2001년 주요 민간부문 정보보호 실태조사
Information Security Efforts By Selected Private Sectors : As for year 2001
박영우(한국정보보호진흥원 정책연구팀장) 외 1명
2001.12.31

1. 제목
2001년 주요 민간부문 정보보호 실태조사

2. 연구의 목적 및 중요성
최근 인터넷이나 네트워크 등 정보통신 기술이 발달함에 따라, 우리 사회에서의 이러한 기술에 대한 활용도 및 의존도가 매우 높아지고 있다. 또한, 동시에 해킹이나 컴퓨터 바이러스 등 각종 재해에 노출될 위험성도 커지고 있어, 정보통신시스템이 구축되어 있는 기업이나 기관 등에 대한 기반 보호 정책이 요구되고 있다. 그러나, 현재 민간기업 및 기관의 정보보호 현황을 나타내는 객관적인 자료는 부족한 실정이다.
따라서, 본 조사는 정보보호가 중요시되고 있는 민간부문 내 기업이나 기관을 대상으로 정보보호실태를 파악하여 각 기업 및 기관의 정보보호 수준을 측정하고 각 산업별로 비교·분석함으로써 향후 민간부문의 정보보호 정책수립에 활용하려는 데 그 목적이 있다.

3. 연구의 내용 및 범위
○ 정보통신시스템 구축현황
○ 정보보호정책 수립현황
○ 정보보호인력 및 조직현황
○ 정보통신시스템 접근통제 및 관리
○ 재해현황 및 대응방안 수립현황
○ 일반보안관리 현황
○ 기타 정보보호관리체계인증제도 인지도 및 정보보보호관련 업무 수행시 문제점 및 필요사항 등

4. 연구결과

【 정보통신 시스템 구축 및 운용관리 현황 】
정보통신시스템 구축현황을 보면, 조사대상업체 모두 PC를 활용하고 있으며, 인터넷 회선은 77%의 기업이, 인터넷 서버는 75%의 기업이 활용하는 것으로 나타났다.
전체 조사대상 업체 중 2001년 기준 정보통신시스템 투자비 비중은 총매출액 대비로는 평균 4.1%, 정보통신시스템 투자비 대비로는 평균 6.2% 투자한 것으로 나타났다.
현재 정보보호시스템을 구축하여 운용하는 업체는 94%인데, 구축한 정보보호시스템의 종류는 주로 바이러스 백신(89.2%)이었으며, 다음으로는 침입차단 시스템이 44.2%인 것으로 나타나 바이러스 백신 이외의 정보보호시스템 구축은 크게 활성화되어 있지 않은 것으로 나타났다.
정보통신시스템에 대한 접근통제 및 운용관리현황을 살펴보면, '핵심 사업정보/소프트웨어/데이터를 정기적으로 백업'은 88.0%의 업체에서 수행하고 있고, '모든 사용자가 개인활동시 고유 ID를 사용'하도록 하는 기업은 77.4%에 이르는 것으로 나타났다.
한편, 정보통신시스템의 운용관리를 아웃소싱하는 업체는 26.8%이며, 아웃소싱하는 업체의 대부분(82.8%)은 '조직 구성원 및 정보보호 시설을 취급하는 제 3자 모두 비밀 유지 준수를 요구'하는 것으로 나타났다.

【 정보보호정책 수립 및 조직운영에 관한 사항】
현재 기업내 자체 정보보호정책을 수립하고 있는 업체는 22.8%에 이르며, 현재 문서화 되어있지는 않지만 정책이 수립되어 있는 경우는 17.8%에 이르는 것으로 나타났다. 이러한 정책의 운영 내용은 주로 수립된 정책을 '직원이 인지하고 숙지할 수 있도록 정보를 제공'하여 정책이 실제로 수행될 수 있도록 하는 업체가 63.1%로 가장 많은 것으로 나타났다.
정보보호를 위한 조직 운용은 '유관 부서에서 정보보호 업무를 병행'하는 업체가 43.4%로 가장 많았으며, '정보보호를 위한 '전담조직을 구성'하고 있는 업체는 8.4%에 불과한 것으로 나타났다. 이러한 정보보호 조직 및 인력은 55.7%의 업체가 '보안책임자/담당자를 임명'하여 운용하고 있으며, '조직차원에서 서버/PC 등 정보통신시스템을 주기적으로 점검'하는 업체가 44.6%에 이르는 것으로 나타났다.

