1.서 론
현대 기업 환경에서 기업 내 중요한 자산으로 분류되 는 정보를 내·외부의 위협으로부터 보호하기 위한 노력 은 경쟁 우위 확보와 안정적인 경영 활동을 위해 필수적 인 요소가 되었고, 이에 따라 기업들은 다양한 방법으로 정보보안에 관심을 기울이고 있다. 이를 반영하듯 2015 년 한국인터넷진흥원에서 실시한 정보보호 실태조사에 따르면 정보보호 관련 분야에 투자를 늘리는 기업은 해 마다 증가하고 있는 것으로 나타났다. 하지만 투자와는 별개로, 같은 조사에서 피해사고를 경험한 기업 역시 마 찬가지로 꾸준히 증가하고 있는 것으로 나타난 것으로 보아 보안 사고는 지속적으로 발생하고 있으며 그 빈도 나 피해 규모 역시 줄어들지 않고 있음을 알 수 있다[14] 기업의 중요한 정보를 위협하는 기술이나 방법들이 하루 가 다르게 지능화 되고 있는 것에 반해 대기업 등 일부 기업을 제외하면 대부분 내부적으로 정보보호 정책조차 수립되어 있지 않은 기업이 대부분이며, 자체적으로 보 안 역량을 쌓기 보다는 단순히 외부의 보안업체 혹은 보 안 솔루션 제공 업체에 심각한 의존을 하고 있는 현실이 다[4]. 2015년 한국 침해사고 대응 팀 협의회(CONCERT) 는 기업들의 보안 투자가 일반적인 마케팅 활동 투자와 는 다르게 기업 수익과의 직접적인 관계가 미흡하여 투 자가 합리적으로 이행되지 않는다고 하였고, 또한 보안 투자가 이루어지더라도 적극적인 보안 대책을 수립하는 것이 아닌 피해로 인한 부정적 이미지 탈피를 위한 투자 에 급급하다고 밝히기도 하였다. 이렇듯 기업들이 가지 고 있는 보안에 대한 기본적인 개념은 투자가 아닌 비용 으로 생각하는 것이 일반적이다. 이러한 개념을 바꾸고 자 한다면 기업이 왜 보안에 투자를 해야 하고, 누가 집행 할 것이며, 어느 곳에 어느 정도의 투자를 해야 그에 따 른 효과를 극대화 할 수 있는지 등에 대한 분석이 필요 한데 이에 대한 연구는 거의 진행되지 않았을 뿐더러 개 별 기업의 특성을 고려하지 않은 것들이 대부분이다[2, 3, 5, 7, 18, 21, 22]. 2015년 정보보호 실태조사에 따르면 조사에 응답한 7,089개의 기업들 중 약 18%에 해당하는 1,270여개 기업에서 정보보호 예산을 편성하지 않은 이 유로 ‘정보보호를 어떻게 해야 하는지 모름’이라고 답변 하였다. 또한 이 수치는 규모가 작은 기업일수록 더욱 크 게 나타난 것으로 조사되었는데 조사 그대로 대다수의 기업들은 정보보안에 대해 신경 쓸 여력이 거의 없으며, 설령 있다 하더라도 접근 방법에 대해 제대로 알지 못하 는 경우가 많다고 볼 수 있다. 이는 지속적인 보안 사고 로 인해 기업들이 정보보안에 대한 중요성을 어느 정도 인지하고 있으나, 보안 투자의 실제 효과에 의구심을 가 지고 있으며 내부적으로 조직 체계의 미흡함이 나타난 결과라고 보여진다. 이를 해결하기 위해서 정보보안에 대한 보다 효과적인 접근 방법이 필요하다고도 생각해볼 수 있는 것이다. 정보보안에 접근할 때 모든 기업이 일관 적이고 단편적인 접근 방법을 사용하는 것은 이미 많은 보안사고 사례를 통해 알 수 있듯이 효율적인 방법이 아 니다. 기업의 성격에 따라 중요하게 여겨지는 항목을 판 단하고 그에 따른 가중치를 두어 정보보안에 접근하는 것이 올바른 접근 방법일 것이다[9].
