“저비용의 실제적 보안업무·활동을 실천하라”
보안에 대한 경영진의 확고한 의지와 실천이 핵심


[보안뉴스 김태형] 최근 중소기업들의 사이버보안을 강화해야 한다는 지적이 일고 있다. 중소기업의 보안이 튼튼해야 사회가 안전해진다는 것. 그러나 지금의 사이버보안정책이나 제도 그리고 관련 솔루션 대부분은 대기업이나 공공기관 위주이기 때문에 중소기업은 보안의 중심에서 소외되고 있다는 우려가 나오고 있다.

▲ 우리나라 중소기업의 보안은 매우 취약하다. 심각한 보안 취약점이 드러나도 신속하게     처리해야 하지만 예산·인력 등의 문제로 방치되는 경우가 많다.

우리나라 중소기업의 보안은 매우 취약하다. 심각한 보안취약점이 드러나면 신속하게 처리해야 하지만 예산·인력 등의 문제로 대부분의 중소기업 정보보호담당자들은 제대로 대응하지 못하고 있다.  

이러한 중소기업의 대부분은 정보보호담당자는 있지만 대부분 겸직하고 있고, 보안에 대해 거의 모르는 경우가 많다. 기업 보안담당자 수준이 그 회사의 보안수준을 좌우한다는 말처럼 기업 보안담당자의 수준이 높으면 회사의 보안수준도 높을 수 밖에 없다. 이러한 문제를 해결하기 위해서는 중소기업도 비용효율적으로 보안을 강화할 수 있는 방안이 필요하다.

한 예로, 중소기업에서 보안 강화를 위해 예산을 투자한다면 대부분이 솔루션 아니면 유지보수 비용이다. 그러나 보안 솔루션 도입보다는 정보보안담당자 등 인적자원을 확보하는데 예산을 투자하는 것이 보안 강화를 위해 더 효율적이다.

이에 대해 LIG넥스원 보안실 정인표 수석매니저는 “협력업체 보안교육이나 점검을 다니다 보면 대부분의 중소기업 보안실무자는 실체가 없다. 실체가 있도록 하기 위해서는 내부적으로는 경영진, 외부적으로는 고객으로부터의 ‘Top-down’ 형태의 지원이 필요하다”면서 “이러한 지원 하에 이미 구축된 정보보호 시스템의 활용도를 제고하고 이를 바탕으로 저비용 보안활동을 한다면 비용효율적으로 전체적인 보안 수준을 높일 수 있다”고 말했다.

예를 들면, PC의 경우 윈도우 방화벽의 로그 모니터링을 통해 좀비PC 모니터링 시스템을 대체하거나, HWP·MS워드·엑셀 등의 프로그램 자체에 들어가 있는 암호화 기능을 사용해 DRM 솔루션을 대체할 수도 있다. 그리고 정보통신 보안점검 시 프리웨어 사용 등으로 저비용 보안활동이 충분히 가능하다는 것이다.

또한 그는 “이 외에 임직원들이 함께하는 ‘참여형 보안활동’이 중요하다. 이는 자생적 보안조직 운영을 통해 부서별 보안실무자 제도를 운영하는 방안 등이 있다”면서 “특히 보안활동과 인사고과를 연계하는 방법, 그리고 보안위반 처리기준 등의 각종 규정 및 제도를 정리하고, OA기기 자가점검 체크리스트 및 매뉴얼 제작, 보안표어 공모 및 보안UCC 공모전 활동 등을 통해 보안을 강화할 수 있다”고 강조했다.

그리고 보안교육 및 보안점검 강화를 위한 방안으로 멀티미디어 등을 활용한 재미있는 보안교육과 보안과 관련된 최신 뉴스 등을 바탕으로 한 시의적절한 보안교육이 중요하다는 설명이다. 또한, 보안점검 결과를 임직원들과 함께 공유하면서 밀착형 보안교육과 단계별 점검으로 보안수준을 강화하고 임직원들의 보안의식을 제고시켜야 한다고 덧붙였다.

정인표 수석은 유관기관에서 보안이 정말 중요하다고 생각한다면 이에 상응하는 제도적 보완이 필요하다고 말했다. 이와 관련해서 그는 “기업 등에서 보안이 무시되는 이유는 보안이 기업 생존을 위한 수익창출에 기여하지 못하고 심지어 수익 창출에 방해가 된다고 생각하기 때문”이라면서 “앞으로 보안이 사업의 필수요소가 되도록 국가에서 수익창출에 방해가 되는 것 이상의 이점을 주거나 반대로 벌점을 부여하는 방안을 마련할 필요가 있다”고 말했다.

