"잇단 침해사고…상시적 정보보호 관리체계 구축해야"
SK텔레콤, KT, 롯데카드 등 굵직한 침해사고가 연이어 터져 나오는 가운데 기업의 상시적 정보보호 관리체계를 구축해야 한다는 제언이 나왔다. 한국개인정보보호책임자협의회(한국CPO협의회) 회장을 맡고 있는 염흥열 순천향대 정보보호학과 명예교수는 30일 서울 코엑스에서 개최된 과학기술정보통신부 공식 AI 주간 'AI페스타 2025' 부대 행사로 개최된 '대한민국 사이버 보안 컨퍼런스'에서 '기업의 정보보호관리체계 개선 방안'에 대해 발표했다. 염 교수는 SKT, KT, 롯데카드, SGI서울보증 등 침해사고에 대해 상세히 분석하며 개선해야 할 사항에 대해 분석했다. 우선 SKT는 ▲계정 정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 ▲침해사고 신고 지연 및 미신고 ▲자료보전 명령 위반 ▲보안 관리 미흡 ▲공급망 보안 소홀 ▲정보보호 관리(거버넌스) 체계 미흡 ▲로그기록 단기 보관 ▲자산 식별의 어려움 ▲타사 대비 정보보호 인력 및 투자 규모 부족 ▲안전조치 의무 위반 ▲개인정보 보호책임자 지정 및 업무 수행 소홀 ▲개인정보 유출통지 지연 등 미흡 사항이 꼽혔다. 롯데카드의 경우는 보안 패치 미적용, KT는 불법 초소형 기지국의 코어망 접속 등이 부족한 사항으로 지목됐다. 염 교수는 기업의 정보보호관리체계의 미흡한 점을 개선하기 위해 정보보호 거버넌스 개선과 상시적 정보보호관리체계를 구축해야 한다고 제시했다. 그는 "제일 먼저 기업이 보호해야 할 정보 자산을 식별·파악하고, 두 번째로 자산에 대한 위험을 식별·파악하고, 그 위험에 대해서 적절한 수준의 보호 대책을 수립해야 하는 것이 기본"이라며 "그 이후에는 지속적인 점검을 통해 정보보호 관리체계의 실효성을 제고해야 한다"고 강조했다. 염 교수는 이어 "구체적으로 기업에 의한 기술적, 관리적, 조직적 보호조치를 효과적으로 운영하기 위한 최고정보보호책임자(CISO), CPO의 권한을 강화해야 한다"며 "CISO와 CPO의 의무를 임명해 기업의 정보보호 및 개인정보보호 거버넌스를 재정립할 수 있어야 한다"고 역설했다. 또한 "모의 침투테스트, 독립적 보안 감사를 의무화하고 제로트러스트 보안 원칙을 적용하는 등 적극적인 보안 전략도 세워야 한다"면서 "폐쇄망에서도 강화된 인증을 적용해 수평 이동을 차단하고 기업의 보안 상태에 대한 가시성을 높여야 한다. 서버 수준에서 웹방화별 설치와 악성코드 침임입 방지를 위한 솔루션도 운영해야 한다"고 주문했다.
