국내 전자상거래 기업들 가운데 대다수가 정보보호 관리 및 인적 보안관리가 취약한 것으로 나타났다. 또 정보보호 교육과 훈련 등에 대해서도 무관심한 것으로 조사됐다.
한국정보보호진흥원(KISA·원장 조휘갑)이 지난해 10월부터 11월까지 인터넷상에서 B2C·B2B·온라인금융업 등을 운영하고 있는 1221개 전자상거래 기업을 대상으로 ‘정보보호 실태’를 조사한 결과 공식적 관리체계를 통한 사용자 계정을 배정해 시스템을 통제하는 기업은 전체의 32.2%인 393개 기업에 불과했다.
또 시스템의 암호를 정기적으로 갱신하는 업체는 전체의 51.7%인 631개였으며 시스템 통제 절차를 마련해 놓고 있는 기업은 전체의 28.8%에 불과해 정보통신시스템 접근통제 및 운용관리 현황이 전반적으로 취약한 것으로 드러났다.
이와 함께 물리적 정보보호 관리와 인적 보안관리에 있어서도 부실한 것으로 조사됐다. 중요시설이 설치돼 있는 장소를 보호지역으로 지정하고 있는 기업은 전체의 31.7%였으며, 그 장소에 물리적 보안장치를 설치한 기업은 27.8%인 340개에 불과했다. 각종 백업 미디어를 안전한 곳에 보관하는 기업도 32.1%에 그쳤다.
인적 보안관리와 관련, 직무 명세서에 정보보호 역할 및 책임을 정의하고 있는 기업은 전체의 35.3%로 나타났으며 민감한 정보를 취급하는 직원에게 기밀준수 서약서를 받는 업체도 36.7%에 불과했다. 반면 인사이동이나 퇴직시 계정변경·삭제 등 사후 정보보호 조치를 하는 기업은 55.1%로 나타나 기업들은 사후조치에만 관심을 기울이고 있는 것으로 분석됐다.
정보보호 교육을 정기적으로 실시하고 있는 곳은 전체의 16.1%인 196개 업체에 불과했으며 전혀 실시하지 않거나 계획조차 수립돼 있지 않은 기업이 전체의 50.1%나 돼 국내 전자상거래 기업의 정보보호 교육 및 훈련실태는 저조한 것으로 조사됐다.
한편 이들 기업 가운데 바이러스 피해를 한번이라도 입은 기업은 전체의 45.6%로 비교적 높았으나 해킹사고 피해는 14.2%로 낮았다. 이는 방화벽과 침입탐지시스템을 자체적으로 보유하고 있거나 외부 IDC를 이용함으로써 상대적으로 해킹에 노출되지 않았기 때문으로 풀이된다.
이번 조사에는 B2C 1137개, B2B 135개, 온라인금융 13개 업체가 응답했다.
<박영하기자 yhpark@etnews.co.kr>
관련 통계자료 다운로드 정보보호 활동 실태