[스페셜리포트] 기업 '언택트 보안' 낙제점…12%만 정보보호 조직운영

▲2019년 기업 정보보호 실태 설문조사 (과기정통부 제공)

국내 정보보호 시장은 포스트 코로나로 인한 비대면 업무 증가와 정보보호 관련 법의 변화, 기업 정보 탈취를 노린 해킹 위협 증가 등 시장의 급격한 변화를 앞두고 있다. 기업 해킹은 해당 기업의 피해뿐 아니라 협력사와 고객 정보까지 유출될 수 있는 위협에 놓여있다. 하지만 기업의 정보보호 체계 구축은 예산의 필요성에 대한 낮은 공감대와 낮은 보안 인식으로 쉽사리 갖춰지지 못하는 실정이다.

◇업무 대부분은 온라인인데…보안 인식은 낙제=국내 기업들 중 대부분은 정보보호 정책 수립이 돼 있지 않은 것으로 나타났다. 과기정통부와 한국정보보호산업협회가 발표한 ‘2019년 정보보호 실태조사 결과 발표’에 따르면 개인 정보보호 정책수립률은 23.1%다. 100개 기업 중 23개 만이 보안 정책을 마련한 셈이다. 정보보호 조직운영률과 교육실시율도 각각 12.3%, 29.4%로 취약한 기업이 대부분이라고 볼 수 있다.

장상수 한국인터넷진흥원 연구위원은 ‘국내외 중소기업 정보보호 지원 정책 분석 및 개선 검토’ 보고서에서 우리나라 기업 중 99.2%가 중소기업이고 이 중 78%가 지역에 있는 현실에서 많은 중소기업이 전문인력 부족(77.9%), 예산 부족(74.0%) 등을 호소하고 있다고 강조했다. 특히 국내 사이버위협의 97%가 중소기업을 대상으로 한다고 파악했다.

장 연구위원은 “정보보호는 4차 산업혁명 시대, 초연결 사회를 지탱하는 기둥이자 지능정보사회의 지속을 보장하는 주춧돌과 같기 때문에 정보보호가 확보되지 않은 지능정보사회는 사상누각과 같아 지속 가능하지 않다”고 꼬집었다. 대부분의 기업이 정보보호 취약성을 알면서도 대비하지 못한다는 지적이 나오는 상황에서, 재택근무와 외부 접속 환경의 증가가 향후 보안 사고 증가로 이어질 수 있다는 지적이다.

◇보안 없는 ‘데이터3법’ 가능한가=기업들의 낮은 보안 의식이 발전의 걸림돌로 예상되는 분야가 데이터3법 관련 사업이다. 데이터3법은 개인정보 보호법·정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)·신용정보법(신용 정보의 이용 및 보호에 관한 법률) 개정안을 일컫는 것으로 빅데이터 3법, 데이터경제 3법이라고도 부른다. 데이터3법은 실명과 주민등록번호 등 대상을 특정할 수 있는 개인정보를 제외한 정보를 추려 서비스 향상과 마케팅 최적화에 활용하자는 취지다. 데이터 활용 범위만큼이나 개인정보 보호조치 불이행에 대한 과징금또한 높아진다. 때문에 관련 정책 수립이나 안정성 확보는 필수적이다.

윤대진 SK인포섹 기업컨설팅팀장은 “개인정보(가명정보)를 어떻게 활용하는지 체계를 수립하기 위한 문의 늘고 있다”며 “가명처리나 비식별 처리 등으로 개인정보 안정성 확보 솔루션이 요구된다”고 말했다.

비식별화된 개인정보 처리의 가능성이 높아진 것과 달리, 국내 기업의 고객 개인정보 관리 실태는 심각한 수준이다. 지난달 개인정보보호 의무를 위반한 8개 크고 작은 기업이 무더기로 과징금 또는 과태료를 맞았다. 해당 업체는 △가상통화 정보업체 ‘이에스엔운영’ △청주방송 △재능공유 플랫폼 ‘탈잉’ △DIY 인테리어 쇼핑몰 ‘페인트인포’ △건강기능성식품 ‘헬스밸런스’ △홈플러스 △온라인데이팅서비스업체 ‘넥스트매치’(아만다) △성형 견적 서비스 ‘힐링페이퍼(강남언니)’ 등이다. 이 중 힐링페이퍼는 개인정보 제3자 제공 동의 위반으로 4530만 원의 과징금과 개인정보처리방침 공개 위반, 개인정보 유효기간제 위반 등 총 800만 원의 과태료가 부과됐다.

◇클라우드 도입, 보안 안전지대 아니다=최근 영세·중소기업들이 비용 절감을 이유로 클라우드를 도입하는 사례가 늘고 있다. 클라우드 서비스에 보안 서비스가 포함돼 있지만, 사용자나 기업 실무자의 보안 인식과 준수 역량이 문제로 꼽힌다.

지난달 오라클은 기업 컨설팅 업체 KPMG와 ‘2020 오라클-KPMG 연간 클라우드 보안 위협 보고서’를 발표했다. 클라우드 보안 인식과 실태에 대한 설문 결과에서 IT전문가 92%는 ‘자신의 기업이 퍼블릭 클라우드 서비스를 보호하기에 충분히 준비되지 않았다’고 답했다. 이들은 여러 보안 제품을 결합해 사용하지만 시스템이 제대로 구성되지 않아 어려움을 겪는다고 이유를 밝혔다. 클라우드에서 시스템 구성 오류를 발견한 기업들은 작년 10회 이상의 데이터 손실 사고를 겪었다. 이 중 59%는 클라우드 계정에 권한을 가진 직원의 자격 증명이 스피어 피싱 공격(특정 기관을 대상으로 한 표적 공격)으로 손상됐다.

토니 버포만테 KPMG 사이버 보안 서비스 분야 글로벌 및 미주 지역 총괄은 “정보보호최고책임자(CISO)는 클라우드 이전 및 전략 수립 과정에서 보안을 최우선 순위로 고려해야 하고 정기적 의사소통이 필요하다”고 조언했다.