KISA에 따르면, 우리나라 기업들은 ▲백업절차 부재 ▲자산 분류 기준 부재 및 취급절차 미흡 ▲관리자 계정 공동사용 ▲보안사고 예방 및 대응절차 미흡 등의 문제점을 보였다. 이 가운데 가장 많이 발견된 결함은 ‘정보시스템 백업’과 관련된 부문이다. 대부분 기업이 정보시스템에 대한 백업을 수행하고는 있으나, 백업범위(데이터, 시스템 로그, 환경설정 파일 등)나 백업주기, 방법 등을 정의한 지침 및 절차가 마련돼 있지 않아 ISMS 심사과정 중 가장 많은 지적을 받은 것.
KISA 측은 이는 우리나라 기업들이 명확한 절차에 의한 백업을 수행하지 않고 담당자의 주관에 따라 임의적으로 백업을 수행하고 의미한다고 풀이했다. 백업 프로세스의 미비로 인해 로그 백업의 미비로 인해 보안 사고 발생 시 사고 조사와 대응을 어렵게 하고 있음은 물론 기업의 소중한 정보가 손실될 가능성도 높다고 분석된다.
다음으로 많이 발견된 결함은 ‘정보자산의 보안관리’였다. 개인정보유출에 대한 사회적인 심각성과 이에 대한 일반 사용자들의 관심을 고려할 때 개인정보보호는 특히 강조되는 것 중 하나다. 하지만 기업의 관심도는 이에 미치지 못해 ISMS 심사 중 정보자산의 보안관리 문제가 지적된 것은 전체 인증심사의 40%에 달했다. 인증심사 5번 중 2번 가량 정보자산 보안관리 문제가 지적된 것이다.
이와 관련, KISA 측은 데이터, 문서, 하드웨어, 소프트웨어, 설비, 인적자산 등 기업의 주요 정보자산들에 대한 분류는 비교적 잘 이뤄졌던 반면, 처리절차를 명확히 하지 않거나 절차에 따르지 않은 관리가 수행되고 있는 곳이 많았다고 전했다.
KISA 관계자는 “이번에 분석한 결함빈도 톱10을 국내 기업이 간과하기 쉬운 기업 보안상 결함으로 보고, 특히 취약성이 많은 웹을 대량 취급하는 서비스 업체가 상시 정보보호 관리를 할 수 있도록 정보보호관리체계 수립을 다각도로 지원하는 한편, 기업 정보보호 실효성을 제고하여 정보보호 수준을 강화하겠다”고 밝혔다.
KISA가 실시하고 있는 ISMS 인증은 다양하고 복잡한 사이버 위협에 대응하기 위한 종합적인 관리와 대책 수립에 대한 평가 인증으로 ▲정보보호정책수립 ▲정보보호관리체계 범위설정 ▲위험관리 ▲구현 ▲사후관리 등 정보보호관리체계 수립·운영의 5단계 과정이 체계적으로 이행되는가를 평가하는 제도다. <오현식 기자>