【 정보통신 관련 재해 현황 】
각종 정보통신 관련 재해에 대비한 정보보호 교육 및 훈련 실시 현황을 보면, 37.6%의 업체가 '자체 정보보호 교육'을 실시했으며, '정보보호에 대한 지침작성 및 배포'를 시행한 업체는 29.4%', '정보보호 업무관련 종사자 대상 전문 정보보호교육'을 시행한 업체는 27.6%에 이르는 것으로 나타났다.
또, 재해대비 각 업체의 물리적인 정보보호 현황을 보면, 조사대상업체의 56.0%가 '물리적 정보보호시설 담당 관리자를 지정'하고 있으며, 53.0%는 '각종 백업 미디어를 안전 장소에 보관'하는 것으로 나타났다.
또, 재해대비 각 업체의 인적인 정보보호 현황을 보면, 조사대상업체의 63.0%가 '직원인사이동/퇴직시 계정삭제 등 정보보호 사후조치'를 취하고 있으며, 35.6%는 '직무 명세서에 정보보호 역할 및 책임을 정의' 하고 있는 것으로 나타났다.
정보통신관련 재해 현황을 보면, 정보통신시스템이 다운된 경험이 있는 업체는 69.4%에 이르는 것으로 나타났는데, 그 원인은 주로 '인터넷 접속회선 이상'이나 '하드웨어 이상' 등 정보통신기기 자체의 문제인 것으로 나타났다. 대응책으로는 업체의 88.0%가 '핵심 소프트웨어 및 정보를 정기적으로 백업'하는 것으로 나타났다.

【 해킹 및 컴퓨터 바이러스 피해에 관한 사항 】
해킹사고를 경험한 업체는 전체 조사 대상의 18.0%에 이르는 것으로 나타났고, 이에 대한 대응책으로는 49.4%의 업체가 '사고 발생시 적절한 관리절차에 따른 신속한 보고'를 할 수 있도록 하고 있으며, 38.0%의 기업은 '주기적으로 취약성 점검을 실시'하며, 37.2%의 기업은 '로그파일 감시 및 자동탐지 소프트웨어를 설치 등 내부자료 유출에 대비한 방안을 마련'하고 있는 것으로 나타났다.
컴퓨터 바이러스로 인한 피해를 경험한 업체는 전체 조사대상업체의 70.6%로 주로 전자우편을 통해 감염되어 시스템 및 네트웍 속도가 저하되거나 저장자료가 손실된 경우가 많은 것으로 나타났다. 이에 대한 대응책으로는 주로 '전사/기관 차원에서 백신을 구입/설치'를 시행하고 있는 것으로 나타났다.

【 정보보호관리체계 인증제도 】
정보보안 컨설팅을 시행한 적이 있는 업체는 전체 조사대상의 19.8%에 이르는 것으로 나타났다. 정보보호관리체계 인증제도에 대해 잘알고 있는 업체는 전체 조사 대상업체의 16.4%에 이르며, 잘 모르지만 들어본 적은 있는 업체는 56.8%에 이르는 것으로 나타났다. 그리고 인증제도에 대해 잘 알고 있는 업체일수록 향후 인증제도를 시행할 의향이 높은 것으로 나타났다.

【 정보보호 수행시 문제점 및 필요한 사항 】
정보보호 관련 업무를 수행할 때 문제점으로는, '소요 비용이 많다는 의견'과 '정보보호 관리에 필요한 노하우가 부족'하다는 의견이 주로 지적되었다. 정보보호 관련 업무를 수행하기 위해서 필요한 사항으로는, '정부차원의 정보보호에 관한 정확한 기준이나 지침 공지'를 41.4%로 가장 많이 지적했으며, '정부차원의 정보보호시스템 구축에 필요한 비용지원'은 39.0%, '인터넷 등을 통한 정보보호에 필요한 정보 수시 제공'은 35.2%, '일반 기업 차원의 정보보호 시스템 구축 및 관리 방법에 대한 홍보'는35.0%, '직원대상 정보보호 교육 및 훈련 제공'은 32.6%의 비중으로 지적했다.

5. 기대 효과 및 활용 방안
○ 주요 민간 부문내 기업·기관의 정보보호에 대한 인식과 실제 정보보호실태를 파악
○ 향후 민간 부문의 정보보호에 대한 기초 정책 자료로 활용