[정보보호]기업들 `무슨 정보를 보호해야 하나요`...자산 파악도 안돼

관련 통계자료 다운로드 2013년 ISMS 인증심사 주요 결함 목록2013년 ISMS 인증심사 주요 결함 목록 및 건수

정보보호관리체계(ISMS) 인증 대상 기업 절반 이상이 보호해야 할 정보자산도 명확히 파악하지 못한 것으로 나타났다. 보안 기술을 갖추기 전에 기본적인 정책부터 제대로 수립해야 한다는 지적이다.

21일 한국인터넷진흥원(KISA)이 파악한 지난해 ISMS 인증 주요 결함 사항을 보면 정보자산 식별이 안되는 경우가 47건으로 가장 많았다. 지난해 개정 인증 기준으로 진행된 심사는 총 92건으로, 이 중 51%에서 이런 결함이 발견됐다. 비밀번호 관리 소홀이 42건, 보안시스템 운영 미비가 35건, 출입통제 부실이 34건으로 뒤를 이었다. 네 항목 모두 별다른 기술적 요구사항이 없는 관리적·정책적 조치다.

개인정보·문서·하드웨어 등 주요 정보자산이 위험 관리 대상에서 제외되고, 변경 내역도 관리되지 않았다. 산정 기준이 없어 자산별 중요도 평가도 누락됐다. 비밀번호 복잡도는 법적 요구사항을 충족하지 못했고, 초기 설정값을 그대로 쓰는 경우도 있었다. 보안시스템을 갖춰놓고도 관리자 페이지에 외부 접속을 허용하는 등 제대로 운영하지 않았다. 전산센터 등 보호구역 출입 이력이 관리되지 않았고, 노트북 등 모바일기기 반입도 허용됐다.

오히려 보안기술이 필요한 평가항목 결함은 적었다. 로그 기록 및 보존 부실이 31건, 암호정책 부실이 30건, 네트워크 접근관리 미비가 29건 지적됐다. 정보보호 조직 구성 및 자원 할당에 대한 문제점은 29건이었다.

고규만 KISA 정보보호관리팀 책임연구원은 “정보보호 체계가 중요하지만 결국 운영하고 유지하는 건 사람의 몫”이라며 “조직 차원에서 충분하고 실질적인 지원이 없으면 보안이 제대로 되기 어렵다”고 강조했다.

2013년 ISMS 인증심사 주요 결함 목록

[정보보호]기업들 `무슨 정보를 보호해야 하나요`...자산 파악도 안돼


송준영기자 songjy@etnews.com