고객 개인정보에 대한 기업의 자산 관리 강화 노력 필요
한국정보보호진흥원(KISA, 원장 황중연)이 '07년 한 해 동안 실시한 정보보호관리체계인증 심사 결과 이 같은 기업의 정보 보안상 결함들이 나타났다.
정보보호관리체계인증(ISMS)은 다양하고 복잡한 사이버 위협에 대응하기 위해 종합적인 관리와 대책 수립이 필요해짐에 따라 도입된 제도이다. 정보보호관리체계 수립ㆍ운영을 위한 5단계 관리과정(정보보호정책수립- 정보보호관리체계 범위설정- 위험관리- 구현- 사후관리)과 문서화 및 정보보호대책이 적절하게 수립되고 체계적으로 관리되고 이행되는지를 인증기관이 평가하여 인증을 부여하고 있다.
현재 중요정보를 취급하는 사업자를 포함한 통신, 금융, 의료, 교육 분야 등 산업 전 분야에서 인증을 ISMS를 취득했거나 추진 중이다. KISA는 지난 한 해 동안 총 40건에 이르는 정보보호관리체계인증심사 및 사후관리 심사를 진행하면서 발견된 결함을 분석해 Top 10(결함발생빈도 순)을 도출했다.
가장 많이 발견된 결함은 '정보시스템 백업'으로, 대부분 기업이 정보시스템에 대한 백업을 수행하고는 있으나, 백업범위(데이터, 시스템 로그, 환경설정 파일 등), 주기, 방법 등을 정의한 지침 및 절차가 마련되어있지 않아 지적된 사항이다. 이는 백업이 명확한 절차에 의해서가 아니라 담당자의 주관에 따라 임의적으로 이루어지고 있다는 것을 의미한다. 특히 시스템접속 및 운영 기록이 저장된 주요 로그 파일에 대한 백업 미흡은 침해사고 발생 시 사고조사 및 대응을 어렵게 만드는 원인이 될 수도 있다.
다음으로 많이 발견된 결함인 '정보자산의 보안관리'는 개인정보 유출에 대한 사회적인 심각성과 이에 대한 일반 국민들의 관심을 고려하여 특히 강조되는 정보보호대책 중 하나이다. 하지만 이는 발생빈도가 40%로 인증심사 5회당 2번꼴로 결함이 발견됐다.
KISA는 "기업의 주요 정보자산은 데이터, 문서, 하드웨어, 소프트웨어, 설비, 인적자산 등을 의미한다. 기업은 이를 안전하게 보호하기 위해 중요도에 따라 분류하여 보안등급을 표시하고 취급절차를 마련해야 한다"며 "많은 기업들이 자산의 중요도 산정까지는 하고 있으나, 그에 따른 처리절차를 명확히 하지 않거나 절차를 따르지 않은 것으로 나타났다"고 밝혔다.
이 밖에도 ▲정보자산의 분류 기준이 없는 경우 ▲정보자산을 분류 기준에 부합하지 않게 관리하는 경우 ▲정보자산 분류시 꼭 포함해야 할 고객정보 DB를 비롯한 전자정보와 기밀문서 및 중요 보고서 등을 누락시킨 경우 ▲정보자산의 보안등급을 물리적 및 전자적으로 표시하지 않은 경우 ▲문서자산의 경우 자산의 중요도 산정(1/2/3등급 등)과 문서자산 보안등급(기밀, 대외비, 사외비 등)간 일관성이 없는 경우 ▲정보자산 보안등급에 따른 취급절차가 미흡한 경우 보안 결함이 발생하는 것으로 나타났다.
KISA 관계자는 "이번에 분석한 결함빈도 Top 10을 국내 기업이 간과하기 쉬운 기업 보안상 결함으로 보고, 특히 취약성이 많은 웹을 대량 취급하는 서비스 업체가 상시 정보보호 관리를 할 수 있도록 정보보호관리체계 수립을 다각도로 지원하는 한편, 기업 정보보호 실효성을 제고하여 정보보호 수준을 강화하겠다"고 밝혔다.
김정은 기자
jekim@itdaily.kr