우리 기업의 데이터 유출 위험도는 얼마나 될까. 세이프넷 코리아(대표 황동순)가 데이터 유출·침해 관련해 십 수년 간 일어난 사건 사고를 토대로 위험성을 인덱스화 해 이를 웹 사이트(www.breachlevelindex.com/)를 통해 공개했다. 자가 진단도 할 수 있어 유용하다.

사이트 개설 목적에 대해 업체 측은 “데이터 유출·침해 유형 별 추이와 산업 별 피해 규모 현황 등에 대한 통계 정보 서비스를 제공하는 한편 현재 보안 위험성이 어느 정도인지를 웹에서 간단히 자가진단을 할 수 있도록 돕기 위함”이라고 소개했다.
 
자가진단의 경우 유출된 데이터 건수, 유출 경로, 사후 대처 등 네 가지 간단한 질문에 답을 넣으면 바로 위험도가 평가된다. 이 위험도의 수준은 세이프넷이 십 수년 간 데이터 유출·침해 실제 사건에 대해 평가한 위험도 수치와 비교해 볼 수 있어 보다 객관적인 위험도 평가가 가능하다.
 
세이프넷 황동순 지사장은 “기업이나 조직에서 데이터 유출·침해 방지를 위한 전략 수립에 있어 가장 중요한 것은 어떤 유형의 사건 사고가 어떻게 일어나고 있는 지에 대한 사례 조사”라며 “주요 사건 사고에 대한 원인 파악 및 이를 기초로 한 자사의 보안 수준 평가가 상시 이루어져야 하는데, 대부분의 조직에서는 어디서 어떤 사고가 났더라 식의 정보만 살피고 있다. 이에 세이프넷은 기업과 조직이 지금까지 일어난 사건 사고를 유출·침해 유형 별 그리고 위험도 별로 살펴볼 수 있는 인덱스와 함께 내부의 수준 평가를 위한 일종의 데이터 유출/침해 위험성 평가 지표도 함께 만들게 되었다”라고 말했다.
 
한편 세이프넷 코리아는 이번 데이터 유출/침해 인덱스 발표를 계기로 암호화 플랫폼 영업 전략에 힘을 싣는다는 계획이다.
 
개인정보보호 관련 규제 변화가 최근 심해지면서 기업들이 지금껏 투자한 DB 암오화 솔루션을 기초로 한 규제 대응이 갖는 한계가 명확해 지고 있다는 판단 하에 ‘플랫폼’을 영업 전략의 주요 키워드로 내세우고자 하는 것이다.
 
이 업체 박종필 이사는 “많은 기업들이 DB 암호화만 잘 하면 된다고 생각하는데 현재 개인정보보호 관련 각종 규제나 ISO 27001이나 ISMS 같은 인증이 요구하는 수준에 맞추려면 모든 것(End-to-End) 차원의 암호화가 요구된다”며 “최근 개발 시점에서 터지는 사고, DB가 아니라 WAS와 연결된 웹 애플리케이션 차원에서 터지는 사고가 등장하면서 시장에서도 DB 뿐 아니라 WAS, 스토리지, 가상 머신 등 보호해야 할 데이터가 있는 모든 곳에 대한 암호화의 필요성에 눈을 뜨고 있다”고 말했다.
 
세이프넷 코리아는 영업 파트너들에 대한 지원 강화를 위해 자사의 암호화 플랫폼인 DataSecure을 가지고 DB, TDE, WAS, 스토리지 등 원하는 구성으로 암호화 범위를 확장해 갈 수 있도록 유연한 플랫폼 공급 및 라이선스 전략을 적극 추진해 나간다는 전략이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com