정보보안 | [ 정보보안 ] 중소기업 기술유출 예방, 임직원의 '보안 의지'가 중요
페이지 정보
작성자 박상흠 작성일19-07-09 23:19 조회1,665회 댓글0건관련링크
본문
기술유출 방지 시스템 구축 지원 사업을 신청한 기업에서 사전진단 심사를 받았습니다.
방문한 심사원이 준비한 첫 번째 질문은 기술유출 방지 도입 기업에서 정보 보안규정을 제정하고 문서로 공포하였나요? 다음으로 기술유출 및 침해 사고 발생 시 회사 차원의 대응 절차 또는 방안 마련이 되어 있나요? 보유자산에 대한 보안 여부, 보안 등급, 접근 권한 등을 구분하여 체계적인 관리를 하고 있나요? CEO/임원, 부서장, 직원의 기술 보호 필요성 인식 수준은 어떤가요? 순으로 진행되었습니다.
필자는 기술유출 방지 시스템 구축 지원 사업을 처음 진행하는 고객의 요청으로 심사 현장에 참석하였습니다.
심사원의 질문을 들으면서 과거 지원 사업에서는 중요하게 여기지 않았던 내용을 발견하게 되었습니다.
국가에서 중소기업 기술유출 방지를 위해서는 기술유출 방지 시스템 도입 이전에 기술유출을 예방하기 위한 정보보호 경영시스템 구축 여부를 우선 확인하는 것을 보고 중소기업 기술유출 방지 및 예방을 위해서는 기술적 안전조치도 중요하지만 관리적 안전조치도 중요함을 일깨워주는 시간이었습니다..
오늘날 중소기업의 기술 보호 현황은 어떻습니까?
중소기업은 예산과 보안 전담 인력이 부족하기 때문에 자발적인 정보보호 실천 활동이 미흡한 것이 사실입니다. 중소기업 기술유출 사고의 87%가 중소기업에서 발생하였고 내부자에 의한 유출이 84%에 달했습니다. 중소기업에서의 보안은 인적 보안 관리(임. 직원의 재직 및 퇴직 후)가 가장 중요하다는 사실입니다. 특히 규모가 작은 기업이 상대적으로 기술 유출에 취약하다는 조사 결과를 확인할 수 있습니다. 중소기업을 대상으로 한 기술유출 사고가 계속해서 발생하는 원인은 보안 예산 투입이 어렵기 때문인 것으로 파악됩니다. 과학기술정보통신부의 ‘2017 정보보호 실태조사’에 따르면, 총예산 대비 정보보호 예산을 1% 미만으로 책정한 기업이 89%를 차지할 정도로, 중소기업이 보안에 신경 쓸 여력이 없다는 것을 알 수 있습니다.
중소기업 대표적인 피해 사례의 대표적인 유형으로는 내부 직원에 의한 유출과 해킹, 악성코드 및 랜섬웨어 감염을 꼽을 수 있습니다. 가장 많이 발생하는 피해 유형은 내부 직원에 의한 유출입니다. 특히 저장매체(USB, 외장하드). 이메일 등의 반출이 86%의 조사 결과를 보입니다.
중소기업 기술유출 피해의 근본적인 원인이자 피해를 예방할 수 있는 방법은 기업의 대표와 임직원들의 보안 역량 강화를 위해 정기적인 정보 보안 교육을 실시하고 정보 보안 활동을 높이는 노력이 필요합니다.
필자는 기술유출 사고 피해 기업을 자주 접하게 됩니다. 피해 기업들 중 상당수가 정보 보안 솔루션을 도입 운영 중인 곳이 많습니다. 발견된 문제들중 기술적 안전조치만으로 정보 보안을 잘 하고 있다고 인식하는 기업의 낮은 '보안인식'을 확인하게 됩니다..
필자는 피해 기업 담당자와 미팅 시 3가지를 중요하게 질문합니다.
첫 번째는 보안규정 및 지침서를 보유하고 있느냐?
두 번째는 전 직원 보안 역량 강화를 위해 어떠한 노력을 하고 있느냐?
세 번째는 보안 사고 발생 시 대응 매뉴얼과 재발방지 프로세스를 가지고 있느냐?입니다.
