한국산업기술보호협회는 기업의 주요 산업기술을 보호하기 위한 간이 보안진단 서비스 활용을 권장하고 있다. 정보화 수준이 각기 다른 중소기업의 예산규모에 따른 보안장비를 가늠하고 취약점을 인식해 대처토록 해주는 계기가 되는 때문이다.
지금까지 출시된 산업보안 관련 장비와 솔루션은 매우 다양하다. 종류별로 보면 핵심정보 접근을 통제하는 접근제어(IAM) 솔루션과 암호화 솔루션을 비롯해 유출경로를 추적하고 권한을 관리하는 DRM/DLP 솔루션 등이 있다.
단말의 매체제어가 목적인 PC보안관리 솔루션과 와이파이 암호화 및 비인가 AP 접근을 차단하고 추적하는 무선침입차단시스템, 네트워크 방어체계인 방화벽, DDoS 방어 시스템도 주요 장비로 활용된다. 이들 장비와 솔루션을 활용한 통합보안관리 및 로그관리 시스템도 있다.
예산만 충분하다면 모두 갖추고 싶은 장비와 솔루션이다. 하지만 자칫 욕심을 부리다 보면 지켜야 할 자산가치보다 보호비용이 더 커지는 불균형이 생길수도 있다. 배보다 배꼽이 더 커지는 일이다. 업계 전문가들은 규모와 예산에 맞춰 적절한 정보보호 대책을 마련하는 계획이 선행돼야 한다고 조언한다.
때마침 민간 차원 산업보안관제센터가 속속 문을 열고 있다. 4년 전부터 준비해온 경기대 산업기술보호특화센터가 지난달 27일 문을 연데 이어 지난 10일에는 단국대가 한국산업기술보호협회와 공동으로 죽전캠퍼스에 산업보안관리센터를 개소했다.
이들 관제센터에서는 별도의 시스템 구축비용 없이 저렴한 서비스 이용료를 받는 형태로 중소기업 대상 산업보안관제 서비스를 제공할 예정이다. 예산이 부족해 자체 보안시스템 구축에 엄두를 못내는 소규모 기업들에 매우 반가운 소식이다.
하드웨어 장비와 솔루션을 구축해 놓았다고 해서 안전하다고 생각하는 자만도 금물이다. 최근 발생한 정보유출 사건은 대부분 내부자 공모에 의한 것이었다. 기술적인 보호대책 만큼이나 관리적 보호대책이 중요하다는 얘기다.
정보보호 국제표준 ISO27001에도 조직 및 인적보안에 대한 중요성을 강조하며 기술적·관리적·물리적 보호대책 강화를 권하고 있다.
관리적 보호대책은 기업의 임원급 관리자를 정보보호 책임자로 임명하고, 책임과 권한을 명시하도록 요구한다. 각종 보안사고에 대해 담당자 뿐 아니라 기업이 함께 민형사상 손해를 배상토록 하는 양벌규정도 강화되는 추세다. 보안솔루션 도입 만큼 기업 의사결정자에 대한 보고체계와 적절한 권한 위임과 승인관리가 중요한 이유다.
경기도가 사이버안전기업 구축 지원 프로그램을 추진하면서 개인정보보호 솔루션을 포함해 IPS와 방화벽 등 네트워크보안, 서버와 시설보안 장비 등 다양한 장비와 솔루션을 지원키로 한 것도 이같은 추세를 반영한 것이다.
이기오 경기도 정보보안팀장은 “사이버안전기업 구축지원 프로그램에는 KT와 윈스테크넷을 비롯한 CSO협의회 회원사들이 네트워크 침입차단 솔루션을 비롯한 장비를 무료로 제공하고 전담인력을 배정하는 등 사회적 책임나누기 일환으로 동참하고 있다”며 “경기도는 앞으로도 이들 기업과 함께 민관 정보보안포럼과 해킹방어대회를 개최하는 등 산업보안에 대한 인식을 전파하고 지원하는데 지속적인 노력을 기울여 나갈 것”이라고 말했다.
산업보안 제품군 분류표
경기도 CSO협의회 추진 보안 대책
김순기기자 soonkkim@etnews.com