<시리즈> 구멍 뚫린 "정보보호" (2);해킹사고 처리실태

　지식정보사회에서 기업이 보유한 정보자산이 침해당할 경우 그 자산손실 규모는 예측이 불가능하다는 게 전문가들의 지적이다.

　「소 잃고 외양간 고치는 식」의 미온적 대처방식에서 탈피, 적극적인 정보자산의 보호를 위해서는 최고경영층이나 최소한 정보화담당임원(CIO)이 직접 정보보호 문제를 챙겨야 한다는 목소리가 높다.

　◇보안의식=일선 현장의 전산 실무자들 대다수는 해킹사고가 발생할 경우 「수습」보다는 「무마」에 가까운 방식으로 사고를 덮어두려 한다는 게 공공연한 사실이다. 물론 정보 침해사고를 전적으로 외부에 공개할 수는 없지만 사고 재발을 방지하기 위해서라도 최소한 기업내부에서는 공유돼야 한다는 게 전문가들의 설명이다.

　그러나 실제 기업현장에서는 전산 실무자급에서만 사고발생 여부를 감지할 뿐 책임자 또는 CIO급까지 보고되는 경우는 극히 드문 현실이다. 이와 관련, 한국정보보호센터가 지난해 접수된 총 1백58건의 해킹사고가 어떻게 처리됐는지 최근 설문조사를 실시, 분석한 결과는 큰 시사점을 던져주고 있다.

　이 가운데 회수된 31건을 토대로 파악한 자료에 의하면 지난해 전산 실무자가 탐지한 해킹사고를 임원 이상급에까지 보고한 경우는 14건에 불과해 절반 수준에도 못미쳤다. 이는 사내 전산보안관리나 예산집행을 총괄하고 있는 CIO의 실제 상황인식을 가로막는다는 점에서 심각한 악영향을 미칠 수 있는 대목이다. 설문에 응답한 기관은 그나마 자발적인 정보보호 의지가 있다는 점을 감안하면 문제는 더욱 심각할 수 있다.

　특히 19건(전체의 61%)의 사고가 막대한 피해를 초래했음에도 불구하고 만족할 만한 수준으로 사후처리했다고 답한 경우는 2건에 그쳐 일반 사용자들의 「생각」과 「실천」은 크게 차이나는 것으로 분석됐다.

　◇자체 해결=본지와 정보통신진흥협회·정보보호산업협회가 공동 조사한 설문에서는 내부 전산시스템의 보안점검을 외부 전문가집단에 의뢰하는 「보안컨설팅」에 대해 전체 68개 기업 중 58.7%인 37개 업체가 불필요하거나 기밀누출 우려 때문에 꺼린다고 응답했다. 또 보안사고 발생시 대응방법을 묻는 질문에는 내부적으로 해결(82.4%, 56개 업체)하거나 원인 규명없이 그냥 덮어두는 경우(2.9%, 2개 업체)가 대부분을 차지했다. 향후 발생할 사고에는 정보보호시스템 도입(32.8%, 22개 업체), 전담반 구성(31.3%, 21개 업체), 교육강화(31.3%, 21개 업체) 등의 방법을 동원할 것이라고 답했다.

　정보시스템의 취약성을 보완해나가되 내부 기밀과 연관된 문제이므로 인적·물적 자원을 투입, 스스로 해결하겠다는 게 기업현장의 지배적인 생각임을 입증하고 있다.

　◇CIO의 역할=정보보호분야의 예산투자·인력배치 등 기업의 일상적인 정보보호 구현 노력은 결국 CIO, 혹은 최고경영층의 확고한 의지가 바탕이 돼야 결실을 맺을 수 있다는 게 전문가들의 공통된 견해다. 전산 실무자들이 아무리 정보보호의 심각성을 인식한다 하더라도 결국 돈과 사람을 투자해야 하는 문제는 최고책임자의 역할일 수밖에 없기 때문이다.

　이를 위해 CIO들은 사내 전산보안 실태에 대해 관심을 갖고 전산 실무부서를 질책하기보다는 독려하는 차원에서 보안정책을 수립, 집행해나가야 한다는 지적이다.

　한 전문가는 『정보보호 대책 중 가장 관건이 되는 사람관리에서부터 보안시스템 도입이나 전문인력 배치 등에 이르기까지 최고경영층의 확고한 의지가 중요하다』면서 『이를 위해 최소한 CIO 정도는 항상 사내 정보보호 실상에 관심을 갖고 실무자들과 접촉할 필요가 있다』고 강조했다.

<서한기자 hseo@etnews.co.kr>