기업의 최고경영자는 정보보안의 중요성을 직원들에게 알리고 노력을 당부하지만 정보보안을 위한 실질적인 노력을 하지 않고 있는 곳이 많습니다
정보보안을 위한 최소한의 노력 및 활동을 하지 않는 기업은 위 3가지 질문의 답을 하지 못합니다.
중소기업은 기업 정보 유출 사고를 예방을 위한 사전 리스크 관리를 해야 합니다.
이 때 기업은 리스크 관리의 정략적 분석이 힘들다는 이유로 정성적 분석의 결과로 위험처리 방법의 하나인 위험전가 방법을 선택합니다.
위험전가 방법으로는 보험이나 외주 등으로 잠재적 위험이나 위험 처리를 외주로 전가하는 방법인데.. 문제는 사후약방문(死後藥方文)입니다. 말 그대로 이미 죽었는데 이제서야 약도 아니고 처방전이 나왔다는 뜻입니다.
규정과 지침서 등 정보보호시스템 구축을 통해 기술유출 예방과 방지의 효과를 충분히 볼 수 있는데 기업은 정보 보안담당 업무를 해 줄 직원이 없다는 이유로 정보보호 위험 처리 방법의 하나로 '위험전가' 방법을 선택합니다. 정보 보안을 위한 위험 처리를 외주 의뢰하기 전에 기업 스스로 기술유출 방지를 위한 보안 인식, 보안 역량 강화를 위해 내부 노력과 최소한의 투자가 있어야 할 것입니다.다시 정리한다면 전산담당자가 없다고 정보 보안을 하지 못하는 것이 아닙니다. 정보 보안은 기업의 최고경영자가 보안 책임자이며 임직원 및 기업의 정보의 중요성을 아는 직원원이 보안담당자입니다. 기업의 정보보안 책임자/담당자 지정이 되었다면 무엇을 준비해야 할까요? 우선 먼저해야 할 일은 관리적 보안을 위한 규정과 지침서를 만드는 것입니다. 규정과 지침서를 통해 정보보안 활동을 시작해야 합니다.
기술유출 예방을 위한 관리적 보호대책 일부를 소개합니니다.
① 정보보안 조직도 작성 및 운영
② 보안규정의 제정 및 문서로 공포(배포)
③ 기술유출 예방을 위한 다양한 보안 활동 절차 마련
④ 기술유출 사고 발생시 대응절차 마련
⑤ 기술정보에 대한 보안등급 및 접근권한 구분 및 체계적인 관리
⑥ 임직원 기술보호 역략 강화를 위한 훈련 및 교육계획
⑦ 기술적 보안관리을 위한 보안운영매뉴얼 작성
기업의 기술유출 예방을 위해서는 정보보안 활동이 경업의 일부가 되어야 합니다.
다시 본론으로 돌어가서 기술유출 예방을 위해서는 임직원의 ‘보안 의지’가 왜 중요한가? 기술 유출 피해 사실을 깨달았을 때 가장 서둘러야 하는 조치는 무엇일까?
기술유출은 대부분 내부자에 의해 발생합니다. 따라서 기술유출 시도가 의심되는 직원에 대한 사전 조치가 가장 중요하고, 기술유출 피해 사실을 확인되었을 경우에는 보안책임자 및 담당자에게 즉시 보고해 전사적인 협력과 대처를 통해 최대한 빠르게 피해 규모를 파악하고 증거를 확보해 후속 조치를 진행할 수 있는 프로세스를 만들고 사이버수사대 등의 수사기관에 신속하게 신고하고 위험 처리를 할 수 있어야 합니다.
과거에 보안은 IT의 가장 후 순위로 취급됐습니다. 그 결과 엄청난 기술유출 피해가 언론을 통해서 보고되었습니다. 이제는 정보 보안은 기업 경영의 필수적인 요소로 취급해야 합니다.
오늘날 경영시스템에서의 정보보안은 비즈니스(업무)연속성이라고 얘기 합니다. 기업의 생존과 성장을 위해서는 기술유출을 예방하고 정보보안 활동을 기업경영에 적극 반영해야 합니다.
