[2014 기업 내부정보유출과 전쟁]<上>내·외부 직원이 '위협 1순위'
"기업 보안이요? 결국 사람이죠. 내부 유출이 가장 큰 문제인데, 출입관리와 직원 보안교육은 기본이면서도 가장 중요한 부분입니다."
기업 보안 핵심을 묻는 질문에 보안업계 관계자들의 답은 '사람'이다. 올해 초 연달아 터진 금융권 보안사고도 결국 아웃소싱업체 직원에 의해 발생했다. 외부 해커의 침입을 막는 일보다도 일상적으로 들고나는 사람들을 관리하는 것이 가장 중요한 부분. 기업들의 보안 정책도 '내부유출 방지'에 집중되고 있는 이유다.
한국인터넷진흥원(KISA)가 2012년 조사한 정보보안 위협 원천을 보면 퇴사한 지원, 현재 근무중인 직원, 아웃소싱업체 직원의 위협을 1순위로 본 응답비율(38.2%)이 불법 해커 등 컴퓨터 범죄자(38%)라고 응답한 비율과 거의 비슷하다.
◇내부유출 기본부터 철저하게 막아야…
기업의 관심사가 내부유출 방지에 쏠리면서 보안업계는 '컨설팅 사업'을 강화하고 나섰다. 내부 직원들을 교육하고 보안 정책을 점검할 수 있는 첫 단계인만큼 수요가 증가하고 있다는 것.
예를 들면, 모의 해킹을 통해 직원이 경각심을 키우는 키우는 기업들이 증가하고 있다. 불시에 사무실 점검을 나서, 중요한 문서를 책상 위에 올려두고 퇴근한 경우 경고를 주는 방식이 대표적이다.
악의적으로 내부 정보를 빼돌릴 수 없도록 USB(이동식저장장치) 등 외부저장장치 사용이 불가능하게 막아두는 경우도 많아지고 있다. 한 보안업계 관계자는 "일부 기업에서는 회사 건물에 들어서면서부터 USB와 같은 장치를 소지할 수 없게 모두 검문한다"며 "직원 개인 가방을 일일이 검사하는 행위가 사생활 침해라고 볼 수도 있지만, 그만큼 보안을 중요하게 여긴다는 신호가 된다"고 설명했다.
기본적인 출입통제도 물리보안과 정보보안을 융합한 형태로 운영된다. 직원이 출입증을 찍고 사내에 들어온 기록이 실시간으로 중앙서버에 전송되는데, 출입 기록이 없는 직원이 내부 컴퓨터를 켜면 사내 정보망에 접속할 수 없도록 막는다. 이중, 삼중 보안을 진행하는 것.
◇그럼에도 중소기업, 자체 정보보호정책 無
독자들의 PICK!
내부 유출을 막기 위한 기업들의 관심이 커지고 있지만, 여전히 중소기업과 대기업간의 격차는 크다.
한국인터넷진흥원(KISA)이 2012년 조사한 결과 직원수가 49명 이한 기업에서는 정보보호 정책을 수립한 경우가 18%에 그쳤다. 직원이 250명 이상인 경우 65.7%가 정책을 수립한 것과는 큰 차이다. 투자비용의 큰 격차를 보지 않더라도, 정보보호를 중요한 경영 영역으로 보고 있지 않다는 점을 여실히 드러내는 수치다. 실제 국내 중소기업 IT 예산 중 정보보호 투자비중(2012년 기준)은 3%에 그친다.
한 보안기업 임원은 "보안은 방수기능과 같아서 한부분이 조금이라도 구멍이 나면 물이 새는 것과 같다"며 "대기업이 아무리 보안을 강화해도 협력관계에 있는 중소기업이 보안을 신경쓰지 않으면 위협은 그곳을 통해 발생한다"고 경고했다.
보안업계는 지난달 정부가 발표한 '정보보호 투자 활성화 대책'으로 중소기업 보안투자가 조금이나마 살아날 수 있을 것으로 전망하고 있다. 정부는 중소기업 정보보호 시설·제품에 대한 투자비용의 세액공제를 현재 7%에서 10%로 확대하고, 적용기간을 올해에서 2017년까지로 연장토록했다. 취약점점검·컨설팅 등 정보보호 서비스 비용에 대한 조세감면(25%) 제도의 활용을 촉진하는 등 지원책을 발표했다.