이 기본적인 PC보안, 반·출입 통제 관리 등을 지속적으로 실시해오고 있다.

이와 함께 모든 보안과 관련된 문서를 개인 노트북이 아닌 회사서버에 저장을 해 관리함으로써 기업의 영업과 관련된 문서는 제한된 인원만이 정보에 접근할 수 있도록 체계화 했다.

김병완 삼성경제연구소 연구원은 "특히 대량의 개인정보를 보유하고 있는 기업들은 안전한 시스템 구축과 운영 등 보안인력들에 대한 철저한 교육 등 사전적 대응 마련이 중요하다"고 말했다.

이어 "개인정보유출은 명의도용 등 다른 형태의 범죄로 이어질 수 있는 만큼, 개개인의 인식과 대응이 최선의 방법이다. 또한 CEO 및 임직원의 인식 제고와 이를 최소화하기 위한 민·관·학 등이 참여하는 사전 공조 시스템이 필요하다"고 말했다.

윤종우 기자, ydsikk@e-segye.com

[ⓒ 이코노미세계 & Segye.com, 무단 전재 및 재배포 금지]

Copyright © 세계일보. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?