보안담당자 지정도 필수입니다. 담당자가 있어야 기술유출을 예방하는 첫 단추를 끼울 수 있으며 기술유출이 발생하더라도 빠른 대응을 할 수 있습니다. 앞에서 말한 대로 보안담당자는 전산전문가가 아니어도 됩니다. 기업의 정보 보안담당자의 최소한의 자격조건은 기업 정보 유출사고 피해를 예방하기 위해 정보보안 중요성을 인식하고 정보보안 활동에 적극적인 참여를 하는 직원이면 됩니다.
정보보안을 위한 기술적 보호대책을 위한 투자는 어떻게 해야 하는가? 우리기업의 정보자산을 관리하기 위해 무엇을 준비해야 할까?
정보보안에서 기술적 보호대책을 하려고 할 때 맨 처음 필요한 것이 정보자산의 분류입니다. 다음으로 무엇이 정보자산이고 기술 유출되었을 경우 피해 규모의 측정과 기술유출로 인한 기업의 피해액 계산 계산입니다. 기업이 보유한 정보자산의 측정과 기술유출로 인한 조직에 미치는 영향을 분석하여 정보보안 투자를 고민해야 합니다.
중소기업청에서 발표한 평균 피해액에 대한 자료가 있지만 기술에 따라 천차만별입니다.측정되지 않는 보안위험을 예방하기 위해서는 기업은 기술유출방지 시스템 제안 업체의 견적에 따라 포기하는 사례가 많이 발생합니다.
정보보안 도입비용이 비싸서 정보보안을 하지 못한다는 것은 중소기업 경쟁력 상실로 이어집니다.
기술의 발전으로 SaaS형 정보보안 솔루션이 다양한 서비스형태로 출시되어 있어서 정보보안 투자에 기업이 부담을 가지지 않아도 되는 시대가 되었으니 정보보안을 위한 기술적 보호 대책을 준비중인 기업은 기업의 자산의 중요성을 파악해 필요한 정보보안서비스만 도입하는 것을 추천합니다.
아직까지 수많은 중소기업에서는 전산담당자 부재 인해 전산관리는 대부분 외주 처리를 합니다.
가장 많이 하는 외주 처리 업무는 기업통신이 대표적인 예입니다.
인터넷전화 보급으로 대기업 ISP 사업자로부터 통신시설을 임대하고 장애 발생 시 고객센터를 통해 장애 처리를 받고 있습니다.
다음으로 클라우드 서비스입니다.
ERP, GroupWare, Email, SCM 등등 서버를 임대해서 사용함으로 시스템 장애로부터 안전성을 확보하였습니다.
정보 보안도 빌려 쓰는 서비스 형태로 진화하였습니다.
PC 보안, 백신, 방화벽, 문서 암호화 등등 과거 높은 구축비용으로 인해 정보 보안을 할 수 없었던 과거와는 다르게 커피 한 잔 값으로 안전한 정보 보안을 할 수 있는 SaaS형 정보 보안 서비스 제품 출시로 중소기업에서도 기술유출을 예방 및 방지를 위한 기술적 안전조치를 부담 없이 할 수 있는 다양한 서비스가 준비되어 있습니다.
마지막으로 중소기업에서 기술유출 방지를 위해서 도입 시 고려해야 할 4가지 기술적 정보보안 서비스를 제안 드리고자 합니다.
①방화벽(UTM, NGFW) 임대 및 보안 관제 서비스
②내부 정보 유출 방지 및 문서 암호화 서비스
③악성 코드 탐지 서비스
④랜섬 웨어 탐지 서비스 4가지 서비스입니다.
기업의 규모에 따라 도입 제품이 다르겠지만 위의 최소 4가지 제품을 도입 운영하는 것이 정보 보안을 위한 기술적 안전조치의 시작입니다.
[요약]
정보보안의 위해서는 규정, 지침서등 정보보안경영매뉴얼이 준비되어야 한다.
최소한의 정보보안 기술적 안전조치를 위한 투자가 필요 하다.
기업의 보안담당자의 최소한의 자격조건은 회사의 성장과 발전을 위해 노력하는 직원이면 된다.