정보보안에 대한 전략을 수립할 때에는 기업이 처한 상황이나 환경, 보호해야 할 정보의 형태, ICT 인프라 등 전반적인 내용들을 모두 고려하여 효과적으로 수립되어 야 한다. 본 연구의 목적은 정보보안에 접근하고자 하는 기업의 유형에 맞는 전략 방향을 제시하는데 있다. 이를 위해 선행 연구에서 제시되었던 정보보호 관점의 기업 유 형 분류 프레임워크를 활용하여 8가지의 기업 유형별로 각각 전략 우선순위를 정리하였다. 전략 우선순위를 제시 하기에 앞서 8가지 기업 유형별로 주요 해당 기업과 규 모, 주요 사고 발생 원인을 상세하게 추가하여 보다 객관 적인 보안 대응 전략을 도출해내고자 하였다. 보안 대응 전략에 사용된 요인들은 정보보안 국제 인증 표준 ISO 27001과 국내 정보보호 관리체계 인증 ISMS, 그리고 개 인정보보호 관리체계 인증 PIMS의 통제 항목들을 혼합 하여 사용하였다. 그 후 쌍대비교 방법을 사용하여 각 유 형별 전략 대안 우선순위를 결정하였다. 본 연구는 정보 보안의 효과적인 구현을 위해서 일관적인 접근 방법이 아 닌, 기업의 유형에 따라 보안 전략 대안을 달리하는 것이 중요하다고 보고 연구를 진행하였다. 연구의 결과는 처음 정보보안에 접근하고자 하는 기업이나 새롭게 정보보안 전략을 수립하고자 하는 기업에 기초가 될 자료로써 의사 결정을 지원해줄 결과를 산출하는데 도움을 줄 것으로 기 대한다.
2.선행 연구와 이론적 배경
2.1.정보보호 관점 기업 유형 분류 프레임워크
본 연구의 목적인 기업 유형별 보안 대응 전략 도출에 앞서, 선행 연구에서 다루었던 정보보호 관점 기업 유형 분류 프레임워크에 대해 살펴보고자 한다[9]. 사람들이 서로 다른 체형과 성격을 지니고 있듯이 조직이나 기업 들도 규모나 구조 등이 서로 다르며 지향하는 목적에도 차이가 있다. 즉, 기업 간에 다른 기업과는 구별되는 고 유한 특성이 존재한다는 이야기인데, 기업의 특성은 기 업이 추구하는 목적이나 수행하는 기능, 처한 상황이나 환경, 경영진의 성향 등에 영향을 받아 형성된다[15, 17]. 해당 연구에서는 기업을 분류하는 지표로써 <Figure 1> 과 같이 주요 정보 자산의 형태, 정보시스템 규모와 활용 정도, 현재 정보보안 수행 정도를 선정하였고 그에 따른 하부 평가지표들을 도출하였다.
2.2.주요 정보보호 관리체계 프레임워크
기업 유형별 보안 대응 전략 수립을 위해 활용할 지표 들은 현재 우리나라에서 가장 광범위하게 활용되고 있는 3가지의 정보보호 관리체계 프레임워크, 즉 정보보호 국제 표준(ISO/IEC 27001)과 국내 정보보호 관리체계(K-ISMS), 그리고 개인정보 관리체계(PIMS)를 참고하였다. 이에 대 해 간략하게 알아보도록 한다.
2.2.1.ISO/ISE 27001 프레임워크
ISO/ISE 27001 프레임워크는 정보보호 관리체계에 대 한 국제 표준으로서 PDGA 모델을 기반으로 한 정보보 호 관리체계의 수립, 이행, 운영, 감시, 검토, 유지 및 향 상을 위한 정보보안 경영 인증체계이다[6]. 총 11개의 통 제영역(정보보안 정책, 정보보호 조직, 자산관리, 인적자 원 보안, 물리 및 환경적 보안, 의사소통 및 운영관리, 접 근통제, 정보시스템 도입 및 개발 유지보수, 정보보호 사 고 관리, 업무연속성 관리, 준거성)과 39개 통제목적, 133 개 통제사항으로 구성되어 있다.
