2016.3.7 월 12:18
> 뉴스 > 기획/특집 > 기획시리즈
   
[정부 규제가 보안 수준 낮춘다](하)정부 규제보다 더 강한 자율 규제로 바꿔야
2014년 06월 09일 (월) 02:46:37 김인순기자 insoon@etnews.com

지난해 11월 미국 대형 유통기업 ‘타깃(Target)’의 POS 시스템이 해킹돼 고객 신용카드 정보 4000만건이 유출됐다. 고객 이름과 신용카드 번호, 유효기간, CVC 값이 모두 빠져나갔다. 타깃은 지난 1월 7000만명의 개인정보가 유출된 사실을 추가로 발표했다.

타깃은 유출 사실을 확인한 후 곧바로 고객에게 사실을 알리고 웹사이트에 공지했다. 1년간 무료 신원정보 도용 방지 프로그램을 제공한다. 아직 당국의 제재 결과는 나오지 않았지만 재무관리기업 슈퍼머니는 타깃이 내야할 과징금이 총 36억달러(약 3조8000억원)가 넘을 것으로 예상했다. 이 사고로 그렉 스타인하펠 타깃 최고경영자(CEO)와 최고정보책임자(CIO)가 줄줄이 자리에서 물러났다.

해외는 각종 보안사고 시 처벌 수위가 강하다. 각종 규제만 지키면 배상 책임을 면제받거나 솜방망이 처방에 그치는 국내와 다르다.

◇실효성 없는 규제

지난 5월 1일 전자금융거래법 개정안이 정무위를 통과하면서 총자산 10조원 이상, 상시 종업원 1500명 이상 금융회사는 CIO와 최고정보보호책임자(CISO) 겸직이 금지된다. 최근 금융권은 CISO 자리 만들기에 한창이다. 하지만 속내를 들여다보면 CISO 자리만 만들었다. 기업 전체 정보보호 관리체계를 만들고 실행할 CISO를 뽑는 게 아니라 그저 새로운 임원 자리를 채운다. 정보보호 지식이나 경험이 전혀 없는 인물이 CISO가 된다.

한 금융사 CIO는 “많은 사고가 발생한 금융권에서도 CISO는 사명감을 갖고 정보보호를 책임질 담당자가 아니다”라며 “사고가 일어나면 책임지고 물러나는 자리”라고 말했다.

지난 3월 고객정보 유출사건이 알려진 KT는 정보보호관리체계(ISMS) 인증을 받는 등 규제는 준수했지만 사고를 피하지 못했다. 노병규 한국인터넷진흥원 본부장은 “인증을 주는 것이 중요한 게 아니고 내부에서 제대로 유지하는 것이 중요하다”고 말했다.

◇정보보호 거버넌스를 만들자

금융권은 물론이고 국내 기업 상당수는 전사적 정보보호 거버넌스 체계가 부족하다. CISO가 있어도 예산과 인력, 조직 내 권한이 제한적이다.

김영린 금융보안연구원장은 “수많은 기술적 조치도 중요하지만 기업 자체적으로 보안사고에 책임지는 시스템과 프로세스를 만들어야 한다”고 말했다. CEO와 이사회, 감사위원회, CISO가 동반 책임지는 IT보안 거버넌스 활성화가 시급하다. 경영자가 큰 그림을 그려 정보보호 전략을 마련하고 이를 수행할 조직과 투자를 지속하는 능동적 대처다. 사고 후 땜질 처방이 아니라 예방에 힘쓰는 체계다.

권석철 큐브피아 대표는 “국가가 너무 많은 규제를 내놔 공공기관이나 금융권이 자율적으로 새 기술을 도입하기 어렵다”며 “날로 지능화하는 사이버 공격에 신속하게 대응하는 정보보호 거버넌스 체계 도입이 절실하다”고 설명했다.

ⓒ 보안닷컴(http://www.boan.com) 무단전재 및 재배포금지 | 저작권문의  

     
이 기사를 추천하시면 "오늘의 좋은 기사" 랭킹에 반영됩니다   추천수 : 0
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
양승조 의원 "사물인터넷 보안 철...
<양승조 새정치민주연합 의원과 정진홍 한국ICT융합보안협회 회장 등 관계자들이 정책세미나 시작에 앞서 ...
[보안칼럼]IoT 산업의 미래, ...
모든 사물이 인터넷으로 연결되는 ‘초연결사회’가 도래했다. 이미 스마트워치와 같은 웨어...
[2014년 10대 뉴스]한수원 ...
고리와 월성 등 국내 주요 원자력발전소 제어시스템 설계도가 해킹된 후 웹에 공개되는 사상 초유의 사건이 발생...
[단독]이달초 한수원 업무망PC ...
원자력발전소 도면 등 주요 자료 유출사고로 홍역을 치르고 있는 한국수력원자력(한수원)의 그간 정보보호 체계가...
[정보보호]IoT 보안 이슈 ...
급성장하는 사물인터넷(IoT)시장의 보안기술을 한자리에서 보는 행사가 열...
[정보보호]SOPT `빅데이터...
안랩, 15일 코엑스서 ‘안랩...
[정보보호]제9회 POC201...
한국침해사고대응팀협의회 제주서...
한국해킹보안협회, 10월 7일...
안랩, 금융정보보호 콘퍼런스서...
사이트 소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부