국내 기업들의 정보시스템 백업 체계가 미흡, 침해사고 발생 시 사고 조사와 대응을 어렵게 하는 원인이 되고 있는 것으로 나타났다.
한국정보보호진흥원(원장 황중연 www.kisa.or.kr 이하 KISA)이 지난 해 실시한 정보보호관리체계인증(ISMS) 심사를 토대로 분석한 결과, 대부분의 기업이 정보시스템 백업 절차를 갖추고 있지 않은 것으로 조사됐다고 28일 발표했다.
각 기업들은 정보시스템에 대한 백업을 수행하고는 있지만, 백업 범위와 방법 등을 정의한 절차 없이 '주먹구구'식에 의존해 백업을 하는 것으로 드러났다.
또 정보시스템 백업 작업이 명확한 절차에 이뤄지는 것이 아닌 담당자의 주관에 따라 임의적으로 시행되고 있는 것으로 조사됐다.
특히 시스템 접속·운영 기록이 저장된 주요 로그 파일에 대한 백업이 미흡, 침해사고 발생 시 사고조사와 대응을 어렵게 하는 주요 원인이 되고 있다고 KISA측은 지적했다.
또 기업의 보안 결함으로 ▲정보자산 분류 기준 부재 및 자산 보안등급 미표기 ▲관리자 계정 공동사용 ▲보안사고 예방과 대응절차 미흡 ▲정보보호교육 계획 부재 ▲고객정보 위험 분석 ▲기업 내 보안활동에 대한 내부 감사 미흡 등이 지적됐다.
KISA 관계자는 "국내 대다수 기업이 보안상 취약점을 간과하는 경우가 많았다"며 "취약성이 많은 웹을 대량 취급하는 서비스 업체가 상시 정보보호 관리를 할 수 있도록 정보보호관리체계 수립을 다각도로 지원할 것"이라고 말했다.
한편 정보보호관리체계인증(ISMS)은 정보보호관리체계가 정해진 단계에 따라 수립·운영되고 있는 지 여부를 인증기관이 평가해 수여하고 있다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기