정보보안솔루션도 빌려쓰는 서비스 시대로 진화하였다.
작성자 : 박성민
- (주)테이크네트웍스 대표
- ISO27001, 9001 인증심사원
방문한 심사원이 준비한 첫 번째 질문은 기술유출 방지 도입 기업에서 정보 보안규정을 제정하고 문서로 공포하였나요? 다음으로 기술유출 및 침해 사고 발생 시 회사 차원의 대응 절차 또는 방안 마련이 되어 있나요? 보유자산에 대한 보안 여부, 보안 등급, 접근 권한 등을 구분하여 체계적인 관리를 하고 있나요? CEO/임원, 부서장, 직원의 기술 보호 필요성 인식 수준은 어떤가요? 순으로 진행되었습니다.
필자는 기술유출 방지 시스템 구축 지원 사업을 처음 진행하는 고객의 요청으로 심사 현장에 참석하였습니다.
심사원의 질문을 들으면서 과거 지원 사업에서는 중요하게 여기지 않았던 내용을 발견하게 되었습니다.
국가에서 중소기업 기술유출 방지를 위해서는 기술유출 방지 시스템 도입 이전에 기술유출을 예방하기 위한 정보보호 경영시스템 구축 여부를 우선 확인하는 것을 보고 중소기업 기술유출 방지 및 예방을 위해서는 기술적 안전조치도 중요하지만 관리적 안전조치도 중요함을 일깨워주는 시간이었습니다..
오늘날 중소기업의 기술 보호 현황은 어떻습니까?
중소기업은 예산과 보안 전담 인력이 부족하기 때문에 자발적인 정보보호 실천 활동이 미흡한 것이 사실입니다. 중소기업 기술유출 사고의 87%가 중소기업에서 발생하였고 내부자에 의한 유출이 84%에 달했습니다. 중소기업에서의 보안은 인적 보안 관리(임. 직원의 재직 및 퇴직 후)가 가장 중요하다는 사실입니다. 특히 규모가 작은 기업이 상대적으로 기술 유출에 취약하다는 조사 결과를 확인할 수 있습니다. 중소기업을 대상으로 한 기술유출 사고가 계속해서 발생하는 원인은 보안 예산 투입이 어렵기 때문인 것으로 파악됩니다. 과학기술정보통신부의 ‘2017 정보보호 실태조사’에 따르면, 총예산 대비 정보보호 예산을 1% 미만으로 책정한 기업이 89%를 차지할 정도로, 중소기업이 보안에 신경 쓸 여력이 없다는 것을 알 수 있습니다.
중소기업 대표적인 피해 사례의 대표적인 유형으로는 내부 직원에 의한 유출과 해킹, 악성코드 및 랜섬웨어 감염을 꼽을 수 있습니다. 가장 많이 발생하는 피해 유형은 내부 직원에 의한 유출입니다. 특히 저장매체(USB, 외장하드). 이메일 등의 반출이 86%의 조사 결과를 보입니다.
중소기업 기술유출 피해의 근본적인 원인이자 피해를 예방할 수 있는 방법은 기업의 대표와 임직원들의 보안 역량 강화를 위해 정기적인 정보 보안 교육을 실시하고 정보 보안 활동을 높이는 노력이 필요합니다.
필자는 기술유출 사고 피해 기업을 자주 접하게 됩니다. 피해 기업들 중 상당수가 정보 보안 솔루션을 도입 운영 중인 곳이 많습니다. 발견된 문제들중 기술적 안전조치만으로 정보 보안을 잘 하고 있다고 인식하는 기업의 낮은 '보안인식'을 확인하게 됩니다..
필자는 피해 기업 담당자와 미팅 시 3가지를 중요하게 질문합니다.
첫 번째는 보안규정 및 지침서를 보유하고 있느냐?
두 번째는 전 직원 보안 역량 강화를 위해 어떠한 노력을 하고 있느냐?
세 번째는 보안 사고 발생 시 대응 매뉴얼과 재발방지 프로세스를 가지고 있느냐?입니다.
