[기업 정보화 大賞] "정보화예산 5%이상 보안에 투입"..정보보호 필수

전직 증권사 투자상담사가 자기가 관리했던 고객의 선물계좌를 해킹,사이버 옵션거래를 통해 11억원의 부당이득을 취했다. 또 인터넷 상에서 악보를 유료로 제공하는 회사의 간부들이 경쟁업체 사이트를 해킹해 매출액,회원수,악보 업데이트 현황 등을 매일 조회했다. 이들은 악보 파일 3천여개(3억원 상당)를 불법으로 내려받기도 했다. 컴퓨터 프로그래머가 음료업체 사이트에 침입해 회원이름과 주민등록번호 ID 비밀번호 등이 들어있는 약 50만명분의 회원 정보를 빼내 인터넷 업체에 팔려고 시도한 적도 있다. 이상은 경찰청 사이버범죄수사대가 적발한 실제 사례들이다. 피해 대상은 모두 인터넷 사이트와 사이버거래 시스템을 잘 갖춘,정보화에 앞선 기업이거나 닷컴 업체들이었다. 이런 사례가 말해주듯 아무리 빠르고 효율적인 최신 정보시스템을 갖추고 있더라도 보안 시스템을 제대로 갖추지 않으면 오히려 엄청난 피해를 입을 수 있다. 그만큼 보안이 중요해졌다. 한국정보보호진흥원(KISA) 집계에 따르면 국내기업 및 공공기관의 해킹피해 접수건수가 1999년 5백72건에서 2000년 1천9백43건,2001년(10월말 현재) 4천6백5건으로 폭발적으로 늘고 있다. 인터넷이 확산되면서 정보화에 대한 인식은 높아졌지만 인터넷 자체의 개방성으로 인해 해킹의 가능성이 높아졌기 때문이다. 또 유닉스 시스템이나 TCP/IP 프로토콜의 경우 학교나 연구소에서 프로그램 소스의 상당 부분을 갖고 있고 자주 추가로 공개되고 있어 이 점이 악용되고 있다. 한편 BBS(전자게시판) 전자우편 네트워크뉴스그룹 등을 통해 새로운 해킹방법이 많은 사람에게 전파되는 것도 한 요인이다. 시스템 관리자나 사용자의 인식부족도 해킹 증가에 중요한 요인이 되고 있다. 세계적인 IT 관련 조사기관 가트너그룹은 "기업정보화 예산의 5% 이상은 정보보호에 투입하라"고 권하고 있다. 하지만 현재 국내 기업이나 기관의 보안관련 투자는 전체 정보화 예산의 1%를 밑돈다. 이에 대해 보안 관계자들은 "정보보호를 위한 경비는 손실비용이 아니라 기회비용으로 간주돼야 한다"고 조언한다. 기업정보를 안전하게 보호하기 위한 방법으로는 기업환경에 적합한 정보보호 솔루션 확보 확보된 솔루션에 대한 효율적 관리체계 구축 구성원들의 정보보호의식 개선 등이 꼽힌다. 첫째 보안 솔루션에는 침입차단시스템(방화벽) 침입탐지시스템(IDS) 접근제어시스템 취약점분석시스템 PKI솔루션(전자상거래 인증,암호화 솔루션) 가상사설망 등이 있다. 이런 분산 시스템 외에 최근엔 통합보안관리솔루션(ESM)도 인기를 얻고 있다. 한편 정보보안 전문업체 시큐아이닷컴 관계자는 "솔루션 확보는 정보보호의 첫걸음일 뿐 궁극적인 해결책은 아니다"라고 말한다. 예를 들어 얼마전 국내기업에 큰 피해를 준 "코드레드 웜"은 방화벽을 설치한 기업에도 피해를 줬고 침입탐지시스템을 갖춘 기업에서도 탐지되지 않았다. 즉,바이러스와 해킹 방법이 나날이 발전하는 만큼 이를 막기 위한 보안솔루션과 대응책도 늘 향상돼야 한다는 것이다. 이를 위해 기업은 전담조직과 정책,그리고 대응책 등 정보보호를 위한 관리체계를 갖고 있어야 한다고 전문가들은 조언한다. 조직 구성원 개개인의 정보보안에 대한 의식 개선도 시급하다. 자리를 비울 때 시스템을 종료하고 비밀번호를 정기적으로 바꾸는 등 보안을 위한 기초적 노력이 없다면 원시적인 수준의 공격에도 정보망이 허물어져 버릴수 있기 때문이다. 기업정보 보호에 대한 CEO(최고경영자)의 강력한 의지도 필수적이다. 조정애 기자 jcho@hankyung.com