 |
정보 보호에 대한 투자를 여전히 비용 지출 정도로만 인식하고 이에 대한 종합적인 식견과 지속적인 관심을 갖지 않는다면 기업을 목표로 하는 해킹 사고는 계속 일어날 것이며 특히 허술한 보안체계를 갖춘 기업일수록 범죄자들에게 먹잇감이 될 가능성이 높다.
최근 마이크로소프트(MS)가 조사한 결과를 보면 악성코드 감염 44.8%가 이용자 부주의 때문인 것으로 나타났다. 이는 보안장비와 전문 인력만으로 안심할 수 없으며 기업 내부 업무 프로세스에 활용되는 정보에 대한 종합적인 정보 보호 체계가 수립ㆍ적용돼야 한다는 의미를 담고 있다.
신뢰할 수 없는 링크나 정보를 무심코 클릭하거나 메일 또는 게시판 등에서 파일을 다운받아 실행했을 때 악성코드는 직원 PC를 감염시키고 해커는 이를 근거지로 삼아 손쉽게 기업 내부 망과 시스템에 침투할 수 있다. SK컴즈와 넥슨의 개인 정보 유출 사고도 직원 PC의 악성코드 감염에서부터 시작됐다.
이 같은 위협에 맞서기 위해 기업 CEO는 무엇을 해야 하는가? 지금 바로 자사 정보 보호 수준을 정확히 진단하고 이를 토대로 사이버 보안 사고 발생 가능성을 낮추는 계획을 마련한 후 그 계획에 따라 실질적인 보호 정책을 추진하도록 지시해야 한다.
구체적으로는 자기 기업이 해킹의 표적이 되는 개인 정보 수집ㆍ보관을 줄이고 회원 탈퇴 시 바로 개인 정보를 삭제하는 등 조치를 취하도록 해야 한다. 또 기업 내 정보보호책임자(CISO)를 임명해 전사적(全社的)인 보안 관리에 대한 책임과 권한을 주는 한편 자사(自社) 정보 보호 상황에 대해 수시로 확인을 해야 한다. 이와 함께 IT기기 사용에 대한 내부 직원의 주의와 경계의식을 높이기 위한 방안을 함께 고민해야 한다.
그리고 기업 내 모든 소프트웨어의 취약점에 대한 패치 등 해킹 방지를 위한 충분한 기술적 조치가 적시에 이루어지고 있는지 확인하고 해킹 사고가 발생했을 때 어떻게 대처할지 비상시 대응 매뉴얼도 갖추어야 한다. 이렇게 해야 대형 해킹 사고의 피해자가 되는 것을 최대한 막을 수 있다.
정부는 현재 국회와 함께 우리 기업 정보 보호 수준을 높이기 위한 법(정보통신망 이용 촉진과 정보 보호 등에 관한 법률) 개정을 추진하고 있다.
정보시스템의 계획 또는 설계 단계에서부터 정보를 보호하는 정보 보호 사전 점검 제도 신설, 기업 전체 정보 보호를 총괄하는 정보 보호 최고책임자 지정, 정보 보호 관리체계 인증 의무화, 기업 정보 보호 수준에 대한 등급 부여를 골자로 한 이 법안이 개정된다면 기업 자체적인 정보 보호 노력과 더불어 시너지 효과를 거둘 것으로 기대한다.
우리나라는 초고속 인터넷 활용, 스마트폰 보급 등 IT 인프라 측면에서 세계 최고 수준인 IT 강국이다. 기업의 IT 활용도 세계 최고 수준에 이르고 있다. 하지만 IT 인프라스트럭처가 고도화하고 IT 서비스가 다양해질수록 사이버 위협도 커진다는 것을 명심해야 할 것이다. 기업의 정보 보호 투자는 기업 가치 제고, 수익률 증대라는 기업 본연의 존재 목적을 실현하는 경영의 핵심요소이자 기업의 사회적 책임이라는 것을 경영자들이 깊이 인식하기를 기대해 본다.
[홍성규 방송통신위원회 부위원장]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.