기업의 최고경영자는 정보보안의 중요성을 직원들에게 알리고 노력을 당부하지만 정보보안을 위한 실질적인 노력을 하지 않고 있는 곳이 많습니다
정보보안을 위한 최소한의 노력 및 활동을 하지 않는 기업은 위 3가지 질문의 답을 하지 못합니다.
중소기업은 기업 정보 유출 사고를 예방을 위한 사전 리스크 관리를 해야 합니다.
이 때 기업은 리스크 관리의 정략적 분석이 힘들다는 이유로 정성적 분석의 결과로 위험처리 방법의 하나인 위험전가 방법을 선택합니다.
위험전가 방법으로는 보험이나 외주 등으로 잠재적 위험이나 위험 처리를 외주로 전가하는 방법인데.. 문제는 사후약방문(死後藥方文)입니다. 말 그대로 이미 죽었는데 이제서야 약도 아니고 처방전이 나왔다는 뜻입니다.
규정과 지침서 등 정보보호시스템 구축을 통해 기술유출 예방과 방지의 효과를 충분히 볼 수 있는데 기업은 정보 보안담당 업무를 해 줄 직원이 없다는 이유로 정보보호 위험 처리 방법의 하나로 '위험전가' 방법을 선택합니다. 정보 보안을 위한 위험 처리를 외주 의뢰하기 전에 기업 스스로 기술유출 방지를 위한 보안 인식, 보안 역량 강화를 위해 내부 노력과 최소한의 투자가 있어야 할 것입니다.다시 정리한다면 전산담당자가 없다고 정보 보안을 하지 못하는 것이 아닙니다. 정보 보안은 기업의 최고경영자가 보안 책임자이며 임직원 및 기업의 정보의 중요성을 아는 직원원이 보안담당자입니다. 기업의 정보보안 책임자/담당자 지정이 되었다면 무엇을 준비해야 할까요? 우선 먼저해야 할 일은 관리적 보안을 위한 규정과 지침서를 만드는 것입니다. 규정과 지침서를 통해 정보보안 활동을 시작해야 합니다.
기술유출 예방을 위한 관리적 보호대책 일부를 소개합니니다.
① 정보보안 조직도 작성 및 운영
② 보안규정의 제정 및 문서로 공포(배포)
③ 기술유출 예방을 위한 다양한 보안 활동 절차 마련
④ 기술유출 사고 발생시 대응절차 마련
⑤ 기술정보에 대한 보안등급 및 접근권한 구분 및 체계적인 관리
⑥ 임직원 기술보호 역략 강화를 위한 훈련 및 교육계획
⑦ 기술적 보안관리을 위한 보안운영매뉴얼 작성
기업의 기술유출 예방을 위해서는 정보보안 활동이 경업의 일부가 되어야 합니다.
다시 본론으로 돌어가서 기술유출 예방을 위해서는 임직원의 ‘보안 의지’가 왜 중요한가? 기술 유출 피해 사실을 깨달았을 때 가장 서둘러야 하는 조치는 무엇일까?
기술유출은 대부분 내부자에 의해 발생합니다. 따라서 기술유출 시도가 의심되는 직원에 대한 사전 조치가 가장 중요하고, 기술유출 피해 사실을 확인되었을 경우에는 보안책임자 및 담당자에게 즉시 보고해 전사적인 협력과 대처를 통해 최대한 빠르게 피해 규모를 파악하고 증거를 확보해 후속 조치를 진행할 수 있는 프로세스를 만들고 사이버수사대 등의 수사기관에 신속하게 신고하고 위험 처리를 할 수 있어야 합니다.
과거에 보안은 IT의 가장 후 순위로 취급됐습니다. 그 결과 엄청난 기술유출 피해가 언론을 통해서 보고되었습니다. 이제는 정보 보안은 기업 경영의 필수적인 요소로 취급해야 합니다.
오늘날 경영시스템에서의 정보보안은 비즈니스(업무)연속성이라고 얘기 합니다. 기업의 생존과 성장을 위해서는 기술유출을 예방하고 정보보안 활동을 기업경영에 적극 반영해야 합니다.
