최근 사이버 테러가 증가하고 있는 데도 불구하고 기업들은 IT 보안에 대해 놀라울 정도로 느긋한 자세를 취하고 있는 것으로 나타났다.
본지의 자매지인 美 네트웍 컴퓨팅紙가 573명의 IT 및 보안 관리자들을 대상으로 실시한 최근 조사에 따르면, 많은 기업들이 기업망의 안전을 제대로 지키기 위해 구현해야 할 프로세스와 기술은 물론이고 보안 정책을 꾸준히 점검하거나 갱신하지 않고 있는 것으로 나타났다. 게다가 전담 IT 보안 인력을 두지 않고, 정보 자산 보호에도 비교적 소액을 투자하고 있는 업체들도 다수인 것으로 조사됐다.
하지만 바로 그런 최신의 포괄적인 보안 정책의 부재가 기업들을 위험에 빠뜨린다. 대부분의 업체는 네트웍 접속시 사용자 암호를 부여하든지, 인터넷 연결을 통해 기업망에 드나드는 트래픽 흐름을 정밀 조사하기 위해 방화벽을 설치하든지, 어떤 형태로든 보안 장치를 마련해두고 있다. 하지만 동적으로 변하는 업무 및 기술 상황에 보조를 맞춰 최신 보안 정책과 프랙티스를 유지하는 수준까지는 미치지 못하는 경우가 다반사다.
■ 너무 미온적이며 소극적
작년에 컴퓨터 보안 연구소(CSI)와 FBI가 521명의 보안 전문가들을 조사한 결과에 비춰 보면 이런 상황은 특히 주목할만 하다. 이 조사에서 57%는 자사의 인터넷 연결이 공격 지점이 되는 경우가 흔하다고 답했다.
보안 정책을 마련하는 것과 그 정책의 감사 일정을 마련하는 것은 별개의 문제라고 온라인으로 교재를 판매하고 있는 e캠퍼스닷컴(eCampus.com)의 인터넷 운영 이사인 브렌트 터틀(Brent Tuttle)은 말했다.
네트웍 컴퓨팅의 조사에 따르면 73%의 기업은 공식적인 보안 정책을 가지고 있지만 3분의 1은 그 정책이 최신의 것이 아니라고 답했고, 4분의 1은 그 정책이 효과적이지 않다고 답했다. 약 39%는 정책을 자주 검토하지 않았으며 공식 검토 과정도 없다고 답했다.
직원 1,000명 이상의 241개 업체 중 87%는 공식적인 정책이 있지만 약 3분의 1은 그 정책이 최신의 것이 아니거나 그 정책이 효과적이지 않다고 생각하고 있었다.
뿐만 아니라 모든 기업의 27%와 대기업 중 13%는 공식적인 서면 정책을 전혀 가지고 있지 않은 것으로 나타났다.
이 때문에 일부 IT 매니저들과 보안 전문가들은 요즘 기업들이 공격과 침입을 막아내기 위한 준비를 얼마나 잘 하고 있는지에 대해 우려를 표하고 있다.
e캠퍼스닷컴의 터틀은 그런 조사 결과가 두렵기까지 하다고 말할 정도다. e캠퍼스닷컴은 서면 보안 정책을 가지고 있고 이를 주 단위로 검토하고 있다. 그러나 보안 정책을 갖고 있는 상당수의 대기업들은 일년에 한 번 그 정책을 검토하고 있다.
