필요성 절감, 관리는 소홀, "정보보호 투자 관리 로드맵 마련해야"
▲ 조사 개요
쪾자료수집 방법 : 온라인 조사
쪾조사 지역 : 전국
쪾조사 대상 : 한국침해사고대응팀협의회 205개 회원사
쪾조사 일시 : 2005년 11월 11일~11월 21일(총 11일)
쪾조사 문항수 : 총 60문항
- 정보보호 현황관련 19문항
- 정보보호 투자의 경제적 가치인식 관련 7문항
- 정보보호 투자효과 인식관련 11문항
- 정보보호 침해사고 피해현황 관련 18문항
- PC 장애 피해현황 관련 5문항
쪾표본 추출방법 : 목적적 할당 추출
▲ 조사대상 기업규모 및 유형
▲ 조사대상 업종 분포
쪾(정부)기관/학교 39.6%
쪾소비재(인터넷 영업 비관련 업종0 22.6%
쪾산업재 22.6%
쪾소비재(인터넷 영업 관련 업종) 15.1%
(사)한국침해사고대응팀협의회(CONCERT)에서는 지난 11월 11일부터 21일까지 총 11일간 320개 회원사 중 205개 사에 대한 기업 정보보호 실태조사를 실시했다. 이번 조사는 CONCERT 회원사들의 정보보호에 대한 인식을 파악하고 실제 침해사고 발생 정도 및 이에 대한 대응을 살피는 데 목적을 두고 있다.
특히 정보보호 투자의 경제적 가치인식의 정도와 정보보호 투자효과 인식의 정도, 즉 그동안 단순히 '소비적'인 것으로만 인식되어 왔던 정보보호 투자에 대한 인식전환이 어느 정도 이루어졌는지에 대한 조사에 초점이 맞춰졌다. 이 실태조사 보고서의 내용을 정리한다. <편집자>
정보보호 투자관리에 대한 인식
이번 조사대상 기업들에게 가장 먼저 주어진 질문은 "정보보호 투자를 얼마나 제대로 관리하고 있는가"하는 것이었다. 우선 정보보호 투자효과의 정량적 관리가 필요한지의 여부에 대해서는 79.2%의 기업이 '필요하다'고 답해 관리의 필요성은 대다수의 기업이 절실히 느끼고 있는 것으로 나타났다. 반면, 정보보호 투자효과의 정량적 관리수준을 묻는 질문에는 39.6%만이 '관리를 잘 하고 있다'고 답했으며, '관리하지 않고 있다'는 응답자 또한 34%에 달해, 그 필요성에 비해 정보보호 투자효과 관리의 실제 수행 수준은 극히 떨어지는 것으로 나타났다. 그러나 앞서 언급했듯 정보보호 투자관리에 대한 필요성을 절감하고 있는 기업들이 대다수인 점으로 미루어 볼 때 전반적인 관리수준은 지속적으로 상승할 것으로 판단된다.
정보보호 투자효과 증진방안
정보보호가 뭔가를 '소비하는' 개념으로부터 뭔가를 '생산하는' 개념으로 전환해야만 그 수준 제고의 전기를 마련할 수 있다. 각 기업의 정보보호 담당자들도 이러한 논리를 마련하기 위해 전전긍긍하고 있다. 정보보호 투자효과 극대화를 위한 조건을 묻는 질문에 '정보보호 경제성에 대한 인식'을 꼽는 응답자들이 가장 많았으며(34%), '경제적 평가기준 수립'과 '경제적 평가 프로세스'가 각각 그 뒤를 이었다. 그러나 가장 많은 응답자들이 선결조건으로 꼽은 '정보보호 경제성에 대한 인식'은 보안하는 사람들만 뭉친다고 해서 해결될 수 있는 문제가 아니다 라는 답변이 다수를 차지, 앞으로 '보안 전문가'들이 담당해야할 역할이 무엇인지를 시사했다.
정보보호 투자에 따른 이익
정보보호 투자가 과연 없는 예산을 끌어 모아 투자해야 하는 '소비적' 개념이 아니라, 이를 통해 실제로 뭔가를 얻을 수 있는 '생산적 이익'을 가져다 줄 수 있을까. 정보보호가 기업 가치에 기여하는 부분을 묻는 질문에 대해 대다수의 기업들은 '마케팅적 가치(영업효과)'를 꼽고 있었으며(45.3%), 브랜드 가치제고와 같은 재무적 가치를 꼽은 응답자들은 28.3%에 그쳤다. 여기에서 말하는 '마케팅적 가치효과'란 침해사고로 인해 발생할 수 있는 피해를 최소화 하는데 도움이 된다는 의미, 즉 '피해 최소화'라는 소극적 수준의 의미로, 앞서 언급한 '생산적 이익'과는 아직도 큰 격차를 보이고 있었다.
현 정보보호 투자의 체감효과
앞서의 응답과는 달리, 정보보호 투자에 따른 실제 체감효과를 묻는 질문에 응답자들은 앞서 가장 많은 응답을 보였던 '마케팅적 이익' 보다는 '전략적 이익', 즉 정보보호와 관련한 업무협조, 관계향상 등에서 더 많은 효과를 체감하고 있는 것으로 나타났다.