보안담당자 지정도 필수입니다. 담당자가 있어야 기술유출을 예방하는 첫 단추를 끼울 수 있으며 기술유출이 발생하더라도 빠른 대응을 할 수 있습니다. 앞에서 말한 대로 보안담당자는 전산전문가가 아니어도 됩니다. 기업의 정보 보안담당자의 최소한의 자격조건은 기업 정보 유출사고 피해를 예방하기 위해 정보보안 중요성을 인식하고 정보보안 활동에 적극적인 참여를 하는 직원이면 됩니다.
정보보안을 위한 기술적 보호대책을 위한 투자는 어떻게 해야 하는가? 우리기업의 정보자산을 관리하기 위해 무엇을 준비해야 할까?
정보보안에서 기술적 보호대책을 하려고 할 때 맨 처음 필요한 것이 정보자산의 분류입니다. 다음으로 무엇이 정보자산이고 기술 유출되었을 경우 피해 규모의 측정과 기술유출로 인한 기업의 피해액 계산 계산입니다. 기업이 보유한 정보자산의 측정과 기술유출로 인한 조직에 미치는 영향을 분석하여 정보보안 투자를 고민해야 합니다.
중소기업청에서 발표한 평균 피해액에 대한 자료가 있지만 기술에 따라 천차만별입니다.측정되지 않는 보안위험을 예방하기 위해서는 기업은 기술유출방지 시스템 제안 업체의 견적에 따라 포기하는 사례가 많이 발생합니다.
정보보안 도입비용이 비싸서 정보보안을 하지 못한다는 것은 중소기업 경쟁력 상실로 이어집니다.
기술의 발전으로 SaaS형 정보보안 솔루션이 다양한 서비스형태로 출시되어 있어서 정보보안 투자에 기업이 부담을 가지지 않아도 되는 시대가 되었으니 정보보안을 위한 기술적 보호 대책을 준비중인 기업은 기업의 자산의 중요성을 파악해 필요한 정보보안서비스만 도입하는 것을 추천합니다.
아직까지 수많은 중소기업에서는 전산담당자 부재 인해 전산관리는 대부분 외주 처리를 합니다.
가장 많이 하는 외주 처리 업무는 기업통신이 대표적인 예입니다.
인터넷전화 보급으로 대기업 ISP 사업자로부터 통신시설을 임대하고 장애 발생 시 고객센터를 통해 장애 처리를 받고 있습니다.
다음으로 클라우드 서비스입니다.
ERP, GroupWare, Email, SCM 등등 서버를 임대해서 사용함으로 시스템 장애로부터 안전성을 확보하였습니다.
정보 보안도 빌려 쓰는 서비스 형태로 진화하였습니다.
PC 보안, 백신, 방화벽, 문서 암호화 등등 과거 높은 구축비용으로 인해 정보 보안을 할 수 없었던 과거와는 다르게 커피 한 잔 값으로 안전한 정보 보안을 할 수 있는 SaaS형 정보 보안 서비스 제품 출시로 중소기업에서도 기술유출을 예방 및 방지를 위한 기술적 안전조치를 부담 없이 할 수 있는 다양한 서비스가 준비되어 있습니다.
마지막으로 중소기업에서 기술유출 방지를 위해서 도입 시 고려해야 할 4가지 기술적 정보보안 서비스를 제안 드리고자 합니다.
①방화벽(UTM, NGFW) 임대 및 보안 관제 서비스
②내부 정보 유출 방지 및 문서 암호화 서비스
③악성 코드 탐지 서비스
④랜섬 웨어 탐지 서비스 4가지 서비스입니다.
기업의 규모에 따라 도입 제품이 다르겠지만 위의 최소 4가지 제품을 도입 운영하는 것이 정보 보안을 위한 기술적 안전조치의 시작입니다.
[요약]
정보보안의 위해서는 규정, 지침서등 정보보안경영매뉴얼이 준비되어야 한다.
최소한의 정보보안 기술적 안전조치를 위한 투자가 필요 하다.
기업의 보안담당자의 최소한의 자격조건은 회사의 성장과 발전을 위해 노력하는 직원이면 된다.
정보보안솔루션도 빌려쓰는 서비스 시대로 진화하였다.
작성자 : 박성민
- (주)테이크네트웍스 대표
- ISO27001, 9001 인증심사원