2019.11.15

강은성의 보안 아키텍트 | 중소기업 정보보안을 위한 과기정통부와 중기부의 ‘콜라보’

강은성 | CIO KR
지난 주에 울산을 다녀왔다. 한국인터넷진흥원(KISA)에서 주최한 “울산지역 정보보호 최고책임자(CISO) 네트워킹 데이"에서 특강을 맡았기 때문이다. KISA 울산 정보보호지원센터가 작년에 개소하였는데, 작년에 이어 두번째로 CISO 네트워킹 데이를 개최했다고 한다. 최근 중소기업 정보보호에 관한 과제도 수행하고 있어서 지역의 CISO나 지역에서 보안컨설팅을 하는 분들의 현장의 목소리를 듣고 싶기도 했다.

중소벤처기업부(중기부)의 통계에 따르면 2017년 기준으로 우리나라의 전체 기업의 수는 3,737,465개이고, 그 중 소상공인을 포함한 중소기업의 수는 3,732,997개로서 전체 기업의 99.9%에 이른다. 중소기업 이외의 기업 그러니까 중견기업이나 대기업의 수는 4,468개로 0.1%에 불과하다.  

 

<그림> 우리나라 기업의 규모별 구성 현황

그 동안 주요 정보보안 시장은 정부·공공, 금융, 대기업이었다. 보유한 정보자산이 많고, 사고가 발생했을 때 피해나 사회적 영향력이 큰 데다 투자 여력도 있기 때문이다. 정부의 정책이나 법적 규제 역시 이러한 기업들에 초점을 맞춰왔다. 그런데 산업기술이나 영업비밀의 유출 등 정보보안 사고로 인해 피해를 당한 쪽은 대기업보다는 중소기업이 많았다. 기업의 수는 많고, 정보보안을 위한 투자도 적을 터이니 어쩌면 충분히 예측할 수 있는 일이다. 
중기부의 자료를 바탕으로 중소기업에 관한 몇 가지 현황을 살펴봤다.
 

출처: 중소벤처기업부, 대·중소기업·농어업협력재단, 「2017 중소기업 기술보호 수준 실태조사」, 2018.1.

부설연구소가 있는 기업은 모두 38,810개인데, 그 중 중소기업이 37,217개로 96.0%에 이른다. 생각보다 연구소가 있는 중소기업의 비율이 높았다.

이들 기업 중 기술 유출 피해를 당한 기업이 밝힌 기술 유출 수단을 조사한 데이터도 있다.
 

출처: 중소벤처기업부, 대·중소기업·농어업협력재단, 「2017 중소기업 기술보호 수준 실태조사」, 2018.1.

가장 많이 악용된 수단이 USB 메모리 같은 휴대용 저장장치이고, 인력 스카우트, 복사, 절취, email, 스마트폰 카메라, 컴퓨터 해킹 등 순이다. 대부분이 정보보안의 영역에 포함된다. 중기부에서 주로 담당하는 중소기업의 산업보안은 적용되는 법과 규제가 다를 뿐 중요 정보자산을 보호하기 위한 보안대책은 정보보안의 그것과 크게 다르지 않다는 점이 눈에 띈다. 따라서 산업기술과 영업비밀, 서비스 컨텐츠, 고객 정보 등 중소기업이 보유한 중요 정보자산을 보호하기 위해서 정보보안이 기여할 바가 충분히 있어 보인다.

이번 울산에서 만난 지역 보안기업 담당자의 말이 인상적이었다. 자신들은 과학기술정보통신부(과기정통부)에서 제공하는 것이든 중기부에서 제공하는 것이든 가리지 않고 지역 중소기업에 필요한 정보보안 솔루션을 소개한다는 것이다. KISA에서 진행하는 지역 정보보호컨설팅을 담당하면서 한국산업기술보호협회(산보협)에서 중소기업에 무료로 제공하는 “중소기업 기술지킴서비스"도 소개한다고 한다. 홈페이지를 찾아봤더니 보안관제 서비스와 내부정보유출방지 서비스, 악성코드·랜섬웨어 탐지서비스를 제공하고 있었다. 중기부의 후원으로 산보협이 중소기업에 정보보안 서비스를 제공하는 셈이다.

