개인정보 유출, 디도스 공격, 랜섬웨어 감염… 코로나19로 인해 비대면시대가 가속화되면서 해킹 피해 소식도 늘고 있는 추세입니다. 기업 입장에서는 하루 아침에 소중한 기업정보, 고객정보가 유출되면서 큰 손실을 입게 되는데요. 특히, 중소기업의 경우는 사이버공격에 쉽게 노출되어 있고, 대응도 어려운 것이 현실입니다. 

이러한 중소기업들의 정보보호의 어려움을 돕고자 CJ올리브네트웍스는 작년 8월 ‘CJ화이트햇’을 시작했습니다. 

CJ화이트햇 1기는 사회적기여도, 비즈니스 지속가능성, 정보보호 시급성, 컨설팅 효과성을 기준으로 총 6개기업을 선발하여, 기업별 정보보호 현황 진단을 통해 모의 해킹, 개인정보 컴플라이언스 등 맞춤형 컨설팅 및 교육 서비스를 제공하였습니다. 

과연 CJ화이트햇 1기는 어떤 결과가 있었을까요? 

그 결과를 많은 분들에게 공유하고, 중소기업 정보보호에 대한 사회적 관심과 이해도를 높이고자 2021년 4월 13일(화), 오후2시 ‘CJ화이트햇 1기 결과공유회’ 웨비나 행사를 개최하게 되었습니다.

 

 

이번 행사는 이벤터스 웨비나와 CJ올리브네트웍스 유튜브 채널에서 동시 송출되었는데요. 지금부터 웨비나에 참석하지 못한 분들도 행사 현장을 생생하게 느끼실 수 있도록 핵심만 콕콕 집어서 소개해 드리도록 하겠습니다. 

이번 결과공유회는 중소기업 정보보호에 관심이 있는 대기업, 중소기업, 공공기관, 대학교 관계자 230명이 온/오프라인으로 함께 했으며, 1부 결과 발표 및 강연, 2부 패널토의 및 수료식으로 나눠서 2시간 동안 진행되었습니다.

 

첫번째 발표는 CJ올리브네트웍스 유아영 정보보호센터장님이 ‘CJ의 정보보안’이라는 제목으로 해주셨습니다. 우선 CJ그룹과 CJ올리브네트웍스의 비즈니스에 대해 전반적으로 설명해 주셨고, 비즈니스 고객 정보들을 안전하게 보호하고 관리하고 있는 CJ정보보호센터의 역할을 소개해주셨습니다.                        

CJ정보보호센터는 CJ그룹 보안 거버넌스를 구축·운영하고 고객들에게 정보보호 종합 서비스를 제공하는 전문가 집단으로서, 대내외 정보보호 리스크를 CJ계열사에 전체적으로 공유하고, 공동 대응하는 시스템을 갖추고 있다는 점을 다른 그룹사와의 차별점이라고 강조했습니다. 

그리고 CJ올리브네트웍스가 제공하고 있는 4가지 정보보호 서비스에 대하여 소개해 주셨습니다. 

①클라우드 보안서비스: Public Cloud 환경을 안전하게 보호하기 위한 정보보호 컴플라이언스, 해킹 방지 및 대응, 보안 설정과 관제 서비스 

②침해 예방 및 대응 (모의해킹): 전문 화이트해커 투입하여 IT시스템 및 인프라의 취약성 진단 및 조치, 악성코드 및 침해사고 발행 징후 24시간 모니터링하고 분석/대응 

③융합 보안: 보안 구역별 출입 통제, 지능형 영상감시 시스템 구축과 유지보수, 관제 서비스 제공 

④Industrial IoT보안: 제조시설, 물류센터, 유통매장 등에 대한 보안 진단 및 컨설팅을 통해 생산·가동 중단 리스크 제거하고 최적의 보안솔루션 제안

권정현 부장님은 CJ화이트햇 1기 결과 중 개인정보 컴플라이언스 컨설팅 결과와 시사점에 대해 발표해 주셨습니다. 

우선 CJ화이트햇을 시작하게 된 배경과 선발 과정, 그리고 6개의 1기 선발 기업을 소개해 주셨습니다. 

그리고 선발 기업에게 제공했던 모의해킹(웹, 앱, 서버), 개인정보 컴플라이언스, 임직원 대상 정보보호교육 등 맞춤형 컨설팅 및 교육서비스를 설명해 주셨습니다. 