즉, 기업차원에서 보면 마케팅적 이익이 가장 클 것으로 '추측'하는 반면, 본인들, 즉 정보보호 담당자들이 실제로 체감하는 가장 큰 이익은 전략적 이익이라는 뜻이다.이는 설문에 응답한 정보보호 담당자들이 회사 매출이나 브랜드 관리업무에 직접적 연관성이 없기 때문인 것으로 보이며, 정보보호 담당자들이 속한 기업 내에서 각 부서간의 원활한 업무협조와 유기적 커뮤니케이션을 이끌어내야 할 필요가 있음을 시사한다고 볼 수 있다.
보안 침해사고 언론유포 시 영향 정도
각종 언론에 심심찮게 오르내리고 있는 기업 침해사고 발생 소식은 실제로 발생하는 사고들의 극히 일부에 불과한 것으로 알려져 있다. 그렇다면 그 이유는 무엇일까. 보안 침해사고가 언론에 유포되었을 때 해당 기업에 영향을 주는 요소는 여러 가지가 있을 수 있다.
먼저 언론 유포시 해당 기업의 이미지는 평균 25% 감소되는 것으로 응답자들은 느끼고 있었으며, 기업 매출액 또한 평균 12.2%가 하락하는 것으로 나타났다. 상장기업의 경우 주식 일일 하락률 또한 평균 4.3%에 이르렀다. 이번 설문의 응답 기업들만을 놓고 봤을 때 지난 1년간 실제 발생했던 침해사고의 언론 보도 건수는 연평균 11.5건 중 0.4건, 즉 3.4%였으나, 실제로는 여기에도 훨씬 못 미칠 것이라는 게 대다수 기업들의 추측이다.
보안침해로 인한 일반직원 업무 피해 시간
기업에서 근무하는 직원들이 정보보호와 관련한 문제로 인해 실제로 입게 되는 피해는 얼마나 될까. 먼저 보안 침해사고를 가장 많이 야기하는 것으로 나타난 악성코드의 경우 연평균 3.9회의 침해사고를 야기했으며, 이로 인한 시스템 비정상 가동시간은 평균 약 5.3시간, 또 이로 인해 근무에 영향을 받은 직원 수는 약 38.1명으로 나타났다.이러한 결과들, 즉 침해사고 건수와 시스템 비정상 가동시간, 그리고 영향 받은 직원 수를 모두 곱해보면 대략적인 연평균 업무 피해시간이 나오는데, 악성코드의 경우 약 774.9시간, 애드웨어/스파이웨어는 93.3시간, 외부로부터의 비인가 접근이 77.6시간, DoS 공격이 5시간이었다. 이들을 모두 합하면, 기업들은 연간 총 950여 시간의 업무피해를 입고 있는 것으로 분석해볼 수 있다.
한편, 일반 직원의 근무시간 외에 이들의 정보 시스템 업무 의존도까지 고려할 경우 피해시간은 총 1,168시간으로 늘어난다. 이 같은 피해시간을 비용으로 환산하는 것은 각 기업들의 몫이다.
결론
이번 조사는 앞서 밝혔듯이 한국침해사고대응팀협의회의 회원사, 즉 기업에 CERT 조직을 갖추고 상대적으로 상당히 적극적인 정보보호 활동을 펼치고 있는 기업들을 대상으로 이루어졌다. 따라서 이들이 고민하는 문제, 그리고 이들이 제시하는 의견들이 기업 정보보호에 있어 하나의 '트렌드'를 형성하고 있다고 해도 과언은 아니다. 이번 조사 결과 중에서 기업 정보보호 투자의 정량적 관리의 필요성을 대다수의 기업들이 절감하고 있고, 이 같은 추세가 앞으로도 지속될 것이라는 점이 눈에 띈다. 이는 정보보호 투자의 관리를 위한 로드맵 마련이 앞으로 기업들이 해결해야할 시급한 과제로 대두됐음을 의미한다.
또 하나 중요한 사실은 이 같은 정보보호 투자의 정량적 관리나 그 투자의 경제성에 대한 근거들이 한 기업만의 노력(사실은 그 기업의 정보보호 담당자 2~3명)으로는 얻어질 수 없다는 데 있다. 기술과 솔루션 개발에 주력하고 있는 정보보호 전문기업들, 학술적 연구에 매진하고 있는 학계, 그리고 이들 모두에 도움을 주고자 노력하고 있는 정부당국 모두 우리 기업들의 고민을 인식해야 한다. 자칫 '정보보호는 필수'라는 구호가 '자나 깨나 불조심', 또는 '물을 아껴 씁시다'와 같이 이제는 그 중요성을 오히려 희석시키는 역할을 하는 '널린 구호'가 되지 않아야 한다. 지금의 상황에서는 앞서 언급한 정보보호 투자의 정략적 관리기법이나 투자의 경제성에 대한 근거 확보를 돕는 것이 각 기업의 보안담당자들에게 날개를 달아주는 길이며, 나아가 기업 정보보호의 수준을 제고할 수 있는 첩경이 될 것이다.