실시간 뉴스



[보안, 해법은 투자다-1] '보안'없는 IT인프라는 오히려 '독'


대형 해킹 사고가 줄을 이으면서 'IT 강국'의 명성이 흔들리고 있다. 더 이상 '해킹 무풍지대'는 없다는 불안감이 커지고 있다. 하지만 기업들은 여전히 보안 투자에 소극적인 자세를 보이고 있다. 큰 일 터지고 나면 사후약방문 식의 땜질 처방에 급급한 상태다. 아이뉴스24는 '보안, 해법은 투자다' 시리즈를 통해 국내 기업들의 허술한 보안 실태와 꼭 필요한 투자 분야, 그리고 향후 대책 등을 긴급 점검한다. <편집자>


'IT강국 코리아'가 뻥뻥 뚫리고 있다.

국내 대표 오픈마켓인 옥션은 중국발 해킹으로 1천81만명의 개인정보가 유출됐다. 그런가 하면 포털 다음은 허술한 보안정책으로 고객상담정보를 해커의 손에 넘겼다.

보안 철옹성 구축을 자부하던 금융권마저 해커의 먹잇감이 됐다. 정보의 심장부라 할 수 있는 청와대도 해킹에 뚫리는 굴욕을 당했다.

지금 이 순간에도 수많은 기업들이 중국발 분산서비스(DDoS) 공격에 시달리고 있다. 해킹 수법이 갈수록 지능화, 고도화되면서 그 어떤 기업도 해킹 위협에서 자유롭지 못하게 됐다.

PC·초고속인터넷 보급 등 세계를 선도하는 IT인프라를 자랑했던 우리나라가 오히려 해커들의 놀이터로 전락한 것. 이처럼 국내 대표 기업들이 각종 해킹사고에 맥없이 무너지면서 '보안' 없는 IT인프라는 오히려 독이 될 수 있다는 것을 여실히 보여줬다.

◆국내 기업 과반수…정보보호 투자 안해

기업들이 처한 상황은 이토록 심각하지만, 대다수 기업들은 보안 체계 구축에 소극적인 편이다.

2007년 한국정보보호진흥원(KISA)이 실시한 정보보호실태조사결과에 따르면 국내 기업의 정보화 투자 대비 정보보호 투자 비율은 형편없는 수준인 것으로 드러났다.

종업원 5명 이상, 네트워크로 연결된 컴퓨터 1대 이상 보유 사업체를 대상으로 정보화 투자 대비 정보보호 투자 비율을 조사한 결과 "정보보호 지출이 없다"고 응답한 비율이 50.8%에 달한 것. 또 정보화 투자 대비 정보보호지출이 1% 미만인 사업체가 27.5%에 이르는 것으로 조사됐다. 국내 기업 10개 중 의 80% 이상이 정보보호에 대한 투자를 거의 하지 않고 있다는 결과다.

이들이 정보보호 투자를 하지 않는 이유를 살펴보면 상황은 더욱 심각하다.

조사기업의 50.1%가 보안사고로 인한 피해가 거의 없어 필요성을 느끼지 못한다고 응답했으며, 15.2%는 정보보호에 관심이 없다고 밝혔다. 또 7.8%는 정보보호 예산이 아예 없다고 답했다.

얼마전 안철수연구소로 복귀한 안철수 최고학습책임자(CLO)는 "최근 잇따르는 대형 보안 사고는 예견된 결과"라며 "전 세계적으로 보안 투자 예산이 전체 IT예산의 10% 이르는데, 한국은 1%에도 미치지 못하는 경우가 대부분"이라고 지적했다. 기업들의 낮은 보안의식이 해킹 사고를 자초했다는 설명이다.

◆"보안을 지출·비용관점으로 보는 게 문제"

보안전문가들 역시 기업들이 직접 피해를 입기 전까지는 '강 건너 불 구경' 하는 경우가 대부분이라고 입을 모았다. 보안을 기간 투자 개념으로 보는 것이 아니라 여전히 비용·지출 관점으로 접근하고 있다는 것.

그러다 보니 해킹 피해를 입더라도 사후약방문식으로 급한 불을 끄기에 급급할 뿐 체계적인 대책 마련에 나서는 곳은 극히 드물다는 것이 업계의 중론이다.

국내 한 유수 인터넷쇼핑몰 정보기획팀장은 "최근 해킹 우려로 인해 보안투자에 대한 필요성을 느끼지만, 실질적으로 예산을 받아 관련 솔루션을 구축하지는 못하고 있다"며 "다른 경쟁업체는 어떻게 하고 있는 지 눈치만 살피고 있는 상황"이라고 토로했다.