2.2.2.KISA-ISMS 프레임워크
KISA-ISMS 프레임워크는 2002년 정보통신부와 한국 인터넷진흥원(KISA)에 의해 개발된 정보보호 프레임워크 로서, 정보통신사업자의 보안성 강화를 주요 목적으로 하 고 있다[12]. KISA-ISMS는 ISO/ISE 27001과 같은 국제표 준을 수용하면서도 국내 상황을 고려하여 설계된 정보보 안 관리 표준모델이다. 총 15개 통제영역(정보보호 정책, 정보보호 조직, 외부자 보안, 정보자산 분류, 정보보호 교 육 및 훈련, 업무연속성 관리, 인적보안, 물리적 보안, 시 스템 개발 보안, 암호통제, 접근통제, 운영관리, 전자거래 보안, 보안사고 관리, 검토/모니터링 및 감사), 120개 세부 통제사항으로 구성되어 있다.
2.2.3.PIMS 프레임워크
PIMS 프레임워크는 기업이 고객에 대한 체계적인 개 인정보보호 활동을 수행할 수 있도록 방송통신위원회와 한국인터넷진흥원(KISA)이 2010년 개발한 개인정보보호 프레임워크이다[10]. ISO/ISE 27001이나 KISA-ISMS에 비 해 PIMS는 개인정보보호의 법적 요구사항과 개인정보의 생명주기를 반영하고 있다는 점에 차별성이 있다. 총 9개 의 통제영역(개인정보보호 정책, 개인정보보호 조직, 개 인정보 분류, 교육 및 훈련, 인적 보안, 침해사고 처리 및 대응 절차, 기술적 보호조치, 물리적 보호조치, 내부 검 토 및 감사), 79개 세부 통제사항으로 구성되어 있다.
2.3.쌍대비교 방법론(Paired Comparison Method)
쌍대비교 방법론(Paired comparison method)은 목표 값 들 사이의 중요도를 파악함으로써 각 대안의 중요도를 산 출하는 기법으로, 다수의 목표·평가기준·의사결정 주 체가 포함되어 있는 의사결정 문제를 해결하는데 적합하 다. 즉, 주어진 의사결정 문제를 해결하는 데 있어서 대안 으로 적합한 요인들에 대해 쌍대비교(Paired comparison) 를 실시하여 상대적 중요도 또는 가중치를 구함으로써, 요인들 간 우선순위(Priority)를 결정하는 것이다. 이 방법 은 한 문제를 더 작은 부분으로 분해하고, 문제를 구성하 고 있는 요소들의 상대적 크기나 강도를 표현하기 위하여 요소 간에 쌍대비교를 수행하게 된다[20]. 그리고 이러한 판단을 수치로 전환하는데, 이 수치는 비교척도에 의한 평가치로써 의사 결정시 객관적 지표로 사용된다. 정성적 분석법의 일종으로 대안의 평가 및 채택을 위한 의사결정 기법의 하나이며, 이미 이 기법을 적용하여 많은 연구가 수행된바 있고 주관적 판단에 의한 가중치 결정방법으로 서 특정대상에 대한 질을 측정하거나 평가기준을 설정하 는데 있어서 유용한 방법으로 입증된바 있다[13]. <Figure 2>.
3.연구방법
본 연구의 목적은 정보보안을 도입하고자 하는 기업 들을 8가지 유형으로 분류한 기업 유형 분류 프레임워크 를 가지고, 분류된 유형마다 전략의 우선순위로 두어야 할 요인들을 산출하는 것이다. 이에 따른 연구의 방법은 <Figure 3>과 같다.
유형별 보안 대응 전략을 수립하기 위하여 FGI(Focus Group Interview)를 통해 앞서 살펴본 주요 정보보호 관 리체계 3가지(ISO/IEC 27001, K-ISMS, PIMS) 항목을 상 호 비교하여 비슷한 항목끼리 통합하는 과정을 거쳐 총 12개의 통제영역이 도출되었다. 그 후 항목들을 설문으 로 변환하여 쌍대비교 분석을 실시하였다. 쌍대비교 설 문은 보안관제, 아키텍트, 보안컨설팅 등 보안과 관련된 업무에 종사하며 해당 분야 경력 5년 이상, 팀장급 이상 으로 구성된 18명의 전문가들을 대상으로 전자우편과 직 접 설문 방식을 통해 진행하였다.
