2022-09-27 13:45 (화)
[기고] 중소기업도 보안 플랫폼 구축 강화해야
상태바
[기고] 중소기업도 보안 플랫폼 구축 강화해야
  • 길민권 기자
  • 승인 2016.09.05 13:13
이 기사를 공유합니다

넷앱 릭 스커필드 아태지역 사장 “국내 중소기업 20%만 침입 탐지 시스템 갖추고 있어”

전장에서 장수의 가장 큰 승리는 전투를 벌이지 않고 이기는 것이라 했다. 외부의 공격 자체가 발생하지 못하도록 무기를 배치하고 작전을 펼치는 것이 으뜸일 것이다. 보안도 마찬가지다. 보안에서 가장 큰 가치는 해커의 침입을 원천적으로 차단하는 것이다. 좋은 보안 솔루션을 구축해 외부로 데이터가 유출되지 못하도록 관리하는 것이 중요하다.

특히 사이버 공격에 취약한 아태지역 기업과 정부기관에서는 더욱 그렇다. 파이어아이(FireEye)라는 보안 회사에 따르면, 아태지역 기업이 사이버 공격을 받는 빈도는 전세계 평균보다 40%나 높다. 한국도 마찬가지다. 글로벌 컨설팅 회사 딜로이트는 한국, 호주, 뉴질랜드, 일본, 싱가포르를 사이버 공격에 취약한 5대 국가로 분류하기도 했다.

사이버 공격을 막기 위해서는 해커들을 괴롭혀야 한다. 해커들은 해킹을 하는 과정에서 상당한 시간을 요하거나 해킹할 가치가 없다고 판단되면 공격을 멈출 확률이 높다. '팔로 알토 네트워크'라는 곳의 조사에 따르면 사이버 공격 기간을 이틀 늘리는 것만으로도 사이버 공격을 60% 줄일 수 있다고 한다.

하지만 국내 기업 특히 중소기업이나 스타트업들은 견고한 보안 시스템 구축의 필요성을 적게 느끼거나 투자 여력이 부족하다. 이들은 자신들의 규모가 작고 온라인에서의 활동 수준도 낮아 외부로부터 공격을 당하지 않을 것이라고 여기기 쉽다. 하지만 이런 생각이 중소기업들로 하여금 민첩하고 비용효율적인 데이터 보호 시스템을 구축하지 않게 만드는 요인이다.

중소기업은 현재의 규모가 수년 후에도 지속될 것이라 여기면 안 된다. 비즈니스 규모가 커질수록 관리해야 되는 데이터의 규모도 증가한다. 때문에 현재의 IT 인프라를 고수하는 것은 위험에 노출될 확률을 높이는 것이다. 단편적인 데이터 저장 방식은 데이터 전체적 보안 프레임워크에 허점을 남길 수 있다. 더 큰 우려는 겨우 국내 중소기업의 20%만 침입 탐지 시스템을 갖추고 있다는 점이다. 이것은 마치 대문을 잠그지 않은 것이나 집 경보시스템이 비활성화 된 것과 마찬가지이다.

기업은 자료 수집부터 데이터 저장까지 전반에 걸친 보안계획 수립이 필요하다. 일반적으로 기업이 기본적으로 다뤄야 하는 데이터 관리 기본 원칙은 다음과 같다.

첫째. 엄격한 내부 프로세스 마련이다. 기업은 고객 또는 직원들의 개인정보를 수집, 저장, 사용, 처리하는 과정을 엄격히 관리하는 절차를 마련해야 한다. 이 때 보안 부서 직원들의 R&R(개인의 역할 및 책임)을 엄격히 구분하고, 각자의 역할에 따라 데이터 카테고리에 접근하도록 내부규제를 수립하는 것이 필요하다.

둘째. 데이터 백업 시스템 구축이다. 중소기업은 이미 시중에 판매되는 다양한 보안 솔루션 중 적절한 가격으로 높은 수준의 백업 솔루션을 구축할 수 있다. 특히 클라우드가 보편화되면서 백업과 재해 복구 목적으로 클라우드 솔루션을 사용하는 것도 고려 대상이다.

셋째. 교육을 통한 부주의한 데이터 손실 방지다. 기업은 명확한 보안 정책을 세우고 백업 시스템과 절차, IT부서와 일선 직원 사이의 커뮤니케이션을 강화해, 데이터 손실을 방지해야 한다.

해커는 공격대상을 기업의 규모가 아니라 기업이 갖고 있는 정보의 가치를 중심으로 찾는다. 이미 중소기업이 취급하는 데이터와 정보는 고부가가치를 생산하고 있다. 때문에 중소기업도 데이터를 보다 안전하게 저장하고 관리하는 것이 매우 중요해졌다.

많은 중소기업들이 데이터를 오늘날 디지털 비즈니스의 기반이라고 여기고, 사이버보안을 해킹을 막는 경보 시스템이라고 여기며 철저히 대비하기를 기대한다.

[글. 넷앱 릭 스커필드 아태지역 사장]

★정보보안 & IT 대표 미디어 데일리시큐!★