금전적, 신뢰도 영향 보다 '브랜드 가치' 더 추락 가능성 높아
방송통신위원회와 한국정보보호진흥원가 각각 주최하고 주관한 '방송통신융합환경에서의 기업정보보호전략' 세미나에서 안전진단 수행 기관인 언스트앤영 어드바이저리가 발표한 '기업 위험관리를 위한 IT 컴플라이언스 대응 전략'에서 이같이 밝혀졌다.
언스트앤영 어드바이저리의 조사 결과에 따르면 10대 기업 리스크는 ▲신용경색 ▲규제&컴플라이언스 ▲불황심화 ▲급진적 그린(GREEN)화 ▲비전통적 참여자 ▲비용 축소 ▲관리 능력 ▲집행한 얼라이언스와 거래 ▲비즈니스 모델 중복 ▲평판 리스크 등이라는 것.
이 가운데 대규모 개인정보 유출 사고는 해당 기업의 평판 리스크에 막대한 영향을 주고 있는 것으로 분석했다. 언스트앤영 어드바이저리 김민수 이사는 "기업들은 보안 사고로 인한 금전적 부담, 신뢰도 하락 보다도 브랜드 가치 추락을 우려하고 있다. 이는 정보보호컨설팅이나 안전진단이 필요한 이유"라고 말했다.
또한 김 이사는 "대규모 개인정보 유출 사고가 일어난 기업들의 경우 DB보안 솔루션, 중요 데이터의 DRM 적용, 이동식 저장매체 통제, 고객정보 접근기록에 대한 주기적인 감사/모니터링 가운데 하나라도 적용됐었다면 한국이 전 세계 개인정보유출 사고로 10위권 안에 드는 불명예스런 일은 없었을 것"이라고 덧붙였다.
기업들은 IT위험 관리를 통해 비즈니스 위험을 낮출 수 있고, 단순한 제품 도입이 아닌 보안관리체계부터 완성해야 한다고 강조했다. IT 위험 관리는 조직의 IT자산(서버시스템, 네트워크, DB, 애플리케이션 등)과 IT관련 업무 프로세스(기획, 개발, 운영, 유지보수 등)에 대해 이뤄져야 하며, IT위험관리의 주요 효과로는 IT위험관리 수준의 지표화 가능, 효과적인 IT거버넌스 이행, 정보화 예산의 효율적인 집행, 적절한 IT컴플라이언스 대응 등이다.
김민수 이사는 "보안컴플라이언스 강화와 기업 브랜드 리스크 감소를 위해 개인정보보호와 연관된 위험을 엄격한 수준으로 관리하고, 기업 내부 정보에 대한 중요도가 다를 수 있는 제3의 계약자에게 특별한 정보보안 요구사항과 통제를 수립해야 한다"고 강조했다.
김정은 기자
jekim@itdaily.kr