 

개인정보 컴플라이언스 컨설팅 결과에 대해서는 웹사이트 상의 개인정보처리방침 게시, 개인정보 수집 동의, 광고성 정보 수집 동의 등 대체적으로 잘 준수되고 있으나, 개인정보보호를 위한 내부 관리체계 및 내부 시스템 환경 보안 측면에서는 개선이 필요하다는 의견을 주셨습니다. 

또한 중소기업들이 보통 직면한 문제가 문제인지 스스로 인지하기 어렵고, 개선할 수 있는 사람, 역량, 예산이 절대적으로 부족하기 때문에 국차차원에서의 지원이 필요하다고 말씀하셨습니다. 필요한 지원으로는 최신 개정 사항이 반영된 기업용 내부관리계획 샘플 제공, 문서 암호와(DRM)라이선스 지원, 비인가된 P2P, 웹하드, 공개된 무선망 등 공유 설정 차단을 위한 Agent형태의 간편 툴 제작/배포, 고유식별정보 취급 기업의 경우 인터넷 홈페이지 원격 온라인 점검 등 제안하였습니다. 

이어서 클라우드 보안파트 박주형 과장님이 모의해킹 및 시스템 진단 결과와 2기 모집 안내를 해주셨습니다. 

모의해킹은 OWASP 등 21개 항목을 기반으로 진행되었으며 시스템 권한 및 서비스 관리자 권한 획득, 금액 변호 등 Critical한 취약점이 다수 발견되었다고 말씀 하셨습니다. 그리고 71개 항목 기반 시스템 취약점 점검 결과 계정관리, 접근제어 등 다수의 설정이 없거나 Default 설정 상태를 다수 발견할 수 있었고, 안전한 시스템 개발 및 인프라 운영을 위한 보안 기준 및 매뉴얼이 부재한 상태였다고 말씀 하셨습니다. 

대기업은 보통 사전 보안성 검토나 정기 점검 제도를 통해서 취약점들을 지속적으로 제거해 나가는데, 중소기업은 그런 활동을 하고 있지 못하고 있었기 때문에 취약점이 다수 발견되었고, 이를 개선하기 위해서는 정보보호에 대한 경영진의 의지와 지원과 함께 정보보호 전문인력을 영입하거나 기존 인력에게 정보보안 역할 부여하고 역량강화를 위해 노력이 필요하다고 의견 주셨습니다. 

그리고 CJ화이트햇 1기 참가기업의 피드백을 소개해 주셨습니다. 만족도가 5점 만점에 5점을 달성했다고 하는데요. 앞으로도 중소기업들에게 유익한 프로그램으로 지속되기를 기대해 봅니다. 

3. 중소기업 정보보안이 그 어느때보다 중요해지는 이유_고려대학교 정보보호대학원 김승주 교수 

세번째 발표는 전문가 특강이 진행되었습니다. 바로 고려대학교 정보보호대학원 김승주 교수님의 특강이었는데요. ‘중소기업 정보보안이 그 어느때보다 중요해지는 이유’라는 주제로 중소기업들이 꼭 알아두어야 할 사이버보안 트렌드에 대해서 설명해 주셨습니다. 

사이버 보안 문제는 인터넷과 연결된 기계 수가 늘어나고 코로나로 인해 재택근무가 활성화 되면서 가속화 되고 있다고 설명해 주셨습니다. 그리고 국내뿐 만 아니라 해외에서도 보안 취약점 문제는 심각하며 기업이 사업을 영위해 가는데 직접적인 타격을 줄 수 있을 정도로 영향력이 있다고 말씀 하셨습니다. 

그렇기 때문에 중소기업이 자금이나 인력이 부족하더라도 사이버 보안은 반드시 지켜야 한다고 강조하셨습니다. 현재 우리나라는 미국, 유럽에 비해 느슨한 보안 처벌(Positive) 규정을 적용하고 있지만 점차 강화될 것이라고 전망했습니다. 

해킹 피해를 입었던 2개 기업의 사례를 말씀해 주셨는데요. 바로 Zoom과 PayPal입니다. Zoom의 경우 코로나19로 인해 사용자가 많아지면 해킹의 피해를 입게 되었고, 이로 인해 사용자들에게 고소를 당하고 피해보상을 하는데 까지 이르게 됩니다. 그리고 PayPal의 경우 2019년 기준 한해만 보안 피해를 입은 사용자에게 10억9천2백만 달러를 보상하였고, 이 금액은 회사 연간 매출의 0.15%를 차지하는 수준이었습니다. 하지만 미국 기업들의 경우 스타트업 때부터 이런 Negative 규정에 익숙하기 때문에 면역력을 키워왔고, 보안 체계가 잡혀 있다고 설명해 주셨습니다. 

