“중소기업 보안 주치의, 퇴직 보안 전문가가 맡는다”
상태바
“중소기업 보안 주치의, 퇴직 보안 전문가가 맡는다”
  • 김선애 기자
  • 승인 2016.11.08 17:07
  • 댓글 0
이 기사를 공유합니다

에이쓰리 ‘시큐케어 서비스’, 정보보안 현업에서 20여년 쌓은 노하우 기반 컨설팅 제공

지란지교소프트가 올해 초 국내 458개 중소기업 대상으로 실시한 조사에 따르면, 기업의 80.9%가 외부 유출 시 피해가 예상되는 정보를 갖고 있으며, 해당하는 중요 정보는 설계도면과 같은 기술정보(52.9%), 재무·사업전략 등 경영정보(50.1%) 등이었다. 이처럼 중요한 정보를 보유하고 있는 중소기업의 보안 관리 상태를 매우 미흡한 것으로 나타났다. 64%의 기업에 정보보안 책임자가 없었으며, 67%는 기술적 조치방안을 마련하지 못하고 있다고 답했다.

중소기업의 보안이 심각한 위험에 직면해 있다는 사실은 오래 전 부터 지적되어 온 문제이다. 많은 APT 공격이 중소기업을 노리고 있으며, 중소기업이 관리하는 기밀정보를 탈취하는 한편, 협력관계에 있는 대기업으로 침투하기 위한 경로로 이용하기도 한다.

중소기업에서도 정보보안의 심각성을 이해하고 있지만, 예산과 인력 부족의 이유로 적극적으로 실행에 옮기지 못한다. 또한 강화되고 있는 보안 규제를 준수하기 위한 실행방안 마련도 필요하지만 전문조직이 없는 중소기업은 어떻게 대응해야 하는지 알지 못한다.

▲이익준 에이쓰리 전문위원은 “‘시큐케어 서비스’는 중소기업에 기술적 보안과 관리적 보안 정책 수립·운영을 도와주며, 정기적인 고객사 방문을 통해 보안 지속성을 유지할 수 있도록 도와준다”고 말했다.

에이쓰리가 ‘중소기업 보안 주치의’라는 컨셉으로 출시한 ‘시큐케어 서비스’는 매달 보안 컨설턴트가 고객사에 방문해 정보보안 이행 실태를 관리하고, 정보보호 교육, 취약점 점검, 내부정보 보호 감사 등의 서비스를 제공한다.

이 서비스는 금융기관에서 정보보안 업무를 담당하던 정년퇴직자들이 중심이 된 것으로, 기업 보안조직에 현실적인 보안 대책 수립을 지원해줄 수 있다.

이익준 에이쓰리 전문위원은 “보안은 지속성이 가장 중요하다. 내부자에 의한 보안위협이나 APT와 같은 외부에 의한 공격을 막기 위해서는 보안 체계를 정립하고 이를 지속적으로 관리해나가야 한다. 그러나 중소기업의 IT 조직이나 보안 담당자는 너무 많은 업무를 담당하고 있으며 낮은 권한으로 인해 지속적인 보안관리 책임을 수행할 수 없다”며 “시큐케어 서비스는 중소기업에 필요한 보안 컨설팅과 서비스만을 압축해 제공하며, 보안 주치의가 직접 방문해 보안점검을 실시하기 때문에 전문조직이 없는 중소기업도 보안 수준을 한층 높일 수 있다”고 말했다.

시나리오 기반 위협 탐지 정책 제공

시큐케어 서비스는 K은행 보안팀장을 역임한 이익준 전문위원과 J증권 보안 총괄 임원 출신 이인건 전문위원, N투자증권 보안 담당 출신 오세천 전문위원 등 3인이 주축이 되고 있으며, 20여년간 정보보안 업무를 담당하면서 쌓은 노하우를 반영해 IT 및 보안 조직이 보안 정책을 수립하는데 현실적인 도움을 줄 수 있다.

특히 이 서비스는 ISMS 준수에도 도움을 받을 수 있는데, 중소규모 기업 중 ISMS 인증 의무대상 기업은 체크리스트 중심의 ISMS 인증에만 머물러 있어 지속적인 보안 관리가 이뤄지지 않으며, 인증 시기에 담당자의 업무 폭증으로 인한 어려움을 겪게 된다. 시큐케어 서비스는 정기적으로 취약점 점검과 컨설팅 서비스를 제공하기 때문에 정보보안 체계 지속성을 정기적으로 점검할 수 있고 ISMS 인증 업무도 크게 줄일 수 있다.

또한 중소기업에서 많이 발생하는 보안사고 시나리오를 기반으로 보안 관리 정책을 운영해 가볍고 정확하게 위협을 탐지할 수 있도록 한다. 모든 IT 시스템에서 발생하는 로그를 분석해 상관관계를 찾아내고, 위협 정도를 수치화 해 관리할 수 있도록 한다.

이익준 위원은 “시큐케어 서비스는 일반 보안 컨설팅에 비해 합리적인 비용으로 고객에게 제공된다. 중소기업에서 가장 많이 발생하는 보안사고 시나리오를 기반으로 정책을 수립하고, 보안위반을 점검하기 때문에 비용을 줄일 수 있다. 자동화된 점검 툴과 방법론으로 가볍고 편리하게 보안 수준을 진단하고 대안을 마련해 줄 수 있다”고 설명했다.

“정보보호, 향후 가장 유망한 업종 될 것”

이 위원은 “정보보호 업무는 대기업과 중소기업이 다르지 않다. 금융기관 정보보안을 총괄하면서 고민했던 문제를 중소기업에서도 똑같이 고민하게 된다. 따라서 축적된 보안 대응 노하우를 중소기업에 적용해 보안 문제를 해결할 수 있다면 보다 나은 사회를 만드는데 도움이 된다고 본다”고 말했다.

그는 이어 “어느 새 정보보호가 IT 업종 중에서 가장 꺼리는 분야가 됐다. 그러나 정보보호는 향후 가장 유망한 업종이 될 것”이라며 “정보보호 담당자나 보안 컨설턴트들이 업무에 자부심을 갖고, 자율적·체계적·지속적인 정보보안 체계를 정립·운영하도록 노력하기를 바란다. 또한 중소기업 CEO와 의사결정권자들도 보안을 귀찮은 일이라고 생각하지 않고 지속적인 관리를 통해 기업의 경쟁력을 높일 수 있기를 바란다”고 덧붙였다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.