예를 들면, 산업기밀이나 개인정보를 보유한 주요 기업에 대해서는 국가적인 감사제도를 실시하고 감사 결과에 따른 가·감점을 부여하는 등 보안수준 제고를 위한 제도를 마련하는 방안이 있다. 특히 국가 납품 업체의 경우, 보안시스템 구축 비용을 국가에서 원가로 보상하거나 방산업체에 대한 국방부 중앙보안감사, 입찰 시 감사결과를 반영하는 것 등도 포함될 수 있다는 설명이다.  

또한 그는 “기업의 성희롱 예방교육과 같이 보안교육도 기업 의무교육으로 지정하고 전시 국가중요시설을 지정해 비상계획관을 운영하듯이 산업기밀, 주요 개인정보 보유기업을 지정하고 보안전담관을 배정하는 방법도 생각해볼 수 있다”면서 “CISO는 형식적이므로 실무담당자, 특히 정보통신보안에 특화된 전담자 배정이 필요하다. 해당 인력은 법에서 지정하거나 임금 등을 지원하는 방안도 있다”고 덧붙였다.

이 외에도 온라인에 대한 대국민 보안의식 제고를 위한 활동이 필요하다고 정인표 수석은 지적했다. 예를 들면, 허락 없이 함부로 출입할 수 없는 청와대는 인터넷을 통해 누구나 쉽게 접속할 수 있도록 연결되어 있다. 아무리 망분리가 잘 되어 있다고 하더라도 인터넷과 연결되는 망연계점을 통해 외부로 연결되어 있고, 이를 통한 보안위협이 충분히 가능하기 때문에 전 국민들의 보안의식 제고가 필요하다는 것이다.

정인표 수석은 보안인력 육성 측면에 있어서도 기술적인 부분에만 편중되어 있는 현재 교육 프로그램의 변화를 주문했다. 그는 “보안인력 육성기관에서는 관리적 보안영역에 대한 교육을 통한 실전적 보안인력 육성, 즉 문과와 이과를 통합한 융합형 인재 양성이 중요하다”면서 “보안전문가에게는 모의해킹 등 전문적인 기술 교육도 필요하지만, 보안 및 ICT 기술과 관련된 어려운 용어를 경영진과 임직원들에게 쉽게 설명할 수 있는 능력도 중요하다”고 강조했다.

또한 그는 “명확한 진로(Career Path)와 이에 따른 특화된 교육이 필요하다. 학생들이 선택한 분야에 대해 취업 후 진로를 명확히 제시하고 진로별로 특화된 전문교육을 실시해야 한다”면서 “실무에서는 온·오프라인의 경계가 무의미하기 때문에 정보보안 전문가라고 해서 물리적 보안에 대해서 문외한이면 안된다. 결국 온·오프라인 통합형 인재가 필요하다”고 말했다.


    ▲ LIG넥스원 보안실 정인표 수석매니저
보안업체가 중소기업 보안담당자에게 보안 솔루션을 제안할 때는 해당 솔루션의 한계를 이야기해 줘야 한다고, 그래야만 중소기업에서도 정확한 보안 솔루션을 도입하고 미흡한 점에 대해 보완할 수 있다는 정 수석. 그는 “보안업체가 중소기업 경영진에게 신규로 도입되는 보안 시스템이 ‘모든’ 보안취약점을 막을 수 있을 것이라는 환상을 심어주면 안 된다”면서 “보안 업체에서 보안 솔루션에 대한 한계점을 이야기하고 기업 보안담당자와 함께 보완점을 고민해야 한다. 만약 한계를 보완할 방안이 없는 기술이라면 관리적 보안대책책이라도 제시해야 한다”고 말했다.

“보안 솔루션 구축 시 타사 사례에 대한 정보를 공유해서 동일한 문제에 대해 같은 실수를 반복하지 않도록 하는 것도 잊지 말아야 한다. 또 구축 후에는 운영 측면에서 취약점을 보완하고 개선사항에 대해서는 안정화 작업을 통해 우수 사례로 만들어야 한다.”

 
이러한 모든 것은 중소기업 경영진이 보안에 대한 확고한 의지와 실천이 없으면 불가능하다는 정 수석은 이를 위해 중소기업은 보안조직을 감사실과 같이 CEO 직속으로 운영해야 하고 임직원들에게 경영진의 의지를 정기적 또는 수시로 피력해야 한다고 강조했다.  

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>