통합하는 과정을 거쳐 도출된 12개의 통제영역은 정 보보호 정책, 정보보호 조직 구성, 인적자원 보안 관리, 정보자산 분류, 정보보호 교육 및 훈련, 물리적 보호 조 치, 정보시스템 보안 운영관리, 암호관리 및 접근통제, 보안사고 처리 및 대응, 내부 보안 모니터링 및 보안 감 사, 업무 연속성 관리, 준거성 등 12개이며 각 영역에 대 한 조작적 정의는 다음과 같다.
-
정보보호 정책 수립 : 조직의 정보보호 목표 및 방향, 정보보호의 중요성을 명시한 최상위 방침 문서
-
정보보호 조직 구성 : 정보보호 활동을 수행하기 위하 여 책임, 권한, 관계가 정의된 조직, 인원 등을 의미
-
인적자원 보안 관리 : 주요 정보 취급자와 관련자에게 소유, 관리, 사용 등의 역할과 책임을 부여하고 고용관 계 종료시 보유한 조직자산 반환
-
정보자산 분류 : 정보자산을 식별하여 중요도별로 구 분하고 목록화하여 절차에 따라 처리
-
정보보호 교육 및 훈련 : 보안침해사고로 인한 위험 을 최소화시키고 업무수행이 원활히 지속될 수 있도록 직원들의 보안 지식 및 대응 수준을 향상
-
물리적 보호 조치 : 정보자산을 보관하는 물리적 보호 구역에 대한 출입 및 접근통제 절차를 수립하고 운영
-
정보시스템 보안 운영관리 : 정보처리시스템 운영 절 차를 문서화하며 인가되지 않은 사용자의 접근과 자산 에 대한 오용 가능성을 줄이기 위해 직무를 분리, 정보 를 백업하고 네트워크를 통제
-
암호관리 및 접근통제 : 사용자에 대한 접근 권한에 대한 통제 사항을 담고 있으며 권한 관리, 망 분리도 여기에 해당
-
보안사고 처리 및 대응 : 정보보호 사건이나 약점 등 에 대해 적절히 의사소통하고 대응책을 신속히 수립하 기 위한 내용
-
내부 보안 모니터링 및 보안 감사 : 정보보호 정책 이행 및 관련 지침의 절차 준수 여부와 접근 및 사용 을 모니터링
-
업무 연속성 관리 : 정보보호를 포함하는 사업 연속성 계획 수립과 이행, 업무 중단을 야기할 수 있는 사건들 의 발생 가능성과 피해 규모 등을 관리
-
준거성 : 지식 재산권, 보안정책 및 표준 등 정보보호 에 적용 가능한 법률의 식별
4.연구 결과
유형 1(PMA : Personal data, Main activities, Active)은 <Figure 4>와 같이 개인정보를 주로 취급하며 기업 내에 서 정보시스템이 없어서는 안 될 정도로 차지하는 역할 이 상당하고, 현재 보안 투자 및 노력에 적극적인 유형이다. 응답한 기업들 중 대규모 금융·보험 업종과 통신, 대규 모 온라인 쇼핑몰, 포털 사이트, 게임 업체, 대형 마트 등 이 해당 유형에 75% 이상 포함됐으며 공공기관 중 고객 과 접촉이 잦은 형태(법원, 특허청 등) 또한 15% 가량 해당한다.
