내년 기업정보보호, '융합보안, 사내 정책결정' 화두

2011년에는 IT환경변화에 따른 기업의 정보보호 정책 설정과 융합보안 트렌드, 그리고 스마트폰이 중요한 이슈로 떠오를 것이라는 전망이 나왔다. 2010년에 급부상한 '스마트'관련 보안문제도 여전히 중요하게 다뤄 질 것으로도 예측됐다.

30일 열린 정보보호 콘퍼런스(ISEC 2010)에서는 이 같은 2011년 기업보안의 핵심 트렌드에 대한 논의와 토론이 진행됐다.

'2011년, 기업들이 준비해야 할 정보보호 이슈'라는 주제로 발표에 나선 다음커뮤니케이션 구자만 팀장은 우선 2010년 정보보호 이슈는 내년에도 지속 될 것이라고 말했다.

구 팀장은 올해 정보보호 이슈로 ▲스마트폰 ▲모바일오피스 ▲소셜네트워킹서비스(SNS) ▲개인정보보호법 ▲클라우드 컴퓨팅 ▲스턱스넷을 꼽았다. 그러면서 "6가지 이슈 중 스마트폰으로 촉발 된 이슈가 절반 이상"이라며 "이는 내년에도 지속 될 것"이라고 예측했다.

이어 2011년 정보보호 이슈로는 ▲개인정보보호법 ▲정보보안 기업정책 ▲융합보안 ▲스마트 모바일 기기 확대 ▲소셜네트워킹서비스 ▲가상화/클라우드 컴퓨팅 등이 될 것이라고 전망했다.

◆스마트폰 보안, 모바일오피스의 출발점

구 팀장은 "스마트폰 보안은 기업 내 모바일오피스 환경 구축이 트렌드인 요즘, 가장 중요한 이슈"라고 단정 지었다. 특히 오픈 무선인터넷 망에 접속할 시 발생 할 수 있는 정보유출에 각별히 신경써야 한다고 말했다.

이는 실제로 다음커뮤니케이션에서 실시 한 모의해킹에서 그 심각성이 잘 들어났다고 말했다. 회사 내 휴게실에 'iptime'이라는 오픈 망을 열어놓자 실제로 대다수의 스마트폰이 자동으로 이 망에 접속 됐다는 것이다. 오픈된 망에서 스마트폰 내의 정보를 유출하는 것은 '식은 죽 먹기'였다고 덧붙였다.

특히 그룹웨어를 통해 스마트폰에 저장하는 주소록은 엄연한 '인사DB'라며 이것의 유출은 곧 사내 기밀정보 유출과 동일하다고 우려를 나타냈다.

구 팀장은 "대부분 기업 내 보안팀은 이런 문제에 대한 대비를 철저히 하기 위해 노력 중"이라면서도 "개인이 기기를 분실 할 경우에는 손쓰기도 전에 자료 유출이 이뤄질 수 있어 사내 인식교육도 철저히 해야 한다"고 말했다.

◆융합보안, 새로운 보안 트렌드 급부상

이어 융합보안에 대해서도 각 기업들이 주목해야 한다고 강조했다. 기업 내 기밀정보 유출이 중요한 화두로 떠오르면서 융합보안시스템으로 다양한 유출시도에 대한 통제가 가능하다고 참석자들은 입을 모았다.

구 팀장은 "기존 방화벽 및 VPN등으로 대응하던 시대는 끝났다"고 못 박았다. 이어 최근 발생했던 모 기업의 정보유출사고와 해결방법을 예를 들며 융합보안의 필요성을 강조했다.

구 팀장은 "모기업의 주요 인사정보가 유출 된 사건이 있었다"며 "CCTV와 자료가 유출 된 IP주소를 근거로 범인을 잡을 수 있었다"고 말했다.

자료가 유출 된 것으로 추정되는 시간에 컴퓨터를 사용한 사람을 선별, 건물 내 CCTV에 녹화된 자료와 주차장에서 촬영된 CCTV를 기반으로 유출자를 잡았다는 것이다.

그는 "이런 예는 다소 극단적이긴 하지만 그만큼 융합보안이 기업 내에 반드시 구축돼야 한다는 것을 말해주는 것"이라고 설명했다.

이어 "융합보안은 초기 구축비용과 관리에 대한 부담이 존재하는 건 사실"이라면서도 "장기적으로는 자동화 되고 지능화 되는 정보보안문제에 가장 적합한 대안이 될 것"이라고 말했다.

◆솔루션 이전에 '보안정책 확립' 우선돼야

마지막으로 기업 내 보안정책의 빠른 변화와 대처를 강조했다. 사실상 내년 기업 정보보호 이슈에서 가장 염려되는 부분이라고 우려를 나타냈다.

구 팀장은 "급변하는 환경에 기술은 어느 정도 발 맞추고 있지만 이런 문제에 대응하는 기업 내 정책변화가 상대적으로 늦다는 것이 가장 큰 문제"라고 말했다.

기업 내에 보안을 담당하는 팀이나 부서는 존재하지만 보안이슈에 따른 정책을 만들기는 쉬워도 그것을 재빠르게 활용하기에는 아직 기업 구조가 폐쇄적이라는 것이다.

구 팀장은 "이런 문제를 해결하기 위해서는 임원진 직속으로 정보보호 만을 담당하는 조직이 필요할 것"이라고 말했다. 이어 "이런 조직을 만들 때 의사 결정권자를 반드시 포함시켜 환경변화에 재빠르게 대처할 수 있어야 한다"고 주장했다.

다음커뮤니케이션의 경우 이미 '정보보호 위원회'를 만들어 의사결정의 신속화를 가져오고 있다고 덧붙였다.

김병주 기자의 다른 기사 보기