최근 공공기관, 포털, 대기업 거래처 등을 사칭한 각종 보안 사고가 터지면서 보안 문제가 기업들 사이에서 큰 이슈가 되고 있다.
얼마 전 공공기관을 사칭한 스피어피싱 악성메일이 등장한 데 이어 국내 대표 포털사이트를 사칭한 피싱 사이트까지 발견되어 보안 관리자의 가슴을 쓸어 내리게 했다. 또 국내 모 대기업이 거래처를 사칭한 이메일에 속아 240억 원에 달하는 거액을 사기 당한 사건은 이러한 불안감에 기름을 붓기에 충분했다.
빈번히 일어나고 있는 주요 기업 보안 사고 대부분은 해커가 아닌 방심한 내부자에 의해 발생했다. 조직 구성원이 무심코 메일을 열어 파일을 내려 받고, 링크된 페이지를 살펴보는 동안 기업의 중요한 정보가 줄줄 새어나간 것이다.
이렇듯 내부 직원의 보안 인식 부재로 인한 기업 기밀 유출 사고가 잇따르면서, 기업 보안을 바라보는 관점도 변화하고 있다. 미래창조과학부가 주관한 정보 보호 대토론회에서도 "(보안 위협에) IT기술을 중심으로 대응하던 것에서 벗어나 이제는 사람을 통한 정보 유출에 주목해야 한다"는 지적이 나왔다. 부실한 담벼락만큼이나 위험한 것은 아무에게나 빗장을 열어주는 주인이라는 것이다.
'지-포스트'는 '기술적·물리적 보안'에 대응되는 '관리적 보안'의 맥락에서 조직의 보안 의식을 향상시키는 데 초점을 둔 전사적 보안관리 시스템이다. 보안 훈련, 보안 교육, 보안 시험, 조직 보안 수준 관리, 개인 보안 수준 관리에 이르기까지 직원의 보안의식 함양에 필요한 다양한 모듈로 구성됐다. 개별 모듈로 구성되어 있어 불필요한 모듈은 빼고 필요한 모듈만 골라 맞춤형 보안 솔루션으로 구성할 수 있어 효율적이다. 또한, 추후에 새로운 모듈이 추가되면 간단하게 추가할 수 있는 확장성이 장점이다.
보안 훈련 모듈은 악성메일과 동일한 방식으로 위장한 훈련용 이메일을 통한 이메일 훈련, 모바일 훈련, USB 훈련, 게시판 훈련, 메신저 훈련을 지원한다. 이를 통해 실제 침해사고 발생 및 유사 상황에서 보안훈련을 통해 침해사고에 대한 대응 능력을 높여준다. 또 보안 교육 모듈과 보안 시험 모듈을 통해 기관별 맞춤관리가 가능하다.
"측정할 수 없으면 관리할 수 없다"는 말처럼 기업의 보안 수준을 측정하는 것도 중요하다. 보안 수준 관리 모듈은 개인보안수준관리와 조직보안수준관리로 나뉘며, 별개의 모듈로 취급된다.
개인보안수준관리는 개인의 보안활동 및 보안 지침 준수 여부를 실시간 모니터링한 결과를 지표에 따라 점수화하여 보안등급을 부여해 개인의 보안수준을 관리한다. 보안 교육 시행 내역 및 보안 훈련 수행 결과 등을 취합해 평가 기준을 제시하고 기준에 따른 개인별 보안수준 결과를 제공한다.
조직보안수준평가는 ISO27001, ISMS 등 시스템에 등록한 보안인증에 따라 보안인증을 시행하고 그 결과를 자동 산출하여 조직의 보안수준을 평가한다. 보안인증 시행 결과 및 이력을 조회하고 증거자료를 관리하는 것이 가능하며 통계 기능 또한 제공한다.
그로비스인포텍 관계자는 "기업 정보 보호를 위해서는 관리적, 정책적 보안 조치가 유기적으로 이루어져야 한다"며 "'지-포스트'는 보안 교육과 보안 훈련, 보안 평가까지 통합적으로 수행할 수 있어 외부 보안 훈련 대비 효율이 높다는 이점이 있다"고 설명했다.