<Figure 5>를 보면 유형 1에 대한 적절한 보안 대응 전략을 쌍대비교 방법을 통해 나타내었다. 12개의 하위 기준 중 5점 리커트 척도를 이용하여 각 항목에 대한 필 요성(1 = 매우 낮음, 5 = 매우 높음)을 평가하고 평균 3.0 이상을 나타낸 지표만을 따로 분류하여 쌍대비교 방법으 로 2차 분석을 실시하였다. 정보보안 전문가들이 유형 1 에서 가장 중요한 보안 전략 항목으로 꼽은 것은 내부 보안 모니터링 및 보안 감사 항목이었다. 유형 1과 같은 경우 이미 법적 의무 규제에 해당하는 기업들이 대다수 이기 때문에 기본적인 보안에 대한 준비는 잘 갖춰져 있 다. 하지만 오히려 법적 의무 규제에만 집중하기 때문에 투자 대비 효과는 크지 않은 것이 다수의 보안사고 사례 에서 나타나고 있다. 분석 결과와 같이 지속적인 보안 모 니터링과 보안 감사를 통해 보안관리 활동을 강화하고, 업무 연속성 관리를 통해 위험관리에 소홀히 하지 않는 것이 필요하다. 또한 보안 사고가 발생했을 경우 기업의 이미지에 손상이 가지 않도록 보안사고 처리 및 대응에 신경 써야 한다.
유형 2(PMP : Personal data, Main activities, Passive)는 <Figure 6>과 같이 개인정보를 주로 취급하며 기업 내에 서 정보시스템이 없어서는 안 될 정도로 차지하는 역할이 상당하지만, 현재 보안 투자 및 노력에는 소극적인 유형 이다. 응답한 기업들 중 병원과 학교, 소규모 공공기관(구 청, 동사무소 등), 숙박, 소규모 온라인 쇼핑몰, 소규모 금 융사, 예약 전문 사이트 등이 포함된다.
유형 2에 대한 적절한 보안 대응 전략 역시 마찬가지 로 12개의 하위 기준 중 5점 리커트 척도를 이용하여 각 항목에 대한 필요성(1 = 매우 낮음, 5 = 매우 높음)을 평 가하고 평균 3.0 이상을 나타낸 지표만을 따로 분류하여 쌍대비교 방법으로 2차 분석을 실시하였다. <Figure 7> 을 보면 유형 2에서 가장 중요한 항목은 정보보호 정책 수립과 정보보호 조직 구성이다.
유형 2와 같은 경우 보호해야 할 개인정보가 많고 정보 시스템을 메인으로 사용하고 있지만 정보보안에 대해 중 요하게 생각하고 있지 않는 기업들이 많다. 자연히 투자 에도 소극적일 수밖에 없다. 최근 병원에서 잇따른 개인 의료 정보유출 사고가 발생하는 것이 우연한 결과가 아님 을 인식하고, 정책 수립과 조직 구성 이외에도 정보시스템 보안 운영관리와 보안 모니터링 등 내부적으로 보안 관리 에 신경 써야 한다. 또한 준거성 항목을 보아 정부에서도 해당 유형에 법적 의무 규제를 신설하여 보안 인증이나 감사 보고서를 제출하게 하는 것도 하나의 방법이다.
유형 3(PSA : Personal data, Support activities, Active) 은 <Figure 8>과 같이 개인정보를 주로 취급하며 정보시 스템을 문서 업무 등 보조적으로 사용하고 있지만 보안 투자에는 나름 적극적인 유형이다. 아주 적은 수의 일부 공공기관이 유형 3에 해당되었는데, 공공기관 특성상 수 익이 크게 발생하지 않음에도 투자에 대한 의무 사항으 로 인해 형식적인 투자에 그치는 것으로 나타났다. 또한 상대적으로 직원들의 보안 인식 수준이 낮은 것이 보안 사고의 원인으로 나타나기도 한다.
<Figure 9>와 같이 유형 3의 적절한 보안 대응 전략은 직원들의 정보보호 교육 및 훈련이 0.639로 압도적인 수 치를 나타내었다. 유형 3에 해당하는 사고 사례들이 모 두 직원들의 보안 인식 부재로 인해 발생했기에 어쩌면 당연한 결과이다. 그 외에 현행 법적 의무 규제를 변형시 켜서 기관이 처한 환경에 맞게 자율적으로 보안 구축을 장려하는 것도 고려해보아야 한다.
