보도자료

한국해킹보안협회는 건전한 정보화 사회의 발전을 위해 노력합니다.

Home > NAHS 소개 > 보도자료
제  목 | 해킹 사고와 ISMS [전자신문 Etnews 12월 12일자]
아이디 | admin
날  짜 | 2019-12-18
조  회 | 637

해킹 사고와 ISMS[데스크라인]


기업 대부분은 인증 획득에 집중한다. 건강검진을 받는 데만 집중하는 것과 같다. 인증 획득 후 지속해서 인증 당시 보안 상태를 유지하는 게 핵심이다. 기업 조직은 유기적으로 계속 변화한다. 그때마다 이에 맞는 정보보호 계획과 실행 방법이 적용돼야 한다. 인증을 받은 것만으로 정보보호 수준이 유지되는 것은 아니다.최근 국내 대형 암호화폐 거래소 업비트가 해킹을 당했다. 580억원 규모의 암호화폐가 알 수 없는 계좌로 이체됐다. 지금도 공격자는 여러 계좌로 암호화폐를 분산시키고 있다. 탈취 자금 추적이 어렵도록 분산 이체는 계속되고 있다.

가치가 급상승했을 때 증가하던 암호화폐 거래소 해킹은 한동안 소강 상태를 보였다. 해커는 다시 움직였다. 이번 표적은 보안에 가장 신경을 쓴 거래소였다.

해킹 사고 조사가 끝나봐야 알겠지만 외부에서 침투한 해커라면 짧게는 수개월에 걸쳐 취약점을 파악한 뒤 들어갔을 것으로 예상된다. 업비트는 국내 암호화폐 거래소 최초로 정보보호관리체계인증(ISMS)을 받았다. 사고 발생 후 암호화폐업계 중심으로 ISMS 인증 무용론이 고개를 들었다. ISMS를 받아도 해킹을 당한다면 굳이 인증을 받을 필요가 있겠냐는 것이다. 암호화폐 가치가 하락하면서 수익이 악화된 거래소는 과거보다 보안에 대한 관심이 줄었다.

ISMS 인증을 받는다고 해킹 위험에 노출되지 않는 것은 아니다. ISMS는 기업이 지켜야 할 최소한의 정보 보호 수준이다. ISMS는 건강검진으로 이해하면 쉽다. 매년 건강검진을 받아도 암이나 질병에 걸린다. 건강검진을 하면서 신체 상태를 파악한다. 검진은 질병이 발생할 요인을 찾아내고, 건강 증진을 위해 애쓰게 하는 과정이다.

기업의 정보보호 활동은 ISMS 인증으로 끝나지 않는다. ISMS는 시작이다. 기업이 ISMS 인증을 받으려면 보안 조직을 만들고, 자산을 관리하며, 정책을 세워야 한다. 내·외부의 인적 보안은 물론 기술적으로 인증과 권한 관리, 접근 통제, 암호화 적용 등이 이뤄져야 한다. 여기에 해킹 사고 예방과 대응, 재해 복구 대책까지 마련해야 한다. ISMS가 요구하는 보호 대책 요구 사항을 모두 만족시켜야 인증을 받을 수 있다.

그럼 ISMS조차 받지 않은 기업은 어떨까. 기업 내 정보보호 조직 구성에서 계획이 제대로 수립되기 어렵다. 정보보호 조직이 없는 기업에 보안 문화가 형성되기는 어렵기 때문이다.

2016년 법 개정으로 학부 재학생 1만명 이상, 운영 수입 1500억원 이상 대학은 반드시 ISMS를 받아야 한다. 42개 대학이 대상이다. 이 가운데 17개 대학이 ISMS 인증을 받지 않았다. 과학기술정보통신부는 인증을 받지 않은 대학에 과태료를 부과했다. 일부 대학은 인증 대신 과태료를 납부했다. 일어나지도 않을 해킹에 대비해 정보보호 조직과 계획, 기술적 조치를 하는 것보다 과태료 납부가 편하다는 인식이 팽배하다.

현실적으로 기업이나 대학 스스로 정보보호 상태를 평가하고 점검하는 데 어려움이 많다. 기업과 기관은 무엇을 어떻게 점검해야 하는지 모른다. 이미 설치한 보안 장비와 솔루션이 적절히 활용되고 있는지도 파악조차 안 된다. 과태료만 내면 된다는 안일한 생각은 조직 내부에 그대로 투영된다. 과태료를 낸 조직이 과연 정보보호에 관심이 있을지 생각하면 답이 나온다.

김인순 SW융합산업부 데스크 insoon@etnews.com

목록보기
번호 제목 작성자 등록일 조회
'정보화 산증인' 박성득 한국해킹보안협회장 [이현덕.. 관리자 2018-07-18 4455
639 21년 만에 공인인증서 폐지, 전자서명시장 초관심 [전자신문 Et.. 관리자 2020-05-22 40
638 이스트시큐리티 "中 해킹조직, 국내 기업 겨냥한 APT 공격 확대".. 관리자 2020-05-21 56
637 인테리어 플랫폼 '집꾸미기' 해킹…다크웹서 고객정보.. 관리자 2020-05-21 57
636 안랩, 공정위 사칭한 이메일 공격 발견…"정보 유출용 악성코드".. 관리자 2020-05-19 66
635 KISA, 랜섬웨어 경고 발령…오프라인 백업·점검 강조 [전자신문.. 관리자 2020-05-19 57
634 KISA, 긴급재난지원금 조회 사칭한 피싱 주의보 [전자신문 Etnew.. 관리자 2020-05-13 98
633 "포스트 코로나 시대, 사이버 공격 거세질 것" [전자신문 Etnews.. 관리자 2020-05-13 88
632 北 해킹조직 '금성121', 통일 정책 연구원 사칭해 APT.. 관리자 2020-05-12 91
631 '약한 고리' 중소기업 보안, 코로나19 사이버침해 대.. 관리자 2020-05-12 91
630 SK인포섹, 메일 서버 취약점 악용한 사이버공격 '주의보�.. 관리자 2020-04-22 179
629 구글 '미트', 코로나19 속 이용량 25배 폭증…"고급 .. 관리자 2020-04-22 165
628 FBI "정부 지원 해킹조직, 코로나19 백신 연구소 겨냥해 해킹 시.. 관리자 2020-04-20 154
627 안랩, 음란물 이용 폭로 빌미로 금전 요구하는 사이버공격 포착 .. 관리자 2020-04-20 165
626 코로나 피싱URL, 한달 만에 3만4000개…SK인포섹, 침해지표 공개.. 관리자 2020-04-14 197
625 팔로알토네트웍스 “코로나19 악용한 사이버위협 기승” [전자신.. 관리자 2020-04-14 201
12345
(사)한국해킹보안협회 | 대표자:박성득 | 사업자등록번호:104-82-10373
주소:(04195) 서울특별시 마포구 백범로 199 메트로디오빌 빌딩 1107호 대표전화.02)716-9225,9229 팩스.02)716-9265