관련 통계자료 다운로드 기업 정보보호 결함 발생 빈도 `톱10` “시스템 로그 백업 잊지 마시고 관리자 계정은 여럿이 함께 쓰지 마세요.”
우리나라 기업이 간과하기 쉬운 정보보안상 결함으로 △시스템 로그 백업 미흡 등 백업 절차 부재 △자산 분류 기준 부재와 자산의 보안등급 미표기, 취급 절차 미흡 △관리자 계정 공동 사용 △보안 사고 예방 및 대응 절차 미흡 등인 것으로 나타났다.
27일 한국정보보호진흥원(KISA 원장 황중연)은 작년 한해 동안 실시한 40여건의 정보보호관리체계인증(ISMS) 심사 내용을 분석, 이같은 내용을 골자로 한 기업 정보보호 결함 발생 빈도 ‘톱 10’을 발표했다.
이에 따르면 기업이 가장 많이 실수하는 부분은 43%의 심사에서 발견된 ‘정보 시스템 백업’ 문제로 나타났다. 대부분 기업이 정보 시스템에 대한 백업을 수행하고는 있으나 데이터·시스템 로그·환경설정 파일 등 백업 범위와 주기·방법 등을 정의한 지침 및 절차가 마련돼 있지 않았다. 백업이 명확한 절차가 아니라 담당자의 주관에 따라 임의적으로 이뤄진다는 것. 시스템 접속 및 운영 기록이 저장된 주요 로그 파일에 대한 백업이 미흡하면 침해 사고 발생 시 사고조사와 대응을 어렵게 만들 수 있다.
‘정보 자산의 보안 관리’도 심사 5번 중 2번꼴로 발견됐다. 많은 기업이 하드웨어·소프트웨어·설비·인적자산 등의 정보 자산의 중요도 산정까지는 하고 있으나 그에 따른 처리 절차를 명확히 하지 않거나 절차를 따르지 않은 것으로 나타났다. 또 관리자 계정 공동 사용과 보안 사고 예방 및 대응 체제 미흡, 정보보호 교육 계획 부재 등도 기업이 주로 간과하는 요소로 꼽혔다.
원유재 KISA IT기반보호단장은 “특히 취약성이 많은 웹을 대량 취급하는 서비스업체가 상시 정보보호 관리를 할 수 있도록 정보보호 관리 체계 수립을 다각도로 지원하는 한편 기업 정보보호 실효성을 제고해 정보보호 수준을 강화할 것”이라고 말했다.
◆기업 정보보호 결함 발생 빈도 ‘톱 10’
- 순위: 견된 취약점(결함사항)
1: 백업 대상·주기·방법 등이 명확하게 정의돼 있지 않고 특히 시스템 로그 백업이 미흡함
2: 개인정보 등 기업의 주요 정보 자산 분류 누락 및 기준 부재, 자산의 보안등급 미표기 및 취급 절차 미흡
3: 관리자 계정 공동 사용, 계정등록 해지 절차 미흡
4: 정보 자산의 변경 절차 부재 및 절차 준수 미흡
5: 보안사고 예방 및 대응 절차 미흡
6: 정보보호 교육 계획 부재 및 교육 미실시
7: 물리적 보호구역 미정의, 반출입 절차 부재
8: 고객 정보 등의 위험 분석 누락 및 위험 분석 및 평가 방법론 부재
9: 기업 내 보안 활동 내부감사 규정 부재 및 주기적 감사 미흡
10: 기업 주요 정보 유출 방지를 위한 비밀유지서약서 미제출(정규·비정규직원·제3자 등)
한세희기자@전자신문, hahn@