작년 말 예산산정 시 보안 투자에 대한 논의가 있었지만 예산책정과정에서 결국 후순위로 밀려났다는 것. 보안정책을 수립하기 위해서는 기업 CEO의 의지가 중요하지만 아직 현실은 멀기만 하다는 설명이다.

그는 그나마 현재 구축된 보안솔루션은 보안이 강화된 전자금융거래법 의무사항을 지키기 위한 최소한의 대책이라고 덧붙였다.

에이쓰리시큐리티 한재호 사장은 "보안컨설팅 업무를 수행하기 위해 모의해킹을 실시해 보면 국내 기업이 얼마나 보안위협에 취약한 지 알 수 있다"며 "대기업이라 하더라도 신규 사업 초반에는 비용을 이유로 보안에 적극 투자하지 않는 경우가 대부분"이라고 말했다.

◆침해사고 대응체제 없어 '이중고'

더욱 큰 문제는 국내 기업의 대부분이 보안투자에 대한 필요성을 인식하지 못한다는 데 있다. 지난해 실시한 KISA 정보보호실태조사에 따르면 국내 사업체의 78.8%가 자사 정보시스템과 정보자원에 대한 보호수준을 보통 이상으로 판단하고 있는 것으로 나타났다.

80%가 넘는 국내 사업체가 정보화 예산 대비 정보보호지출 비중이 1% 미만임에도 불구하고, 스스로는 보안에 대한 투자가 적정 수준이라고 판단하고 있다는 얘기다.

KISA 전략기획팀 민경식 팀장은 "최근 연이어 터지는 정보유출 사고를 막기 위해서는 보안 투자가 절실하지만, 투자 효과가 당장 눈에 보이지 않기 때문에 기업들이 소극적인 태도를 보이는 것"이라며 "기업들의 근시안적인 사고가 문제"라고 꼬집었다.

보안업계는 보안사고를 '남의 일'처럼 여기는 기업들의 의식이 개선되지 않는 한 해결책은 없다고 지적했다. 기업이 직접적인 침해사고를 당해야 비로소 보안 투자에 눈을 돌리고 있다는 설명이다.

보안사고를 당한 후에도 문제는 계속된다. 부랴부랴 사태 수습에 나서지만, 사전에 별도의 피해 사고 대응책을 마련하지 못한 기업은 해결책을 찾지 못해 이중고를 겪게 될 수밖에 없다.

KISA가 2007년 침해사고를 입은 기업체를 대상으로 조사한 결과 침해사고에 대해 '별다른 활동을 수행하지 않는다'는 응답이 61.9%를 차지했다. 국내 사업체 중 '재해나 침해사고에 대비해 비상 복구 계획을 수립·운영'하고 있는 사업체는 25.8%에 불과했다.

◆보안투자, 기업의 장기적 생존 위한 필수 요소

기업이 보안사고 대비 보험을 가입하면 사고시 상당한 보상을 받을 수 있지만, 이를 알고 있는 기업은 많지 않다. 현재 국내 보험사에서 개인정보 배상책임보험, 해킹보험 등을 판매하고 있지만 가입률은 전체의 3.5% 수준에 머물고 있다.

사정이 이렇다보니 기업은 보안사고가 발생하면 피해 사실을 숨기기에 급급하다. 보안체제 미비로 개인정보유출 소송을 당할 경우 보상액 지급으로 인해 기업의 생존이 좌우될 처지에 놓이게 될 수 있기 때문. 실제로 개인정보유출 사실이 알려진 옥션, LG텔레콤, 하나로텔레콤 등은 줄소송을 당하는 형편에 처해 있다.

김귀남 경기대 정보보호학과 교수는 "중소기업 네 곳 중 세 곳은 정보화 투자 대비 정보보호 투자 비율이 1% 미만"이라며 "침해사고 대책을 따로 마련하지 못한 중소기업의 경우, 사건이 일파만파 커질 것이 두려워 자체적으로 해결하거나, 쉬쉬하는 경우가 많다"고 말했다. 결국 악순환이 반복될 수밖에 없다는 지적이다.

정태명 성균관대 정보통신공학부 교수는 "보안투자는 기업의 장기적인 생존을 위해 꼭 필요한 부분"이라며 "어느 기업이든 제2의 옥션이 될 수 있다는 경각심을 갖고 기본적인 보안솔루션 구축에 나서는 한편 전사적인 보안체제 마련에 힘써야 한다"고 강조했다.

서소정기자 ssj6@inews24.com






alert

댓글 쓰기 제목 [보안, 해법은 투자다-1] '보안'없는 IT인프라는 오히려 '독'

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스