그런데도 중소기업들의 반응은 시원치 않다고 한다. 사실 중소기업이 보안 문제가 아니라 하더라도 자금, 기술, 영업, 시장에서의 경쟁 등 당장 사업을 영위하기 위해 넘어야 할 어려움들이 많기 때문이다. 어느 기업이나 그렇듯 낯선 기관이나 관계가 없던 정보보안기업에서 연락이 왔을 때의 경계심 또한 있는 것으로 보인다. 기술 유출 등 자신이나 주위에서 피해를 입는 기업들 정도가 관심을 보이는 듯하다. 

그래서 주무부처로서 평소 중소기업과 긴밀하게 소통하고 지원하는 중기부의 역할이 중요하다. 그 동안 과기정통부에서 축적한 정보보안 가이드, 솔루션, 지식과 경험이 중기부의 일상적인 중소기업 지원 통로를 통해 필요한 중소기업에 전달된다면 정보보안 문제로 인한 중소기업의 피해를 줄이는 데 실질적인 도움이 되지 않을까 싶다. 과기정통부와 중기부의 적극적인 협업이 필요한 대목이다.
 
요즘 음악 프로그램에서 다양한 장르들, 신구세대들의 ‘콜라보'를 보게 된다. 각 분야의 탁월한 연주자들이 협력하여 하나의 노래를 완성하기도 하고, 국악 악기와 서양 악기가 협연하기도 한다. 잘 어우러진 음악은 아름답다. 중소기업의 정보자산을 보호하기 위해 과기정통부와 중기부의 ‘콜라보’가 적극적이고 전면적으로 이뤄지는 아름다운 모습이 아름다운 결과도 내지 않을까 싶다.

*강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 개인정보보호 및 정보보호 컨설팅과 교육 사업을 하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 



2019.11.15

강은성의 보안 아키텍트 | 중소기업 정보보안을 위한 과기정통부와 중기부의 ‘콜라보’

강은성 | CIO KR
지난 주에 울산을 다녀왔다. 한국인터넷진흥원(KISA)에서 주최한 “울산지역 정보보호 최고책임자(CISO) 네트워킹 데이"에서 특강을 맡았기 때문이다. KISA 울산 정보보호지원센터가 작년에 개소하였는데, 작년에 이어 두번째로 CISO 네트워킹 데이를 개최했다고 한다. 최근 중소기업 정보보호에 관한 과제도 수행하고 있어서 지역의 CISO나 지역에서 보안컨설팅을 하는 분들의 현장의 목소리를 듣고 싶기도 했다.

중소벤처기업부(중기부)의 통계에 따르면 2017년 기준으로 우리나라의 전체 기업의 수는 3,737,465개이고, 그 중 소상공인을 포함한 중소기업의 수는 3,732,997개로서 전체 기업의 99.9%에 이른다. 중소기업 이외의 기업 그러니까 중견기업이나 대기업의 수는 4,468개로 0.1%에 불과하다.  

 

<그림> 우리나라 기업의 규모별 구성 현황

그 동안 주요 정보보안 시장은 정부·공공, 금융, 대기업이었다. 보유한 정보자산이 많고, 사고가 발생했을 때 피해나 사회적 영향력이 큰 데다 투자 여력도 있기 때문이다. 정부의 정책이나 법적 규제 역시 이러한 기업들에 초점을 맞춰왔다. 그런데 산업기술이나 영업비밀의 유출 등 정보보안 사고로 인해 피해를 당한 쪽은 대기업보다는 중소기업이 많았다. 기업의 수는 많고, 정보보안을 위한 투자도 적을 터이니 어쩌면 충분히 예측할 수 있는 일이다. 
중기부의 자료를 바탕으로 중소기업에 관한 몇 가지 현황을 살펴봤다.
 

