창업기업을 위한 정보보호 가이드라인
(Security Guide for Start-up)
1. 배경
2017년 초 발생한 숙박시설 관련 업체 Y사의 고객정보 유출사건으로 스타트업(창업초기기업) 및 중소기업의 정보보호현황에 적신호가 커졌다.
Y사 개인정보 유출사고는 유사규모 기업들의 정보보호 및 개인정보보호의 현황이 적나라하게 드러나는 계기가 되었다.
특히 Y사의 대규모 개인정보유출사고의 과정은 ‘SQL인젝션’과 ‘세션 하이재킹’이라는 해킹 공격을 사용했으며, 이 두가지 공격은 웹에서 가장 빈번하게 일어나는 공격 방식 중 하나로 알려져 있다.
이처럼 스타트업 및 중소기업을 대상으로 발생하는 해킹 또는 유출사고의 경우 ‘지능형 지속 공격(APT)’과 같이 공격자의 고도화된 공격 방법에 의한 불가피한 사건이라기 보다는 해당업체가 피해를 사전에 막기 위한 기본적인 보호조치들을 제대로 하지 않은것이 원인이었다.
스타트업의 경우, 창업을 위한 준비 단계에서 정보보호에 대한 투자보다는 사업 홍보를 위한 광고에 더 많은 비용을 투자할 것이다.
그래서 해당 기업들은 정보보호 및 개인정보보호에 대한 중요성 및 인식이 부족한 실정이다.
최근 정보보호실태조사에 따르면, 10인 미만의 기업 10곳 중, 6곳은 IT예산에 정보보호 예산 자체가 없으며 이와 같이 스타트업 이나 중소기업들의 정보보호 수준은 현저히 낮은 편이다.
정보보호 및 개인정보보호는 이제 특정 개인, 특정기업의 문제가 아닌 사회적, 국가적인 이슈가 되고 있으며, 해킹, 악성코드 등과 같은 피해도 증가하고 있는 상황이다.
창업단계별 준비를 통해 기업의 정보보호 수준을 높여 기업의 정보보호 및 개인정보보호에 힘써야 할 것이다.
2. 목적 및 구성
Y사의 개인정보 유출 사건을 계기로 스타트업(창업초기기업)의 정보보호에 대한 투자 확대와 정보보호 역량 강화를 위한 지적들이 대두되고 있다.
본 가이드라인은 스타트업이 창업 준비 및 운영 단계에서 개인정보보호 및 정보보호 관련 법률에서 요구되는 사항을 안내하고 사전 체계 구축을 통해 고객의 신뢰를 얻을 수 있는 기업이 될 수 있도록 돕기 위함이다.
가이드라인의 적용 대상은 창업을 준비하거나 이미 스타트업을 운영하는 사업자이다,
본 자료는 1장부터 3장까지 구성되어 있다. 제 1장에서 정보보호 필요성 인식에 대해 간략한 배경을 소개했으며,
제 2장은 스타트업의 초기단계, 회사 설립 및 신고단계, 개업과 사업을 운영하는 단계까지의 과정별로 확인해야 할 정보보호 내용을 담고 있다.
제 3장은 실제 정보보호 침해사고 사례와 이에 따른 예방법을 소개하며, 업무 담당자들이 실제로 참고할 수 있는 KISA 기술안내서 가이드 정보, 유용한 사이트 목록으로 구성되어 있다.
첨부파일 : 창업기업을 위한 정보보호 가이드라인
■ 알아두면 유용한 사이트
O KISA 보호나라 | www.boho.or.kr
- 해킹·바이러스, 개인정보 침해, 불법스팸신고에 대한 정보를 제공
O 온라인 개인정보보호 포털 | www.i-privacy.kr
- 정보통신망법 개정안내, 위치정보보호 교육, 주민등록번호 대체수단
- 업종별 개인정보보호 교육 무료 제공
O 개인정보보호 종합지원 포털 | www.privacy.go.kr
- 개인정보보호법 관련 법·제도·교육정보를 제공
O 정보보호산업진흥포털 | www.kisis.or.kr
- 정보보호산업에 대한 종합적인 지원 및 핀테크 기술지원 등을 제공
O 뉴딜코리아SNS | https://cafe.naver.com/rapid7
- ISMS-P / ISO27001 / PCI-DSS 관련 컨설팅정보 제공
- 취약점 진단 및 모의해킹 정보 제공
- 정보보호솔루션 및 기술지원 정보 제공
컨설팅 : ISMS, ISO27001 GDPR,PCI-DSS
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
070-7867-3721, ismsbok@gmail.com
댓글 없음:
댓글 쓰기