우리 기업들이 최근 들어 정보보안에 관심을 갖기 시작했지만, 아직도 간과하기 쉬운 정보보안 결함을 상당수 갖고 있는 것으로 지적됐다.
이 같은 정보 보안상 결함엔 △시스템 로그 백업 미흡 등 백업절차 부재 △자산 분류 기준 부재와 자산의 보안등급 미표기 및 취급절차 미흡 △관리자 계정 공동사용으로 인한 정보유출 △보안사고 예방 및 대응절차 미흡 등이 있다.
이 같은 내용은 한국정보보호진흥원(KISA, 원장
KISA는 지난 한 해 동안 총 40건에 이르는 정보보호관리체계인증심사 및 사후관리 심사를 진행했다. 이때 발견된 결함을 이번에 분석해 결함발생빈도가 높은 순으로 10가지를 도출했다.
분석결과 가장 많이 발견된 결함은 ‘정보시스템 백업’이었다. 대부분 기업이 정보시스템에 대한 백업을 수행하고는 있으나 백업범위(데이터, 시스템 로그, 환경설정 파일), 백업주기, 백업방법 등을 정의한 지침 및 절차가 마련돼 있지 않았다.
이는 백업이 명확한 절차에 의해서가 아니라 담당자의 주관에 따라 임의적으로 이루어지고 있다는 것을 의미한다. 특히 시스템접속 및 운영 기록이 저장된 주요 로그 파일에 대한 백업 미흡은 침해사고 발생 시 사고조사 및 대응을 어렵게 만드는 원인이 될 수도 있다.
다음으론 ‘정보자산의 보안관리’의 결함이 많이 발견됐다. 여기서 기업의 주요 정보자산이란 데이터, 문서, 하드웨어, 소프트웨어, 설비, 인적자산 등을 의미한다. 분석결과 40%에 해당하는 인증에서 문제가 지적됐다.
기업들이 자산의 중요도 산정까지는 하고 있으나, 그에 따른 처리절차를 명확히 하지 않거나, 절차를 따르지 않은 것으로 나타났다.
KISA는 “개인정보 유출에 대한 사회적인 심각성과 이에 대한 일반 국민들의 관심을 고려하여 특히 강조되는 정보보호대책”이라며 “기업은 이를 안전하게 보호하기 위해 중요도에 따라 분류하여 보안등급을 표시하고 취급절차를 마련해야 한다”고 강조했다.
한편 정보보호관리체계인증(ISMS)이란 다양하고 복잡한 사이버 위협에 대응하기 위해 종합적인 관리와 대책 수립 필요에 따라 도입된 제도이다.
이 제도는 정보보호관리체계 수립ㆍ운영을 위한 5단계 관리과정(정보보호정책수립, 정보보호관리체계 범위설정, 위험관리, 구현, 사후관리)과 문서화 및 정보보호대책 등이 체계적으로 수립․관리․이행되는지를 평가해 인증을 부여한다.
[항목별 결함 사항 분석, 자료 KISA]
순 위 | 발견된 취약점(결함사항) | 통제내용 | 결함건수 |
1 | 백업대상, 주기, 방법 등이 명확하게 정의되어 있지 않고 특히 시스템 로그백업이 미흡함. | - 데이터 및 장비의 무결성과 가용성을 유지하기 위해 백업 계획을 수립하여 이행하고 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다. | 16 |
2 | 개인정보 등 기업의 주요 정보자산 분류 누락 및 기준 부재, 자산의 보안등급 미표기 및 취급절차 미흡 | - 정보자산이 신청기관에서 차지하는 가치와 신청기관에 미치는 영향을 고려하여 분류방식을 선택하고 분류하여야 한다. - 중요도에 따라 분류된 정보자산에 보안등급을 부여하고, 물리적, 전자적 보안등급 표시를 부착, 관리하여야 한다. 또한 보안등급의 부여에 따른 취급절차도 정의하여 이행하여야 한다. | 15 |
3 | 관리자 계정 공동사용, 계정등록 해지절차 미흡 | - 정보시스템 및 서비스에 대한 접근을 통제하기 위한 공식적인 사용자 등록 및 해지 절차를 마련하여야 한다. | 12 |
4 | 정보자산의 변경절차 부재 및 절차준수 미흡 | - 정보시스템 관련 자산들을 조사하고, 모든 변경사항들을 반영할 수 있는 공식적인 관리책임 및 절차를 수립하여야 한다. | 10 |
5 | 보안사고 예방 및 대응절차 미흡 | - 보안사고의 정의 및 범위, 긴급연락체계 구축, 보안사고 발생 시 보고 및 대응 절차, 사고 복구조직의 구성, 교육계획 등을 포함한 보안사고 대응 계획을 수립, 이행하여야 한다. | 9 |
6 | 정보보호교육 계획 부재 및 교육 미실시 | - 교육 및 훈련은 정기적으로 실시하여야 하며, 정보보호정책이나 절차 및 역할의 변경이 있는 경우에는 수시로 실시하고 이에 대한 기록을 남겨야 한다. 또한 교육훈련 종료 후 검토를 통하여 차기 교육에 반영하여야 한다. | 9 |
7 | 물리적 보호구역 미정의, 반출입 절차 부재 | - 물리적 보호구역에 대한 출입은 적절한 출입통제절차에 의하여 통제되어야, 출입자를 식별하고 기록․관리하여야 한다. | 8 |
8 | 고객정보 등에 대한 위험분석 누락 및 위험분석 및 평가방법론 부재 | - 식별된 정보자산에 영향을 줄 수 있는 모든 위협, 취약성, 위험을 식별하여 분류하여야 하며, 이 정보자산의 가치와 위험을 고려하여, 잠재적 손실에 대한 영향을 식별․분석하여야 한다. | 7 |
9 | 기업 내 보안활동에 대한 내부감사 규정 부재 및 주기적 감사 미흡 | - 기업은 정보보호관리체계가 계획된 절차에 따라 효과적으로 실행되는 지를 점검하기 위하여 감사의 기준, 범위, 주기 및 방법을 규정하고, 계획된 주기로 내부감사를 수행하여야 한다. | 7 |
10 | 기업의 주요정보 유출방지를 위한 비밀유지서약서 미징구(정규, 비정규직원, 제3자 등) | - 직원으로부터 비밀유지 서약서에 서명을 받아야 하며, 임시직원이나 제3자에게 정보에 대한 접근 권한을 부여할 경우에도 그들로부터 비밀유지 서약서에 서명을 받아야 한다. | 7 |