보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | 해킹 사고와 ISMS [전자신문 Etnews 12월 12일자]
아이디 | admin
날  짜 | 2019-12-18
조  회 | 251

해킹 사고와 ISMS[데스크라인]


기업 대부분은 인증 획득에 집중한다. 건강검진을 받는 데만 집중하는 것과 같다. 인증 획득 후 지속해서 인증 당시 보안 상태를 유지하는 게 핵심이다. 기업 조직은 유기적으로 계속 변화한다. 그때마다 이에 맞는 정보보호 계획과 실행 방법이 적용돼야 한다. 인증을 받은 것만으로 정보보호 수준이 유지되는 것은 아니다.최근 국내 대형 암호화폐 거래소 업비트가 해킹을 당했다. 580억원 규모의 암호화폐가 알 수 없는 계좌로 이체됐다. 지금도 공격자는 여러 계좌로 암호화폐를 분산시키고 있다. 탈취 자금 추적이 어렵도록 분산 이체는 계속되고 있다.

가치가 급상승했을 때 증가하던 암호화폐 거래소 해킹은 한동안 소강 상태를 보였다. 해커는 다시 움직였다. 이번 표적은 보안에 가장 신경을 쓴 거래소였다.

해킹 사고 조사가 끝나봐야 알겠지만 외부에서 침투한 해커라면 짧게는 수개월에 걸쳐 취약점을 파악한 뒤 들어갔을 것으로 예상된다. 업비트는 국내 암호화폐 거래소 최초로 정보보호관리체계인증(ISMS)을 받았다. 사고 발생 후 암호화폐업계 중심으로 ISMS 인증 무용론이 고개를 들었다. ISMS를 받아도 해킹을 당한다면 굳이 인증을 받을 필요가 있겠냐는 것이다. 암호화폐 가치가 하락하면서 수익이 악화된 거래소는 과거보다 보안에 대한 관심이 줄었다.

ISMS 인증을 받는다고 해킹 위험에 노출되지 않는 것은 아니다. ISMS는 기업이 지켜야 할 최소한의 정보 보호 수준이다. ISMS는 건강검진으로 이해하면 쉽다. 매년 건강검진을 받아도 암이나 질병에 걸린다. 건강검진을 하면서 신체 상태를 파악한다. 검진은 질병이 발생할 요인을 찾아내고, 건강 증진을 위해 애쓰게 하는 과정이다.

기업의 정보보호 활동은 ISMS 인증으로 끝나지 않는다. ISMS는 시작이다. 기업이 ISMS 인증을 받으려면 보안 조직을 만들고, 자산을 관리하며, 정책을 세워야 한다. 내·외부의 인적 보안은 물론 기술적으로 인증과 권한 관리, 접근 통제, 암호화 적용 등이 이뤄져야 한다. 여기에 해킹 사고 예방과 대응, 재해 복구 대책까지 마련해야 한다. ISMS가 요구하는 보호 대책 요구 사항을 모두 만족시켜야 인증을 받을 수 있다.

그럼 ISMS조차 받지 않은 기업은 어떨까. 기업 내 정보보호 조직 구성에서 계획이 제대로 수립되기 어렵다. 정보보호 조직이 없는 기업에 보안 문화가 형성되기는 어렵기 때문이다.

2016년 법 개정으로 학부 재학생 1만명 이상, 운영 수입 1500억원 이상 대학은 반드시 ISMS를 받아야 한다. 42개 대학이 대상이다. 이 가운데 17개 대학이 ISMS 인증을 받지 않았다. 과학기술정보통신부는 인증을 받지 않은 대학에 과태료를 부과했다. 일부 대학은 인증 대신 과태료를 납부했다. 일어나지도 않을 해킹에 대비해 정보보호 조직과 계획, 기술적 조치를 하는 것보다 과태료 납부가 편하다는 인식이 팽배하다.

현실적으로 기업이나 대학 스스로 정보보호 상태를 평가하고 점검하는 데 어려움이 많다. 기업과 기관은 무엇을 어떻게 점검해야 하는지 모른다. 이미 설치한 보안 장비와 솔루션이 적절히 활용되고 있는지도 파악조차 안 된다. 과태료만 내면 된다는 안일한 생각은 조직 내부에 그대로 투영된다. 과태료를 낸 조직이 과연 정보보호에 관심이 있을지 생각하면 답이 나온다.

김인순 SW융합산업부 데스크 insoon@etnews.com

목록보기
번호 제목 작성자 등록일 조회
'정보화 산증인' 박성득 한국해킹보안협회장 [이현덕.. 관리자 2018-07-18 3798
598 한국해킹보안협회, 제14회 해킹보안세미나 개최 [전자신문 Etne.. 관리자 2019-12-23 241
해킹 사고와 ISMS [전자신문 Etnews 12월 12일자] 관리자 2019-12-18 252
596 안랩, 네트워크 고객 대상 '트러스트가드' 활용 교육 .. 관리자 2019-08-08 768
595 일본정부 韓 백색국가 제외에 보안·SW업계도 예의주시 [전자신.. 관리자 2019-08-08 732
594 김명준 ETRI 원장 "창의연구 활성화해 '국가지능화 종합연.. 관리자 2019-08-08 730
593 클라우드 해킹사고 누구 탓? 데이터관리 책임 공방 [전자신문 Et.. 관리자 2019-08-06 855
592 ISMS 미인증 대학 17곳, 내달 3000만원 과태료 [전자신문 Etnews.. 관리자 2019-07-22 886
591 대학 "과기정통부와 교육부 갈등으로 정보보호 이중규제받는 꼴".. 관리자 2019-07-22 814
590 아직도 윈도7 쓰고 계신가요 [전자신문 Etnews 7월 19일자] 관리자 2019-07-19 719
589 사이버 공격 시작은 '이메일'..."공격 차단 솔루션·.. 관리자 2019-07-19 755
588 송희경 의원 "북한 추정 해커 국회 대상 사이버 공격 자행"[전자.. 관리자 2019-07-04 837
587 '이메일 해킹 주의하세요'...만화로 보는 알기 쉬운 .. 관리자 2019-07-04 874
586 KISA, KT·LH·SH공사 IoT기기 '보안' 검증한다 [전.. 관리자 2019-06-07 1019
585 이메일·오피스 문서이어 PDF파일까지 '사이버 공격' .. 관리자 2019-06-05 1107
584 러시아어 사용 APT공격 '제브로시 그룹'...세계 상대.. 관리자 2019-06-05 1016
12345
(사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265