이번에 본사와 서울리서치가 공동으로 실시한 「국내 기업의 정보보안에관한 조사」에서 가장 두드러진 현상은 국내 기업들의 정보보안부문에대한투자가 아직은 미미한 수준이고 정보보안에대한 인식도 매우 저조하다는 점이다.
조사 대상업체 2백개 가운데 정보보안팀을 별도로 설치,운영하고 있는 업체는 14.5%인 29개에 불과하며 보안팀이 없는 업체들의 경우 대부분 전산실이나 관리부서등에서 보안업무를 부수적으로 수행하고 있는 것으로나타났다.
국내 기업들은 아직 정보보안 부문 투자에 상당히 인색한 편이다.
국내 기업들의 정보보안에대한 매출액 대비 투자액을 조사한 결과 1%미만이 80%(1백60개),1%이상에서 2%미만이 8.5%(17개),2%이상에서 3%미만이 5.5%(11개),4%미만이 1.5%(3개)를 차지했다.
전반적으로 정보보안에 대한 투자가 매우 미흡한 수준임을 반증하는 자료다.
특히 기업 경영진이 정보보안의 중요성을 어느 정도 인식하고 있는가에대해 질문한 결과 「보통이다」(32%),「만족스럽다」(33.5%),「미흡하다」(33.5%)등으로 나타나 비교적 고른 분포를 보인 것으로 조사됐다.
그러나 최근들어 정보보안의 중요성이 그 어느때 보다도 강조되고 있는 상황임을 감안할때 경영자들의 인식 제고가 선결되어야할 것으로 보인다.
정보보안 관련 책임자의 직위도 매우 폭넓게 분포되어 있다.
정보보안 관련 책임자의 직위별 분포를 살펴보면 이사 0.5%(1명),실장 16%(32명),부장 17.
5%(35명),과장 30%(60명),차장13%(26명),대리 15%(30명),주임 2%(4명),계장 3%(6명)등으로 정보보안 책임자의 직급 상향화도 필요한 것으로 조사됐다.
국내 기업들이 실제로 얼마나 보안사고에 노출되어 있는지를 조사한 결과전체 업체 가운데 90%(1백80개)가 보안사고 경험이 전혀 없는 것으로 나타났으며 보안사고 경험 업체 10개 가운데 6개업체가 「바이러스 감염」이었으며해커침입등 경험은 적은 것으로 조사됐다.
국내 기업들의 낮은 보안의식에 비해 보안사고의 형태는 아직 초보적인 수준인 것으로 분석됐다.
보안사고를 당한 시기를 구체적으로 살펴보면 대상 기업 10개 가운데 50%(5개)가 지난해에 사고를 당했고 올해는 1건이었다.
보안사고 발생시 피해액은 1천만원 30%(3개),5억원 10%(1개),4백만원 10%(1개).1백만원 10%(1개)등으로 나타났다.5억원 이상 피해를 본 업체도 있어상당히 충격적이다.
이같은 보안사고 조사 결과를 종합적으로 정리하면 가장 흔한 보안사고 형태는 바이러스에 의한 감염이었으며 최근에 보안사고를 당한 경우가 많았던것으로 분석됐다.또한 피해액은 대략 1천만원 정도인 것으로 나타났다.
국내 기업들의 보안관련 시스템및 솔루션 현황을 살펴보면 정보보안 시스템을 전혀 보유하고 있지않은 업체가 71%(1백42개)를 차지,솔루션을보유하고있는 업체(58개)보다 훨씬 많았다.
또 보안관련 솔루션을 갖고 있는 업체는 일반기업의 26%,금융기관의 40%,정보통신기업의 21.1%로 나타나 타업종보다 금융분야에서 보안 관련 시스템이나 솔루션을 많이 보유하고 있는 것으로 조사됐다.
보안시스템을 설치,운영중인 기업들이 가장 주력하고 있는 분야는 데이터베이스 부문(43.
1%),네트워크 보안 부문(31%),애플리케이션 부문(17.2%),운영체제 부문(6.9%),하드웨어 부문(1.7%)순으로 나타났다.
현재 보안 솔루션및 시스템을 보유하고 있지않은 1백42개 기업을 대상으로향후 도입 여부를 물은 결과 41.5%가 도입 계획이 없다고 응답했으며 나머지는 도입 계획이 없는 것으로 조사됐다.
보안시스템및 솔루션의 도입 계획을 갖고 있다고 응답한 59개 업체들을대상으로 조사한 결과 47.5%(28개)가 올해중에,그리고 39%(23개)가 내년,10.2%(6개)가 98년중에 보안시스템및 솔루션을 도입하겠다고 응답했다.
또 보안시스템및 솔루션 도입에 투자할 예산 규모는 1억원 미만 72.8%(43개),1억원 이상2억원 미만 15.3%(9개),2억원 이상5억원 미만 8.5%(5개),5억원 이상10억원 미만 1.7%(1개),10억원 이상 1.7%(1개)등 순이었다.
도입 예정인 방호벽(파이어월) 솔루션으로는 「파이어월1」 37.3%(22걔),「인터록크」 16.9%(10개),「간틀릿」1.7%(1개),「옴니가드」 8.5%(5개),기타 35.6%(21개)등으로 「파이어월1」에대한 선호도가 비교적 높았다.
기업내에서 보안 관련 교육을 실시하고 있는지 여부를 알아본 결과 현재보안교육을 실시하고 잇는 기업은 61%(1백22개)이며 보안 교육을 일체 실시하고 있지 않은 기업은 39%(78개)로 나타났다.
보안 관련 교육을 실시하고 있는 1백22개 기업들의 교육 방법을 살펴보면자체교육 81.1%(99개),전문교육기관 의뢰 14.8%(18개),솔루션 제공업체 의뢰2.5%(3개),해외연수 0.8%(1개)등 순이었다.
대부분 기업들이 자체적으로 보안교육을 실시하고 있으며 외부 기관 의존도가 상대적으로 적은 것으로 조사됐다.
정보보안이 상당히 전문적인 내용임을 감안할때 외부 전문교육기관이나 솔루션 업체에 위탁하는 방안도 적극 고려되어야할 것으로 보인다.
한편 이번 조사를 통해 국내 기업들이 아직 정보보안 분야에대한 인식이매우 낮은 것으로 밝혀졌으나 아직까지 치명적인 보안 사고를 당한 업체들이적은 것으로 조사됐다.
그러나 보안사고가 앞으로 더욱 다양해지고 대형화될것으로 예상되는 만큼이에대한 업체들의 인식 제고가 필수적인것으로 분석됐다.
<장길수기자>