출처: 중소벤처기업부, 대·중소기업·농어업협력재단, 「2017 중소기업 기술보호 수준 실태조사」, 2018.1.

부설연구소가 있는 기업은 모두 38,810개인데, 그 중 중소기업이 37,217개로 96.0%에 이른다. 생각보다 연구소가 있는 중소기업의 비율이 높았다.

이들 기업 중 기술 유출 피해를 당한 기업이 밝힌 기술 유출 수단을 조사한 데이터도 있다.
 

출처: 중소벤처기업부, 대·중소기업·농어업협력재단, 「2017 중소기업 기술보호 수준 실태조사」, 2018.1.

가장 많이 악용된 수단이 USB 메모리 같은 휴대용 저장장치이고, 인력 스카우트, 복사, 절취, email, 스마트폰 카메라, 컴퓨터 해킹 등 순이다. 대부분이 정보보안의 영역에 포함된다. 중기부에서 주로 담당하는 중소기업의 산업보안은 적용되는 법과 규제가 다를 뿐 중요 정보자산을 보호하기 위한 보안대책은 정보보안의 그것과 크게 다르지 않다는 점이 눈에 띈다. 따라서 산업기술과 영업비밀, 서비스 컨텐츠, 고객 정보 등 중소기업이 보유한 중요 정보자산을 보호하기 위해서 정보보안이 기여할 바가 충분히 있어 보인다.

이번 울산에서 만난 지역 보안기업 담당자의 말이 인상적이었다. 자신들은 과학기술정보통신부(과기정통부)에서 제공하는 것이든 중기부에서 제공하는 것이든 가리지 않고 지역 중소기업에 필요한 정보보안 솔루션을 소개한다는 것이다. KISA에서 진행하는 지역 정보보호컨설팅을 담당하면서 한국산업기술보호협회(산보협)에서 중소기업에 무료로 제공하는 “중소기업 기술지킴서비스"도 소개한다고 한다. 홈페이지를 찾아봤더니 보안관제 서비스와 내부정보유출방지 서비스, 악성코드·랜섬웨어 탐지서비스를 제공하고 있었다. 중기부의 후원으로 산보협이 중소기업에 정보보안 서비스를 제공하는 셈이다.

그런데도 중소기업들의 반응은 시원치 않다고 한다. 사실 중소기업이 보안 문제가 아니라 하더라도 자금, 기술, 영업, 시장에서의 경쟁 등 당장 사업을 영위하기 위해 넘어야 할 어려움들이 많기 때문이다. 어느 기업이나 그렇듯 낯선 기관이나 관계가 없던 정보보안기업에서 연락이 왔을 때의 경계심 또한 있는 것으로 보인다. 기술 유출 등 자신이나 주위에서 피해를 입는 기업들 정도가 관심을 보이는 듯하다. 

그래서 주무부처로서 평소 중소기업과 긴밀하게 소통하고 지원하는 중기부의 역할이 중요하다. 그 동안 과기정통부에서 축적한 정보보안 가이드, 솔루션, 지식과 경험이 중기부의 일상적인 중소기업 지원 통로를 통해 필요한 중소기업에 전달된다면 정보보안 문제로 인한 중소기업의 피해를 줄이는 데 실질적인 도움이 되지 않을까 싶다. 과기정통부와 중기부의 적극적인 협업이 필요한 대목이다.
 
요즘 음악 프로그램에서 다양한 장르들, 신구세대들의 ‘콜라보'를 보게 된다. 각 분야의 탁월한 연주자들이 협력하여 하나의 노래를 완성하기도 하고, 국악 악기와 서양 악기가 협연하기도 한다. 잘 어우러진 음악은 아름답다. 중소기업의 정보자산을 보호하기 위해 과기정통부와 중기부의 ‘콜라보’가 적극적이고 전면적으로 이뤄지는 아름다운 모습이 아름다운 결과도 내지 않을까 싶다.

*강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 개인정보보호 및 정보보호 컨설팅과 교육 사업을 하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
 

X