유형 4(PSP : Personal data, Support activities, Passive) 는 개인정보를 주로 취급하며 보조적인 업무로 정보시스 템을 사용하고 보안 투자에 소극적인 유형이다. <Figure 10>처럼 소규모 병원이나 카페, 안경점, 대리운전 업체, 골프장, 호텔 등 서비스 업종이 대부분을 차지하였고 협 회나 재단, 자회사의 홈페이지 또한 해당 된다. 주요 사 고 발생 원인으로는 외부자의 해킹 혹은 직원의 부주의 로 발생한 피해 사례가 많았다.
유형 4의 경우 매출이 적은 기업들이기 때문에 보안에 대한 투자가 위험하다고 느낀다. 때문에 소규모 투자로 최대한 효과를 볼 수 있는 체계가 필요하다. 보안 담당자 가 대부분 없거나 관련 정보가 부족하기 때문에 정부에 서 가이드라인을 제공하는 것도 방법이다. 전방위적 보 안 보다는 <Figure 11>과 같이 기업의 상황에 맞게 암호 관리, 접근통제 등의 기술적 보안에 신경 쓰며 정보보호 교육 및 훈련을 통해 직원의 부주의를 줄여가는 것이 필 요하다. 마찬가지로 기술적 보안인 정보시스템 보안 운 영관리에도 신경 써야한다.
유형 5(ISP : Industrial secret, Support activities, Passive) 는 산업기밀을 주로 취급하며 문서 업무 정도로 정보시 스템을 사용하고 정보보안 투자에 소극적인 유형이다. <Figure 12>과 같이 해당 유형에는 중소 제조업이 80% 이상을 차지하고 기업이나 대학의 연구소가 10~15% 정 도를 차지하였다. 또한 내부자에 의해 USB나 외장하드 등으로 피해가 가장 많이 발생한 유형이기도 하다. 또한 망 분리에 대한 이야기도 많이 언급된다.
유형 5의 경우 항목의 필요성이 평균 3.0을 넘긴 지 표들이 8개가 도출되었다. 그 중 가장 우선순위로 꼽힌 항목은 <Figure 13>과 같이 암호 관리 및 접근 통제였 다. 이동 저장매체 사용에 대한 관리가 중요한 문제로 부각되는 것을 나타내 주었고 비슷한 수치로 전·현직 직원에 대한 인적자원 관리가 도출되었다. 그밖에 물리 적 보호조치, 정보보호 교육 및 훈련, 정보시스템 보안 운영 관리 등이 유형 5에 대한 보안 대응 전략으로 선 정되었다.
유형 6(ISA : Industrial secret, Support activities, Active) 은 산업기밀을 취급하고 정보시스템을 보조 업무로 사용 하고 있으며, 현재 보안 투자에 적극적인 유형이다. 일반 사용자 비대면(B2B) 공공기관들과 제조업 중 대기업이 속하는 유형이기도 하다. 지난 2014년 한국수력원자력 도면 해킹 사건처럼 망 분리가 되어 있음에도 사고가 발 생하기도 하는데, 이는 내부자의 보안 인식 미흡이 가장 큰 원인으로 나타난다. ‘설마 가져가겠어?’하는 생각을 주의해야 한다. <Figure 14>.
또한 유형 3과 마찬가지로 수익이 잘 나지 않는 공공 기관임에도 보안 투자에 대한 의무 사항 때문에 형식상 정보보안 투자가 일어나기도 한다. 법적 의무 때문에 보 안 시스템을 도입한 것인지, 정말 필요해서 한 것인지 정 확한 판단을 하지 않는다면 대규모 정보 유출 사태가 일 어날 수 있는 유형이다. <Figure 15>.
유형 6의 보안 대응 전략 중 가장 우선순위로 꼽힌 것 은 내부자의 보안 인식을 높여줄 수 있는 정보보호 교육 및 훈련 항목이었다. 또한 정보보호 관련 지침이 제대로 이행되고 있는지에 대한 확인이 가능한 내부 보안 모니 터링 및 보안 감사가 뒤를 이었다.
