"IT 보안은 마치 보험과 같아 언제 그 혜택을 누리게 될지 아무도 모른다. 보험 정책과 같은 보안 솔루션은 주요한 정보를 기업에 제공한다."고 Ernst & Young의 파트너 information Systems Assurance & Advisory Services의 Jayshree Mukund는 말했다.
이삼년 전부터 부각되기 시작한 IT 보안이 지금은 심각한 문제로 거론되고 있다. 그러나 아직까지 IT 보안에 관심을 갖고 있는 인도 기관들은 극소수이다.
"보안은 단순히 기술이 아니라 기업 전반의 정보를 따로 따로 안전하게 보관하는 것이라는 사실을 사람들은 알고 있다. 그러나 그 중 무엇이 주요하고 보안을 요하는 것인지를 결정해야 한다."
대다수의 기업들은 이와 같은 일에 무관심할 뿐 아니라 IT보안 지침조차 없으며, 몇몇 기업은 IT보안 지침이 마련되어 있다고 하더라도 실제로 시행은 뒷전이다.
그러나 점차 많은 인도 기업들이 자사 시스템에 보안이 필요성을 인식하기 시작했다. Ernst & Young이 17개국을 대상으로 실시한 Global Information Security Survey 2002에 따르면, 인도 CIO, IT 대표 및 임원의 70% 이상이 인터넷상에서 업무가 늘어나고 있는 반면 보안시스템의 허술성은 나날이 드러나고 있다고 대답했다.
또한 응답자의 다수가 주요 기업 시스템을 대상으로 해킹이 점차 늘고 있다고 답했으며, 76%는 예기치 못한 침입을 당한 경험이 있다고 응답했다. 아직까지 온라인 24시간 무휴업무의 기틀을 구축하려는 인도 기업은 47%로서 세계 평균치인 53% 보다 낮다.
반면에 정보 보안 정책 및 절차의 중요성에 대한 직원들의 자각 부족이 효율적인 보안에 장벽이 되고 있다고 답한 응답자는 68% 였다.
응답자의 반 정도만 보안 정책의 근간인 기술 솔루션에 대한 직원들의 인식과 교육 프로그램이 필요하다고 답하였다.
"2년 전 우리는 기업들에게 DRP(재난복구프로그램)과 BCP(비즈니스 연속 프로그램)의 필요성을 강의했고, 그 결과 많은 CIO들은 직원들에게 정기적인 백업을 지시했다."고 Jayshree Mukund는 말했다.
한번은 한 간부에게 데이터를 백업한 플로피 디스켓을 가져와 보라고 요청했다. 그러나 그 디스켓은 소용이 없었다. 습관적으로 안일하게 백업을 하긴 했으나 그제야 백업이 제대로 되지 않아 전혀 쓸모가 없다는 것을 알게 된 것이다. 만일 그 플로피 디스켓에 데이터가 제대로 저장되었다면 그 회사는 전혀 당황할 필요가 없었을 것이다."
"그러나 지금은, 특히 9월 11일 미 테러 사태 이후 DRP와 BCP의 중요성이 부각되었다. 일부 기업들은 DRP와 BCP의 절실함을 많이 느끼고 있다."고 강조했다.
놀라운 사실은 지난 1월 구자라트 대지진후에도 대책을 강구하지 않았던 인도 기업들이 9월 11일 미 테러 이후 DRP를 수용하기 시작했다는 것이다. 응답자의 70%가 무중단 업무와 IT 재난 복구 계획을 강화할 예정이라고 응답했다. 이것은 매우 고무적인 현상이다. 그러나 그 중 29%만 BCP를 비즈니스 지출에 포함시켰으며, 나머지 45%는 IT예산에 포함시켰다. 이것은 곧 많은 기업들이 아직도 무중단 업무 계획이 관리 부서가 아닌 IT부서의 책임으로 인식하고 있음을 보여준다.
그렇지만 기업들이 전보다는 훨씬 보안 인프라에 관심을 보이기 시작했다고 Jayshree Mukund는 말했다." 특히 인도의 경우, 1999년 서베이에 따르면 IT수행에 대한 예산은 책정하면서도 IT보안에 대한 예산에는 전혀 관심을 두지 않았다. 그러나 아직도 대다수의 기업들이 연간 보안예산을 책정하지 않고는 있으나 보안에 관한 관심들이 대폭 늘어났음을 알 수 있다. 물론 보안 예산은 여전히 IT예산에 포함시키고 있다."
이제 기업들은 보안이 테크놀로지에만 관련된 문제가 아니며, 최종 사용자들에게 보안에 대한 인식을 심어주는 것도 그 일부라는 사실을 알아야 한다.
< (주)비티엔 제공 http://www.gate4india.com >