‘정보보호 침해사고 예방을 위한 시스템을 도입하고 전문가로 구성된 전담조직이 정기적으로 점검하라.’
정보보호실태조사단이 최근 실시한 국가 정보보호 실태점검 조사에서 내린 결론을 요약하면 이렇다. 이번 조사는 지난 ‘1·25 인터넷대란’ 이후 정통부가 향후 수립할 정보보호대책의 기초자료로 활용하기 위해 구성한 실태조사단의 첫 결과물이다.
◇낮은 정보보호 투자=정보보호를 하기 위해선 관련투자가 선행돼야 하는데 아직 국내에선 역부족인 것으로 드러났다. 특히 정보보호가 중요한 전자상거래 업체의 90.4%가 정보시스템투자 대비 정보보호 투자비율이 5% 미만으로 나타난 결과는 충격적이다. 인식이 낮은 데다 업체의 영세성에 따른 결과로 보인다.
금융기관은 공공기관에 비해 투자비율이 높았으나 개인정보 취급의 중요성에 비추면 투자가 미흡한 것으로 나타났다. 정보보호 투자비율이 높은 ISP의 경우 10% 미만인 기관이 40%에 이른다. 물론 이번 조사에서 다수의 기관이 보안을 이유로 투자자료를 밝히지 않아 덜 심각할 수 있으나 미국 등 세계적인 수준엔 턱없이 못미친다는 분석이 지배적이다.
바이러스 백신(80.1%), 침입차단시스템(49.2%), 침입탐지시스템(42.1%) 등 기본적인 정보보호시스템을 일정 수준 구축했으나 취약점 점검도구는 매우 부족한 것으로 나타났다. 서버와 네트워크 취약 점검도구 구축은 공공기관 8.6%, 금융기관 3.3%에 불과했다. 예방 위주로 시스템을 고도화해야 한다는 지적이 제기됐다.
◇허술한 정보보호체계=국내 인터넷망은 네트워크 장비를 제어하는 별도의 관리망이 없어 이상 징후 발견시 신속한 대응이 어려운 것으로 나타났다. 백본망만 해도 트래픽 사용률을 최대 용량 대비 70∼80%까지 높게 허용해 장애발생시 우회가 취약하다.
인터넷망사업자들은 장비별로 트래픽을 모니터링하고 있으나 노드간 트래픽 변동에 대한 실시간 모니터링은 미흡하다. 더욱이 대부분의 통신사업자들이 사고발생시에만 로그분석을 실행해 예방이 어려운 것으로 드러났다. 인터넷 침해정보를 공유하지 않은 것도 문제점으로 지적됐다.
상시적인 점검활동의 미흡함은 인터넷 사용자와 기관들도 마찬가지다. 정기적으로 보안취약점을 점검하는 비율은 공공기관(44.4%), ISP(36.6%), 전자상거래업체(21.6%), 금융기관(20.6%), 학교(13.9%), 중소기업(11.5%) 순으로 나타났다. 시스템의 정보보호 패치정보를 정기적으로 설치하는 비율도 평균 39.3%에 불과했다.
특히 전자상거래업체, 중소기업, 학교 등은 보안 감사조직이 없거나 담당자의 전문성이 부족해 보안감사의 사각지대에 놓였다.
◇문제는 인식부재=정보보호 실태가 이렇게 취약한 것은 정보보호에 대한 인식이 전반적으로 낮기 때문인 것으로 분석됐다. 정보보호 정책과 지침을 세운 기관은 29.7%에 불과했다. 정책이나 지침을 갖고 있어도 이를 지키는 기관은 절반(50.2%)밖에 안된다. 특히 전자상거래업체(45.4%), 중소기업(43.6%), 학교(38.2%)가 취약했다.
이번 조사에서 정보보호에 대한 인식을 제고시키려면 CEO의 역할이 중요하다는 결론도 나왔다. 전반적으로 정보보호가 취약한 중소기업, 학교에서 CEO의 정보보호 의사결정 참여비율은 각각 33.6%, 27.3%에 불과했다. 전자상거래업체의 경우 56.5%로 상대적으로 높았으나 조직규모가 작은 데 따른 것으로 판단됐다.
<신화수기자 hsshin@etnews.co.kr>
관련 통계자료 다운로드 정보보호시스템 구축 현황