유형 7(IMP : Industrial secret, Main activities, Passive) 은 산업기밀을 주로 취급하며 기업 내에서 정보시스템을 가치 창조의 기반으로 삼는 기업이나, 정보보안에는 소 극적인 기업들이 속하는 유형이다. <Figure 16>과 같이 여기엔 콘텐츠 기반 중소 IT 업체들이 많이 속하는데, 그 중에서도 이제 막 사업을 시작한 신규업체들이 대다수 포 함된다. 그리고 신문사나 방송국 등의 언론사들도 유형 7에 해당한다.
유형 7의 보안 대응 전략 수립을 위해 <Figure 17>을 살펴보면 정보 자산은 제대로 분류하는 것이 가장 중요 한 항목임을 확인할 수 있다. 유형 7과 같은 경우 사실 전방위적 보안 관리가 필요한데 이에 대한 인식이 잡혀 있지 않는 기업이 대부분이다. 성장에 치우친 전략으로 인해 보안 관련 투자엔 소극적이기 때문이다. 또한 법적 규제도 마련되어 있지 않고 신규 업체의 경우 보안 관리 에 투자할 형편이 되지 못하므로 정부 차원에서 지원이 필요한 유형이기도 하다. 법적으로 보안 규제를 한다면 신성장동력으로 육성이 불가능해진다. 기업 별로 카테고 리를 구별하여 지원해줄 정책이 필요하다. <Figure 18>.
유형 8(IMA : Industrial secret, Main activities, Active) 은 산업기밀을 주로 취급하고 정보시스템을 메인으로 사 용하고 있으며, 보안 투자에도 적극적인 유형이다. 삼성 을 비롯한 LG, 현대차 등 대기업들이 유형 8에 속한다. 보안 정책이나 시설이 잘 갖추어져 있기 때문에 사고가 발생하면 거의 내부자에 의한 유출이 대다수를 이룬다. 또한 성과 보상이 제대로 이루어지지 않아 이직을 결심 한 경우, 해외에서 스카우트 제의를 받고 정보를 유출하 는 경우 등이 사고 사례로 적발되었다. <Figure 19>.
유형 8의 보안 대응 전략 중 우선순위로 뽑힌 것은 인 적자원 보안 관리이다. 내부자에 의한 유출을 막기 위해 서는 주요 정보 취급자에 대한 직무 부여를 명확하게 하 고 퇴사하는 직원에 대해서는 권한 종료를 빈틈없이 관 리해야 한다. 또한 주기적인 정보보호 교육 및 훈련을 통 해 보안 침해사고가 발생할 경우 대처하는 요령에 대해 서 확실한 인지를 해야 한다. 이에 더해 의무 인증 규제 보다는 자율적인 보안 투자를 장려하고, 사고 발생 시 법 률 및 제도적인 상벌제를 강화하는 것이 대기업들에게는 필요하다.
5.결 론
본 연구는 정보보안 전략을 수립하는데 있어서 기업 의 유형을 분류하고 분류된 기업들의 특성을 파악하여 사용될 보안 전략의 우선순위를 전문가 집단과의 설문을 통해 검증하였다. 분석 결과 각각의 유형 마다 각기 다른 보안 대응 전략이 도출되었으며 이는 각 유형별 기업들 이 가지고 있는 특성과 과거 유사한 기업들의 사고 사례 를 기반으로 도출되었다는데 그 의의가 있다. 이미 의무 인증 규제에 따른 정보보안을 도입한 기업들 이외에 수 많은 기업들이 정보보안을 도입하려 할 때 망설이곤 한 다. 당장 눈에 보이는 기술적인 대책 위주로 정보보안을 도입하지만 정보보안 사고는 계속해서 발생하고 있으며 기술적인 대책 위주의 방법은 한계가 있다. 정보보안을 제대로 수행하려면 기술적인 방법뿐만 아니라 조직 그리 고 기업의 전반적인 인식을 바로 잡아야 한다. 정책을 세 우고 전담조직을 구성하는 등 기술적인 대책 이외에도 보안 사고를 예방할 수 있는 방법은 충분히 있다. 자신의 기업의 특성과 보호해야할 자산을 명확하게 분류하여 정 보보안 도입 시 유연하고 탄력적으로 받아들일 필요가 있는 것이다. 본 연구의 결과는 그러한 고민을 하고 있는 기업들의 의사결정 시에 도움을 주고자 한다.