[3월 기획] 스마트팩토리 중요정보 유출 방지 대비책은?
상태바
[3월 기획] 스마트팩토리 중요정보 유출 방지 대비책은?
  • 신동훈 기자
  • 승인 2018.03.19 09:50
  • 댓글 0
이 기사를 공유합니다

대규모 자본과 인력 투입돼 시도되는 사이버공격⋯철저한 대비 필요

[CCTV뉴스=신동훈 기자] 스마트팩토리를 구현하기 위해 기업의 중요정보를 활용하기에 앞서 보안위협에 대해 먼저 충분히 인지해야 하며, 스마트팩토리에 특성에 맞춰 중요정보 유출 방지를 위한 방안을 마련해야 한다.

KISA에서는 ‘스마트공장 중요정보 유출방지 가이드’를 통해 보안위협을 분석하고 중요정보 유출 방지를 위한 관리체계 수립/운영 및 보안감사에 필요한 세부사항을 제시했고 스마트공장 추진단에서는 ‘스마트공장 최소보안가이드’를 통해 스마트팩토리 수준에 맞는 적절한 정보보안대책에 대해 제시했다. 스마트팩토리 구현 전 기업에서는 보안을 위해 어떤 대비책을 마련해야 하는지 살펴보도록 하자.

■ 중요정보 보호를 위한 조직 운영과 정책 수립

가장 먼저, 중요정보를 관리하는 전담 정보 보호 조직을 구성해야 한다. 보안규정을 통해 책임과 권한을 명확히 부여하고 중요정보 보호 정책을 비롯한 전반적인 조직 정책을 수립해야 한다.

스마트팩토리에서 생성되는 제품의 설계도, 특허 기술 등 중요정보를 보호하기 위한 실무조직은 정보보호 최고책임자와 그의 임무를 위임 받아 업무를 수행하는 관리자, 조직에서 실무를 담당하는 부서별 중요정보 보호 담당자 등으로 구성될 수 있다. 더불어 기업의 중요정보 보호 전반에 걸친 사항들을 검토하고 결정할 수 있도록 정보보호위원회를 두도록 권고한다.

기업은 중요정보 보호 업무를 효율적으로 총괄·관리할 수 있도록 정보보호 최고 책임자를 임원급에서 지정해야 한다. 그리고 인사발령 등의 공식적인 지정 절차를 거쳐 중요정보 보호에 대한 책임과 역할을 명확히 수행할 수 있도록 하는 것이 바람직하다. 또한, 기업은 정보보호 최고 책임자의 관리 업무를 실무적으로 이행할 수 있도록 중요정보 관리자와 중요정보 보호 담당자의 책임과 역할을 구체적으로 정의하여야 하며 이를 직무기술서 등의 형태로 문서화하는 것이 중요하다.

조직 내 KPI(Key Performance Indicator, 핵심성과지표), MBO(Management By Objectives, 목표관리), 인사평가와 같은 평가체계 내에 중요정보 보호 활동의 책임과 역할을 평가할 수 있는 항목을 포함해 주기적으로 정보보호 최고 책임자와 정보보호 관련 담당자의 활동을 평가하도록 해야 한다.

특히 정보보호 업무를 전담/총괄하는 정보보호 최고책임자와 개인정보 보호 업무를 전담/총괄하는 개인정보 보호책임자를 지정, 명확하게 업무를 분리해 진행하도록 한다.

중요정보 정보보호 정책은 CEO의 승인을 받아, 모든 임직원 및 관련자에게 배포하고 관련자는 해당 정책을 정확히 이해해야 한다. 스마트팩토리에서 지켜야 하는 정보보호와 개인정보보호 사항을 토대로 정보보호 및 개인정보보호 정책을 수립, 이행하고 이행한 결과를 검토해 현장에서 문제점을 파악한 후 수정 및 보완방안을 마련해야 한다.

이처럼, 현재와 미래 환경에 적합한 정보보호를 실천할 수 있도록 진화하는 절차적 순환시스템을 정보보호 관리체계(ISMS, Information Security Management System)이라 한다.

사후관리도 중요하다. 체계를 운영하는 과정에서 상시적인 모니터링을 수행하고 정기 내부감사를 통해 정책 준수사항을 확인한다. 이를 통해 ISMS를 재검토하고 지속적으로 개선해 나가야 한다.

■ 내부자 유출 방지 등을 위한 인적 보안관리 강화

중요정보 유출 사고 대부분은 내부 직원 혹은 협력업체 직원을 통해 발생한다. 실제로 국정원 산업기밀보호센터의 해외 기술유출 사건 자료를 분석한 결과, 전·현직 직원에 의한 기술 유출이 80%를 차지하고 있으며, 협력업체에 의한 기술유출도 7%를 차지하고 있다. 특히 내부 직원이나 협력업체 직원의 경우, 중요정보가 가지고 있는 가치를 잘 알고 있고, 해당 정보에 대한 접근권한을 가지고 있는 경우가 많으므로 보다 손쉽게 정보 유출이 가능해진다. 그러므로 내부 직원 및 협력업체 등을 대상으로 보안의식을 함양시키고 인적보안을 강화하는 것은 매우 중요한 일이다.

정보보호 최고책임자는 임직원 및 협력사 직원에게 정기적인 정보보호 교육을 통해 절차와 규정을 준수하는 정보보호 인식을 높일 수 있도록 해야 한다. 이를 통해 개인의 정보보호 의식을 계속 환기시키는 것. ‘정보보호 및 개인정보보호의 날’과 같은 이벤트 실시, 리플렛 배너 등 정보보호 홍보물 제작, 팝업창, 직원게시판, 이메일 등을 통해 수시로 정보보호 메시지 안내, 정보보호 관련 정기교육 진행 등이 여기에 포함된다.

전체 기사를 보시려면 로그인 필요

로그인 또는 회원가입을 해주세요. (회원만 열람가능)

로그인 회원가입


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.