그 다음 중소기업들에게 사이버보안을 위해 필요한 4가지에 대해 설명해 주셨습니다. 

① 인식 전환

② 내부자에 의한 보안위협 대비 철저

③ 보안 내재화 

④ 클라우드보안 

해외는 정보보호라는 단어보다는 사이버 보안을 주로 쓰고 있는데, 이는 사이버와 연결된 모든 것을 보호하겠다는 것으로 보안의 적용범위가 확대되고 있다고 합니다. 스마트TV, 자동차, 의료기기, 비행기, 인공지능 스피커, 디지털카메라까지 해킹에 위협이 있고, 미국의 경우 군대에 납품되는 무기, 드론, 잠수함까지도 보안테스트가 필수라고 합니다. 2020년부터 유럽에 수입되는 차량은 보안 테스트가 필수이며, 2030년까지 항공기 및 공항의 모든 시설도 모두 보안을 적용하도록 한다고 합니다. 

그리고 보안 내재화에 대해서는 특히 IoT기기의 경우 업데이트가 어렵기 때문에 제품 설계부터 배포까지 전 과정에서 보안을 적용하여 만드는 것이 오히려 비용을 줄일 수 있는 방법이라고 말씀 하셨습니다. 예를 들어 미국 FDA에서는 의료 기기가 해킹에 취약하기 때문에 보안 내재화 필수로 하는 규정이 있다고 합니다. 

마지막으로 클라우드 보안에 대해 강조하셨는데요. 요즘 중소기업들이 클라우드를 많이 사용하고 있는데, 보안 취약점이 많이 나오는 상황이기 때문에 클라우드를 잘 쓰는 노력이 필요하다고 당부하셨습니다. 

발표자 4분을 모두 모시고, 웨비나 참석자 분들이 행사 중에 실시간으로 올려주신 질문에 대해 답변을 드리는 시간을 가졌습니다. 많은 분들이 질문을 올려 주셨고, 그 중에서 6개의 질문은 현장에서 나머지 질문들은 이메일로 답변 드렸습니다. 

2부에서는 민·관·학 정보보호 전문가들과 스타트업 대표가 함께 40분간 패널토의를 했습니다. 

패널토의의 사회는 보안뉴스 권준국장님이 진행해 주셨고요. 패널로는 한국인터넷진흥원 이중구 정보보호지원센터장님, CJ화이트햇 1기 공공공간 신윤예 대표님, 고려대학교 정보보호대학원 김승주 교수님, CJ올리브네트웍스 유아영 정보보호센터장님이 함께했습니다. 

이번 패널 토의는 중소기업 정보보호 실태를 파악하고 고충과 문제점에 대해 살펴본 뒤, 기술적 관리적 측면에서의 정보보호 역량강화 방안과 정부의 지원은 무엇이 있는지, CJ화이트햇 참여 후 어떤 변화가 있었는지에 대해 이야기 나눴습니다. 

패널 별로 말씀 하신 주요 내용을 소개해 드립니다. 

“ CJ화이트햇을 지원한 당시 IT서비스를 오픈한 지 1년 이내였고, 빠르게 시장에 진입하고 테스트 해보는 단계였기 때문에 정보보호 관리측면에서는 주먹구구식이었습니다. 그러던 중 서버 키가 노출된 사고가 있었고, 여러 곳에서 몇 천만원이 결제가 되는 상황을 경험하면서 위험함을 느꼈습니다. 그래서 CJ화이트햇을 통해 배울 수 있는 기회라고 생각해서 지원하였고, 컨설팅을 통해 주신 조치가이드를 가지고 계속 보완해 가는 과정 중에 있습니다. 정말 많이 배웠습니다.”

“이번 컨설팅을 통해 모든 팀원들이 정보보호처리방침에 대해 같이 인지하고 중요성을 각인하는 효과가 있었고, 앞으로 기업이 Scale-up 하는 데에 꼭 필요한 과정이었다고 생각합니다. 앞으로 고객들에게 좀 더 안전한 서비스를 제공하고 싶습니다.”

