"중소기업, 사이버보안 어디가 문제인지부터 알아야”

“사이버공격 급증으로 보안의 중요성이 날로 커지고 있다. 하지만 보안 전문 임직원이 없는 중소기업은 문제점을 인식할 수 없어 대안이나 개선이 어려운 현실이다.”

CJ올리브네트웍스 유아영 정보보호 센터장은 13일 개최한 중소기업 보안 웨비나를 통해 이같이 말하며 보안전문 인력의 중요성을 강조했다.

최근 디지털트랜스포메이션 확대 및 원격근무 등 비대면 업무 전환으로 함께 급증한 사이버공격을 막기 위한 대안이 업계에 요구되고 있다.

특히 중소기업은 부족한 인원과 예산 등으로 보안 위협에 더욱 취약한 상황이다. 2017년 한국인터넷진흥원(KISA)에서 발표한 기업 규모별 사이버 침해 사고율을 보면 전체 피해기업 중 98%가 중소기업이다.

유아영 정보보호센터장은 “스스로 잘하고 있다고 생각하는 중소기업을 방문해 점검해보면 많은 보안 문제점을 발견할 수 있다”며 “기업에 수 많은 개선점을 보고하면 예상보다 많은 수에 놀라는 경우가 대부분”이라고 밝혔다.

다만 중소기업에 문제점을 알리더라도 자체적으로 개선하기엔 비용과 인력에 어려움을 겪어 진행하지 어렵다는 것이 유센터장의 설명이다.

유 센터장은 우리나라의 전반적인 보안 수준을 높이기 위해선 중소기업에 실질적인 도움을 줄 수 있는 국가 자원의 지원체계가 필요하다고 강조했다.

중소기업에서 정부의 도움이 필요한 사례 중 하나는 개인정보 내부관리계획 수립이다. 중소기업 내에서 자체적으로 작성이 어려운 만큼 최신 개정사항이 반영된 관련 샘플 자료가 필요하다.

유 센터장은 비용 문제로 도입하지 않는 문서 암호화, 비인가 네트워크 접속 차단 기능 관련 라이선스를 지원하거나 정부에서 소규모 관련 툴을 개발해 배포하는 것을 제안했다.

CJ올리브네트웍스는 증가하는 중소기업의 보안피해를 줄이기 위해 화이트햇 프로그램을 진행하고 있다.

화이트햇은 CJ올리브네트웍스의 보안역량을 기반으로 무료 보안 컨설팅 및 교육 기회를 중소기업에게 제공하는 프로젝트다.

CJ화이트햇은 지난해 6개월간 중소기업 6개사를 모집해 1기 프로그램을 진행했다. 참가사는 슈빅, 녹색친구들, 아자스쿨, 공공공안, 오마이컴퍼니, 행복컴퍼니 등이다.

1기에서는 시스템 모의해킹 및 개인정보 컨플라이언스 점검으로 나누어 현황 진단 및 개선가이드를 지원하고, 임직원 대상 정보보호 교육을 실시했다.

시스템 모의해킹은 랜섬웨어, 스미싱 등 해커의 다양한 방식으로 기반 시설을 가상으로 공격해 취약점을 파악하는 방식이다. OWASP 등 21개 항목 기반으로 모의해킹 점검결과 시스템권한, 스비스관리자 권한 획득, 금액 변조 등 치명적인 취약항목이 다수 발견됐다.

보안관리 시스템 역시 운영과 개발을 위한 보안기준과 매뉴얼이 마련돼 있지 않았다. 이로 인해 정기적인 보안개선 작업도 진행되지 않는 것으로 확인됐다.

화이트햇에 참가한 기업들은 개인정보 수집 처리방침, 개인정보 전송 시 암호화 적용 등 고객 접전에 적용하는 컴플라이언스 요구사항을 대부분 개선한 것으로 나타났다.

반면 유아영 센터장이 지적한 것처럼 외부 도움이 필요한 개인정보 내부관리자 지정, 내부 실태 점검체계 등 내부환경에서 수행해야 할 보호조치 체계는 준수도가 낮았다.

특히 가상데스크톱인프라(VDI) 등 별도 서비스를 구입해야 하는 소규모 기업망에서 개인정보를 취급하는 PC내 비인가된 P2P, 웹하드 공개된 무선망 사용 제한은 준수하기 어려운 것으로 나타났다.

관련기사