Home > 전체기사
정보보호의 균형적 성장 위한 중소기업 지원방안
  |  입력 : 2016-04-25 09:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
중소기업 정보보호 관리활동의 표준화 및 현실적인 방향 제시 필요
중소기업 정보보호 튼튼해야만 국가 전반의 균형적인 정보보호 수준 유지 가능


[보안뉴스= 김창오 쿠팡 정보보안실] 기원전 수 천년 전 만들어진 피라미드가 아직도 그 모습이 견고한 이유는 사각뿔 모양의 구조로 이루어져 있기 때문이다. 아랫면이 넓고 위로 올라갈수록 좁게 만들어진 삼각형 모양은 우리들의 의식 속에 안정감을 가져다주며 기반이 튼튼해야 오랫동안 유지될 수 있음을 인식시켜 준다.


지능형 지속공격(APT) 등 사이버 위협이 확산되고 보안위협이 기업뿐만 아니라 국가 전반의 이슈로 확대됨에 따라 정부뿐만 아니라 범국가적인 차원에서 보안활동에 대한 수준 제고의 필요성이 요구되고 있다. 사이버 공격 과정에서는 상대적으로 보안이 취약한 수많은 중소기업의 인프라가 공격의 주요 거점으로 이용되고 있다. 이는 현재의 정보보호 정책이 공격자들의 활동을 효과적으로 억제하지 못하고 있음을 보여주고 있으며, 우리의 취약한 정보보호 활동 영역을 대변하는 것이라 할 수 있다.

현재 우리나라는 정보보호관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 중심으로 국가 주도의 정보보호 관리 수준 향상을 도모하는 활동을 전개하고 있다. 그러나 위 제도들은 대기업 또는 ‘정보통신망이용촉진 및 정보보호 등에 관한 법률’의 기준에 따른 일정 규모 이상의 기업에 대해서만 그 대상을 두고 있기에 국가 전반에 걸친 정보보호 수준의 균형적인 성장을 이끌기에는 어려움이 있다.

국내 정보보호관리체계의 경우 약 400여개의 기업만이 따르고 있으며, 이나마도 법률(정보통신망법 제 47조 제 2항)에서 정한 의무대상자(ISP, IDC, 정보통신서비스 매출액 100억 또는 이용자 수 100만 명 이상인 사업자)들이 주로 이행하고 있다. 특히, 정보보호 활동의 사각지대에 놓인 중소규모의 기업과 조직에 대해서는 자율에 맡기고 있다. 중소기업의 경우 비용과 인력의 한계로 인해 높은 수준의 정보보호 활동 기준을 준수하기에는 어려움이 많은 상황이다.

우리나라에는 약 130만개의 사업장이 컴퓨터를 보유하거나 네트워크를 구축하고 있다. 컴퓨터와 네트워크를 이용하는 기업의 경우 정보를 전산화해 처리하고 있으며, 이는 곧 정보보호의 활동이 필요하다는 것을 의미한다. 이중 약 62%는 소상공인이며 약 35%가 소기업으로 전체의 97%를 차지하고 있다. 지금까지 우리의 정보보호 활동은 전체의 0.1%도 되지 않는 대기업을 중심으로만 이루어져 왔기에 이제는 정보보호 활동의 사각지대에 놓인 중소기업과 소상공인의 정보보호 활동을 지원하기 위한 적극적인 노력이 필요하다.

이러한 중소기업의 정보보호 관리에 대한 필요성이 제기됨에 따라 영세·중소기업 및 비 ICT 분야 등 정보보호 사각지대를 최소화하고 모든 정보보호 대상 기업에 대해 보안투자 비율 및 인력, 조직 확충, 개인정보보호, 법규 준수 등 기업의 보안역량 강화를 촉진·도모하고자 민간 자율제도가 출범되기도 했다.

중소기업의 정보보호 활동을 지원하기 위한 연구는 2010년부터 한국인터넷진흥원(KISA)를 중심으로 진행되어 왔으며, 기업의 규모와 상황을 고려한 정보보호 활동 가이드의 필요성이 제기됨에 따라 한국정보통신기술협회(TTA)를 중심으로 2015년부터 중소기업을 위한 정보보호 관리체계에 대한 국제 표준이 추진되고 있다. 제한적인 자원을 가진 중소기업이 정보보호 활동의 사각지대에 놓이지 않고 균형 있는 정보보호 수준의 향상을 도모하기 위해서는, 중소 조직의 환경을 고려한 공인된 정보보호 관리활동의 표준 수립이 필요하다는 공감에 의한 것이다.

중소기업 정보보호 관리 활동의 표준화 방향은 기존 대기업 중심의 정보보호 활동 기준 대신 인력과 비용의 투자에 제약을 가진 중소기업에서 실효적이며 실제 이행이 가능한 현실적인 활동기준을 제시함으로써 중소기업의 정보보호 관리체계에 대한 기준 지표를 표준화하고자 하는 것이다.

▲쿠팡 정보보안실 김창오

중소기업을 위한 정보보호관리체계의 필요성에 대해서는 우리나라와 함께 일본에서도 매우 많은 관심을 가지고 있으며 현재 ITU-T(International Telecommunication Union Telecommunication Standardization Sector)의 SG(Study Group)17에서는 한국과 일본의 주도로 중소기업의 정보보호 표준활동 가이드에 대한 국제표준화를 준비하고 있다. 2017년 발표를 목표로 진행되고 있는 X.sgsm으로 불리는 중소기업 정보보호관리체계 표준가이드(Information security management guidelines for small and medium telecommunication organizations)는 국내뿐만 아니라 국제적으로 중소기업들의 정보보호활동에 대한 기준을 제시할 수 있을 것으로 기대된다.

따라서 국내 중소기업의 현실을 국제표준에 반영하기 위한 중소기업의 정보보호관리체계의 국제 표준 제정은 중소기업의 정보보호 활성화를 위한 구체적인 활동 가이드로 활용될 수 있을 것이며, 국가 전체의 균형 있는 정보보호수준 향상의 기반이 될 수 있을 것으로 기대된다.

기초가 약해 오래 가지 못하는 것을 뜻하는 사상누각(沙上樓閣)이라는 고사성어가 있다. 이는 건축에서 뿐만 아니라 사상이나 정책에서도 그 기반이 튼튼해야 한다는 의미를 지니고 있다. 모든 산업의 기반이 되고 있는 중소기업의 정보보호 수준이 튼튼해져야 국가 전반의 안정적이고 균형적인 정보보호 수준의 성장을 기대할 수 있을 것이다.
[글_ 김창오 쿠팡 정보보안실(peter.kim@coupang.com)]

필자소개_ 김창오 팀장은 ICT 표준화전략맵 기술표준전담반위원과 ICT 국제표준 전문가로, ITU-T SG17에서는 정보보호 분야 국제 표준 에디터로 활동하고 있다. 정보보호 및 개인정보 관리체계 분야 전문가로 행정자치부 등에서 개인정보보호 전문강사로 활동하고 있다. 현재는 쿠팡에서 간편결제 서비스인 로켓페이의 보안업무를 담당하고 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)