충북대학교 정보보호경형학과
자유게시판
공지사항
목록
최고관리자
링크 #1
http://www.dt.co.kr/contents.html?article_no=2017101802102251607001 (84)
최근 4차 산업혁명이라는 용어로 대표되는 신규 ICT서비스에 대한 관심이 증가하고 있다. 하지만, 정보보호의 관점에서는 대비해야 할 위협의 규모와 심각성이 증가하게 된다. 사물인터넷을 통해 수많은 단말들이 연결돼 새로운 서비스의 제공이 가능해짐과 동시에 정보보호를 침해할 수 있는 공격포인트가 그만큼 증가하게 된다. 인공지능, 지능형로봇, 자율주행자동차 등이 상용화되면 기존에 알려지지 않은 보안 위협과 취약성이 증가하게 된다.
 
한국인터넷진흥원의 '2016년 정보보호 실태조사'에 따르면, 민간기업의 11%만이 정보보호 조직을 운영하고 있고, 32.5%만이 정보보호 예산을 배정하고 있다. 이 중에서 정보보호 예산이 IT 예산의 5% 이상인 기업은 1.1%에 불과했다. 기술적, 재무적으로 정보보호에 투자할 역량을 보유한 대기업의 경우와는 달리, 정보보안, 개인정보보호, 산업보안의 구분이 없는 중소기업의 경우에는 정보보호의 실패가 기업의 도산으로 이어질 수 있는 만큼 정보보호가 기업의 생존에 영향을 미칠 수 있다는 인식이 기업주 뿐만 아니라 중소기업 및 정보기술 관련 정부 부처에게 필요하다.  

정보보호는 사이버위협에 대한 위험관리의 관점에서 접근할 필요가 있다. 위험을 관리하는 방법은 크게, 발생하는 위험을 수용하고 잠재적 손실비용을 감수하는 위험보유(risk retention), 기술적 또는 관리적 기법을 통해 위험을 통제하는 위험감소(risk mitigation), 보험, 아웃소싱 등의 계약을 통해 위험을 제3자에게 전가하는 위험전가(risk transfer), 위험이 존재하는 사업이나 프로세스를 수행하지 않고 포기하는 위험회피(risk avoidance) 등이 있다. 기존의 정보보호 대책은 이 중에서 주로 보안침해사고가 발생하기 전에 기술적이거나 관리적인 통제수단을 이용해 위험을 감소시키는 사전적인 위험감소 노력에 해당된다. 내부 구성원에게 식별되는 보안침해사고가 발생할 확률은 높지 않지만, 실제 발생하는 경우에는 기업이 도산할 수도 있는 치명적인 피해를 입을 수 있다. 보안침해사고의 가능성과 발생시 피해규모를 구체적으로 수치화하는 것이 어렵기 때문에 많은 기업에서는 보안투자를 미루는 것이 일반적이고, 앞서 인용한 조사결과는 이러한 인식에 따른 것이라고 판단된다.

개인정보를 수집해 서비스를 제공하는 개인정보처리자가 수십만 또는 그 이상으로 추산되고 있고, 이 중 대다수는 중소기업 이하의 영세사업자 또는 개인이다. 이들에게 충분한 기술적 및 관리적 정보보호 통제수단을 사전에 설치하는 것을 요구하는 것은 현실적으로 불가능하다. 기술적 및 관리적 정보보호 조치의 필요성에 대한 인식을 제고하고 투자를 유도할 뿐만 아니라 언제 발생할지 모르는 정보보호침해에 대비할 수 있도록 사이버보험을 영세한 개인정보처리자에게 우선적으로 적용하는 것이 적절할 것으로 보인다. 사이버보험 가입을 통해 서비스제공자는 정보보호침해사고로 인한 제3자(서비스가입자) 피해를 배상할 수 있고, 서비스가입자는 법적구제 이전에 보험에서 우선 배상을 받을 수 있을 것이다. 가입의무화, 단체가입 등을 통해 초기 가입자수를 늘이게 되면, 실제 보험료 부담을 낮출 수 있을 뿐만 아니라 사고율 추정을 위한 데이터를 조기에 확보해 관련 상품의 추가 개발에도 긍정적인 영향을 줄 수 있을 것이다. 또한, 사이버보험 가입시 위험분석과 가입 중의 위험관리를 통해 실제 침해사고 발생을 크게 낮출 수 있을 것이다.  

모 국회의원실에서 발의를 준비하고 있는 '중소기업에서 정보보호 설비 투자시 투자금액의 5% 세액공제' 법안은 중소기업이 기존 악성코드의 공격으로부터 받을 수 있는 피해를 예방하거나 신규 ICT 서비스의 도입으로 인한 신종 위협에서 보호할 수 있다는 측면에서 매우 바람직한 조치라고 판단된다. 다만, '정보보호 설비'의 범주 내에 사이버보험 가입에 따른 지출(위험평가, 보험료 등)도 포함돼야, 사전적인 조치와 사후적인 조치, 기술적 및 관리적 대안과 재무적 대안, 위험 경감 방안과 위험 전가 방안들의 균형된 정보보호 투자 포트폴리오를 구성하게 될 수 있을 것으로 판단된다.
목록