2020-10-28 17:00 (수)
한국 정보보호 실상 공개...책정된 예산이라도 잘 써야
상태바
한국 정보보호 실상 공개...책정된 예산이라도 잘 써야
  • 길민권
  • 승인 2014.04.18 05:28
이 기사를 공유합니다

사고는 증가하는데 정부-기업-금융...정보보호 예산은 줄어
알려지지 않은 공격에 대한 예산 투자 늘려야
우리는 지금 제대로 정보보호 예산을 사용하고 있을까. 4월 17일 한국인터넷진흥원이 주최하고 한국CPO포럼이 주관, 안전행정부가 후원하는 ‘프라이버시 글로벌 엣지 2014’가 코엑스 그랜드볼룸에서 개최됐다.
 
이 자리에서 이경호 고려대학교 교수는 ‘한국의 개인정보보호 환경에서의 이슈들’이란 제목으로 발표를 진행했다.

 
이경호 교수는 서두에 최근 발생한 카드사 개인정보 유출사고의 심각성에 대해 언급했다. 특히 신용평가업체 코리아크래딧뷰로 직원에 의한 정보유출에 대해 글로벌 차트를 공개하면서 “글로벌 정보유출 현황에서 코리아크래딧뷰로 사건이 규모 기준으로는 탑이 아니지만 유출된 정보의 민감성 기준으로는 최고로 조사됐다. 특히 금융분야 민감성 기준으로도 가장 큰 사건으로 조사됐다”고 밝혔다. 그만큼 이번 정보유출로 인해 상당히 민감한 정보가 유출됐다는 것을 강조했다.
 
이어서 이 교수는 우리나라 정부와 기업들이 정보보호 투자를 제대로 하고 있는지에 대해 문제 제기를 했다.
 
◇정부와 금융, 정보보호 예산과 인력=기획재정부에서 올해 발표한 정부의 정보보호 예산 추이를 보면, 2009년 1757억(정보화예산에서 비중 5.6%), 2010년 2695억(8.2%), 2011년 2035억(6.2%), 2012년 2633억(8.1%), 2013년 2400억(7.3%), 2014년 2600억(8%)로 조사됐다. 정보보호 사고는 갈수록 증가하고 있고 정보보호 위협도 더욱 증가하고 있음에도 정보보호 예산 비율은 그에 맞게 증가하지 못하고 있는 상황임을 알 수 있다.
 
또 안전행정부 정보보호 예산을 보면, 지난해에 비해 121억8천600만원이 감소했다. 지난해에 비해 개인정보보호위원운영 예산이 28억2천800만원으로 책정돼 3억4천900만원이 증가했고 개인정보유출 및 오남용방지 예산은 2억8천500만원 증가했다. 하지만 정보보호인프라확충은 19억2천700만원이 줄었고, 안행부 개인정보보호 예산도 2억6천600만원이 줄었다.
 
기업들은 어떨까. 2013년 안행부 개인정보보호 실태조사에서 발표된 수치로, 개인정보보호 예산을 확보한 기업은 3.9%에 불과했으며 96% 가량의 기업들은 전혀 책정된 예산이 없다고 답했다.
 
이 교수는 금융권 정보보호 예산과 인력 규모도 공개해 눈길을 끌었다.  특히 국내 카드사 대부분이 2012년에 비해 2013년 정보보호 예산이 줄었다는 것을 알 수 있다.
 
삼성카드가 IT예산에서 14.68%를 정보보호에 투자해 가장 많은 것으로 조사됐다. 다음으로 신한카드가 12.21%, 하나SK가 11.33%, KB국민카드가 8.21%, 현대카드가 7.89%, 롯데카드가 7.43%, 비씨카드가 7.30% 순으로 조사됐다. 업계평균은 10.12%로 나타났다. KB국민카드, 현대카드, 롯데카드, 비씨카드 등은 업계 평균 이하 수준이었다. NH농협카드는 농협은행에서 분사되지 않아 통계가 없었다.
 
이에 이 교수는 “공교롭게도 이번 대규모 정보유출 기업인 KB국민카드와 롯데카드 등이 업계 평균 이하의 정보보호 투자를 한 것으로 조사됐다”고 지적했다.
 
카드사들의 정보보호 인력은 어느 정도일까. 2013년 기준, 현대카드가 35명으로 가장 많았고 삼성카드 26명, 신한카드 20명, 비씨카드 19명, 하나SK카드와 롯데카드가 15명, KB국민카드가 12명, 우리카드가 2명으로 조사됐다.
 
은행은 농협은행이 83명으로 가장 많았고 국민은행 55명, 우리은행 48명, 기업은행 38명, 신한은행 37명, 씨티은행 29명, 하나은행 25명, 외환은행 24명, SC은행 18명, 수협은행 11명으로 조사됐다.
 
이 교수는 전체적으로 금융권 IT정보보호 예산이 보안사고가 증가하고 있음에도 불구하고 2012년에 비해 2013년 정보보호 예산이 줄었다고 지적했다.
 
금감원 조사에 따르면, 은행 18개사 평균 정보보호 예산은 2012년에 218억이었던 것이 2013년에는 141억으로 크게 줄었다. 증권사 49개사도 2012년 27억에서 23억으로 줄었고 보험 41개사도 50억에서 43억으로 줄었다. 카드 8개사도 115억에서 111억으로 금융권 전 분야가 2012년에 비해 2013년 정보보호 예산이 대부분 축소된 것을 알 수 있다.
 
또 예산 집행율도 문제로 지적됐다. 은행들은 2012년 기준, 75.2%에 그쳤고 카드사는 61.8%, 보험사는 46.2%, 증권사는 53.8% 조사돼, 책정된 예산도 제대로 사용하지 않고 있는 실정인 것으로 조사됐다.
 
이 교수는 정보보호 예산과 인력 부족을 지적하면서 강조한 부분은 바로 책정된 예산이 제대로 사용되고 있냐는 점이다.
 
◇알려지지 않은 공격 방어에 예산 늘려야=그는 “책정된 예산들이 어디에 사용되어야 할까. 바로 알려지지 않은 공격들에 보다 집중되어야 한다. 알려진 공격들은 기존 보안 시스템들도 충분히 차단할 수 있지만 이제는 알려지지 않은 공격을 막기 위해 비정상행위탐지에 투자를 확대해야 한다”며 “이를 위해서는 지속적인 모니터링과 사고분석 전문가를 활용해야 한다. 그리고 정부의 정보공개가 필요하다. 정부가 모든 문제를 해결할 수 없다. 정보를 공개해 민간에서도 이를 활용해 심각한 보안위협에 공동으로 대응해야 한다”고 강조했다.
 
또 “중요 정보 침해에 대한 한계점 극복을 위해 정보관리 프로세스, 관리체계, 시스템 및 법, 제도를 연계한 종합적인 중요정보보호 및 관리가 필요하다”고 밝히고 대응방법의 변화도 촉구했다. 즉 “글로벌 동향은 솔루션 중심에서 행위기반의 정보보호로 변화하고 있다. 침해 행위에 대해 다양한 행위 패턴 분석, 대응으로 공격자를 정확하게 탐지할 수 있도록 솔루션에 행위기반 정보보호 체계를 구축하는 방향으로 진화해야 한다”고 덧붙였다.
 
마지막으로 이 교수는 “이제 기업들은 스스로 움직이지 않으면 생존하기 힘들다. 기업들 스스로 극복하려는 의지가 가장 중요하다”며 “자율적으로 목표를 정하고 스스로 할 수 있는 환경 조성이 필요하다”고 강조했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com