지란지교소프트-쉐어드IT 국내 중소기업 정보보안 현황 공동설문조사 결과발표
내부보안보다 외부공격방어에 치중, 응답자중 65%이상이 정보유출사고 터져도 대응 못해
흔히 중소기업은 보안에 대한 인식이 부족해 정보보호에 투자하지 않는다고 생각하지만 실제로는 솔루션 비용이 너무 비싸기 때문인 것으로 나타났다.내부보안보다 외부공격방어에 치중, 응답자중 65%이상이 정보유출사고 터져도 대응 못해
지란지교소프트와 전산담당자 커뮤니티 쉐어드IT가 함께 국내 458개 기업을 대상으로 중소기업의 정보보안 현황을 조사한 결과 80.9%의 기업이 외부 유출 시 피해가 예상되는 중요 정보를 보유하고 있다고 응답했으나 실제로 정보보호에 적극적으로 투자한 기업은 24.7%에 그친 것으로 조사됐다.
응답자의 과반수가 정보보호에 투자하지 않는 이유에 대해 비싼 솔루션 구축 비용 때문(49.4%)이라고 답했으며 보안 전문가의 부재(15.7%), 기술적 조치에 대한 이해부족(14.6%), 필요성 느끼지 않음(10%) 순으로 응답했다.
설문에 참여한 기업의 83.2%는 자체보안규정을 가지고 있었다. 그러나 단지 18%만이 엄격히 지킨다는 응답을 했다.
정보자산을 관리하는 전담직원이 있는 기업은 35.9%에 불과 했으며 겸업(48%)을 하고 있거나 아예 담당자가 존재하지 않는 기업도 16.1%나 됐다.
이는 설문에 참여한 기업의 91%가 중소기업이고 효율을 추구하는 중소기업의 특성상 다른 우선순위에 밀려 인력투자를 하지 못하는 것으로 분석된다.
보안을 위한 임직원 관리 실태를 살펴보면 73% 기업이 직원 채용 시 보안서약서를 작성하고 있으며 62%가 보안교육실시, 64%가 주요 임직원 퇴사 후 동향을 파악하고 있는 것으로 파악됐다.
그러나 기밀 유출 등 실제 정보유출 사고 발생 시 35.2%만이 조치를 취할 수 있고 나머지 65%의 기업은 임직원 관리방침 없어 사람을 통한 기업의 보안사고 발생에 대한 대비가 마련되지 않은 것으로 나타났다.
회사 자산을 반출 시 62.8%가 관리자의 사전인가를 통해 반출한다고 응답했으나 이동매체제어와 메일, 메신저 등 전자문서 발송 시 관리조치가 되어 있지 않은 기업이 35.9%, 41.2%로 각각 조사돼 관리자의 사전인가를 받지 않더라도 기업 내 IT 기기를 활용한 정보유출 발생 가능성이 높은 것으로 예측됐다.
또한, 40.1%가 외부 문서를 수신하고 발송하는 것에 대한 로그를 기록하지 않는 것으로 나타나 실제 정보유출 발생 시 중소기업을 속수무책으로 피해를 입을 수 밖에 없는 상황이다.
이는 기업의 대다수가 백신과 방화벽 등 외부공격에 대비한 가장 기초적인 보안에만 공을 들이고 있기 때문인 것으로 분석했다.
그러나 향후 비용을 투자한다면 45% 기업이 내부정보유출방지(DLP) , 40% 기업이 문서보안(DRM), 24%가 백신, 23% 방화벽, 19% 출력물보안을 도입할 것으로 응답. 내외부에 대한 정보보안 의지가 있는 것으로 파악됐다.
지란지교소프트 오피스웨어사업부 박상호부장은 “중소기업은 우리나라 국가 경제의 99%를 차지한다”며 “정보보호 투자 및 전문인력배치 등 현실적인 어려움이 있는 중소기업들에게 실질적인 도움이 될 수 있는 방향으로 제품을 발전시켜 나갈 것”이라고 밝혔다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 장성협 기자> shjang@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지