“CJ화이트햇 컨설팅을 하면서 정보보호에 대한 사람과 기준이 부재한 경우들을 많이 보았습니다. 하지만 회사 내부에 IT개발자가 있는 경우는 점검 후에 조치가이드를 드렸을 때 잘 이해를 하셨고, ‘아직 가야할 길이 멀다’라는 것을 깨닫게 되신 것이 의미 있었다고 생각합니다. 문제를 알아야 개선할 의지가 생기기 때문입니다.”

“과거에 비해서 보안리스크가 중요해 지고 있습니다. 보안을 소홀히 해서 회사가 문을 닫기도 하고, 심각한 재무적 손실을 얻게 되기도 합니다.”

“보안은 Product가 아니라 Process입니다. 이번에 CJ화이트햇 컨설팅 후에 조치를 하더라도 시간이 지나면 새로운 취약점이 나올 겁니다. 이번에 첫걸음을 떼셨다고 생각하시고, 앞으로도 이 사이클을 계속 돌리는 노력을 해주시길 바랍니다.”

“지역 중소기업의 경우 정보보호 상황이 더 열악합니다. ‘無인력, 無예산, 無관심’ 이 3가지가 부족하다고 생각합니다.”

“최근 발표된 정보보호 실태조사를 보면 가장 큰 보안 위협은 랜섬웨어 60%, 그 다음으로 악성코드, 해킹, 디도스 순으로 조사되었습니다. KISA는 작년에 775개의 중소기업들에게 보안컨설팅과 솔루션을 지원했고, 올해는 1,300개 기업을 지원할 예정입니다.”

“전국에 10개의 지역정보보호지원센터를 운영 중에 있습니다. 기업 현장 컨설팅 외에도 재직자들을 위한 교육 프로그램, 세미나 등이 있습니다. 올해에는 중소기업을 2개의 성장 단계로 나눠서 클라우드 보안서비스를 지원하고자 합니다. 35억의 예산으로 700개 기업 지원 예정입니다.”

“여력이 없어서 사이버보안을 못하고 있다는 것에는 동의가 되지 않습니다. 예를 들어 의료기기가 오작동을 해서 사람을 다쳤을 때 여력이 없다고 면피할 수 없는 것처럼 시큐리티가 충족되지 않으면, 시장에서 처벌받을 각오를 해야합니다.”

“이번에 CJ화이트햇에 참여 기업은 단편적으로 보안수준을 올리는 것이 아닌 체질 개선을 하는 적극적인 마인드를 가졌으면 좋겠습니다.”

“랜섬웨어든 해킹이든 기업은 그 위험을 관리할 대책을 가지고 있는가가 중요하다고 생각합니다. 그리고 어떤 보안 솔루션을 쓰는가에 앞서서 내가 무엇을 보호하고 백업해야 하는지 알아야 합니다. 기업의 디지털 데이터를 주기적으로 정리해서 자료의 중요도에 따라 분류를 해보시길 바랍니다.”

행사의 마지막 순서는 CJ화이트햇 1기 참가기업 수료식과 컨설턴트 시상식이 있었습니다. 작년 8월부터 올해 3월까지 8개월간 중소기업 역량강화를 위해 함께 애써 주신 기업과 컨설팅에 참여한 CJ올리브네트웍스 임직들이 함께 서로의 수고를 격려하며 축하하는 자리를 가졌습니다. 

 

지금까지 CJ화이트햇 1기 결과공유회를 전체적으로 쭉 소개해 드렸는데요. 행사에 참석한 듯한 생생한 현장감 느껴지셨나요? 혹시 아쉬운 분들을 위해 이번 웨비나 행사를 다시 보실 수 있는 링크를 공유 드립니다. 

이제 CJ화이트햇 1기를 마무리하고 새로운 2기를 시작합니다. 4월 13일부터 4월 30일까지 CJ화이트햇 2기 참가기업 모집이 진행 중에 있는데요. 

정보보호 역량강화에 열정이 있는 중소기업 분들의 많은 관심과 응모 부탁드리겠습니다. 

CJ올리브네트웍스의 CSV사업인 CJ화이트햇! 중소기업의 건강한 정보보호 생태계가 조성되는 그날까지, 파트너들과 협력하여 멋지게 발전시켜 나가겠습니다. 

앞으로도 많은 관심과 응원 부탁드려요.

*해당 콘텐츠는 저작권법에 의하여 보호 받는 저작물로 CJ올리브네트웍스에 저작권이 있습니다. 

*해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.