정보보안 패러다임의 전환

개인정보보호법이 시행된 지도 벌써 1년이 훌쩍 넘었고, 2011년 이후 금융권을 중심으로 다양한 정보보호 및 보안 관련 규제가 지속적으로 강화되고 있다. 정부는 ‘사이버 보안 강화 및 첨단 사이버 보안 산업 육성’ 계획을 수립하여 국가 차원에서 지속적으로 정보보호 관리를 강화하고 있다. 이러한 노력으로 ‘개인정보’, 혹은 ‘정보보호’, ‘보안’ 등에 대한 국민적 인식이 향상된 것이 사실이며, 각 업계에서도 정보보안에 대한 중요성을 인식하여 개인정보보호관리체계를 수립하고, 보안 담당자를 추가로 지정하는 등 다양한 정보보안 노력을 수행하고 있다.

이러한 정부와 업계의 노력에도 불구하고 3.20 사이버 테러를 비롯한 중요 정보 유출, 전산 서비스 장애와 같은 정보보안 사고는 심심찮게 일어나고 있으며 외부 해킹, 내부 정보유출 등의 기법은 나날이 그 치밀함이 더해지고 있다.

이에 따라 정보보안에 대한 사회적인 우려와 관심은 계속 증가되고 있지만 그럼에도 불구하고 조직의 정보보안에 대한 Needs 및 개선 작업은 여전히 단편적인 기술적 보안 노력이나 관련 법규 및 규제를 강화하는 방향으로만 접근되는 경향이 있다. 이러한 산발적이고 기술적 접근 위주의 정보보안 활동은 정보보안 사고 예방에 근본적인 도움을 주기 어려우며, 지속적인 조직 정보보안 수준 제고를 기대하는 것 역시 쉽지 않다. 따라서 조직의 정보보안은 전사 차원의 전략적이고 복합적인 관점에서 이루어져야 한다는 인식이 점차 고조되고 있으며, 새로운 정보보안 패러다임인 ‘전사적 정보보안 체계’(Enterprise Security Management)로의 전환이 요구되고 있다. 조직의 정보보안문제에 있어서 이러한 ‘패러다임의 전환’이 필요한 시점이다.

새로운 정보보안 패러다임으로의 전환은 주로 정보보안 담당자 및 IT 운영자들을 중심으로 전술적 차원에서 수행되었던 과거의 정보보안 활동에서, 전사적인 노력은 물론 경영진 및 이사회의 적극적인 의지를 바탕으로 조직의 정보보안 역량을 한 단계 발전시킬 수 있는 전사 차원의 정보보안 전략 실행을 의미한다. 이러한 패러다임의 전환은 기존 정보보안 체계의 폐기를 의미하는 것은 아니며, 근본적인 조직의 보안의식 전환을 통하여 수행 중인 정보보안 활동의 효과성을 극대화시키는 것을 목표로 하고 있다.

이러한 ‘전사적 정보보안 체계’로의 전환을 위해서는 조직원들이 정보보안의 중요성과 필요성을 인지하여 자발적 참여도를 향상시키는 것이 필수적이며, 이를 위하여 다음과 같은 전략적 접근을 고려하여야 할 것이다.

첫째, 최고 경영진의 강력한 의지를 바탕으로 정보보안에 대한 거버넌스 체계의 구축이 필수적이다. 조직 내에서 효과적인 정보보안 활동이 가능하기 위해서는 최고 경영진이 먼저 정보보안의 중요성을 인식하고 있어야 하며, 사고 발생 시의 금전적 손해, 평판 위험 등을 종합적으로 고려하여 전사적인 대응 체계를 마련하여야 한다. 이를 위해서는 최고 경영진과 이사회가 직접 정보보안활동을 모니터링하고, 통제할 수 있는 정보보안 조직 체계 구축 및 구성원의 역할과 책임(Role & Responsibility)을 명확히 하는 것이 선결과제일 것이다. 이후 이를 기반으로 전사 차원의 정보보안 정책과 내부통제를 점검하여 관련 법규와 규정을 정비하고 이를 준수하도록 제도화 하는 것이 필요하다.

둘째, 정보보안에 대한 전체 조직원들의 인식 전환 및 문화 함양이 필요하다. PwC에서 발행한 ‘Global State of Information Security Survey 2013’ 보고서에 따르면, 조직의 연속성 및 사고 대응 계획의 효과성에는 충분한 정보보안 훈련(Training) 및 변화관리 활동이 가장 중요한 요소인 것으로 나타났다. 정보보안은 IT 관리자 혹은 정보보안 관리자 혼자서 해결할 수 있는 문제가 아니며, 정보보안 훈련, 교육 및 인식제고를 통해 전사가 참여하는 형태의 정보보안 활동(Holistic Approach)으로써 이행되어야 한다. 따라서 조직의 모든 구성원들이 정보보안에 대한 책임과 의무가 있음을 인지하는 조직 분위기 쇄신 및 문화의 마련이 매우 중요하다. 실례로 신정부에서 행정안전부를 안전행정부로 변경한 것도 안전에 대한 중요성을 인지하자는 취지로 이해된다.

셋째, 정보보안 전략 및 체계가 비즈니스 전략 및 목표와 연계되어야 한다. 과거 정보보안 컨설팅 사례들을 되짚어보면, 수많은 조직에 도입된 정보보안 프로세스 및 시스템은 실제 업무 처리 시 효과적으로 운영되지 않는 경우가 상당수 발견된다. 이는 정보보안 활동 수행 시 조직원들이 왜 보안을 중요시하여야 하며, 이러한 정보보안 활동이 조직의 비전 및 목표 달성에 어떠한 의미를 가지며, 본인들에게 어떠한 도움이 되는지에 대하여 인식하지 못하는 데에서 기인하는 경우가 대다수이다. 이러한 경우 도입된 정보보안 프로세스 및 시스템의 효익은 100% 발현될 수 없으며, 오히려 조직의 예산을 낭비하고 생산성까지 저하시키는 결과를 초래하게 된다. 조직원들의 공감대를 형성하여 자발적인 참여가 가능하도록 하려면, 조직의 정보보안 전략은 항상 비즈니스 목표와 연계되어 정기적으로 점검 및 정비되어야 할 것이다.

정보보안은 기술(Technology), 프로세스(Process), 사람(People)의 3가지 요소로 구성된다. 예전에는 기술이 정보보안의 핵심 요소로 다루어졌지만, 날이 갈수록 기술을 적용하는 프로세스와 사람의 중요성이 높아만 가고 있다. 정보보안 전문가인 브루스 슈나이어 역시 그의 저서를 통해서, ‘정보보안 문제를 기술로 해결할 수 있다고 생각한다면 그 문제와 기술 모두를 이해하지 못한 것’이라고 말했다. 이제 기술이 아닌 사람과 프로세스를 새로운 정보보안의 핵심으로 인식하고, 조직 구성원들이 정보보안에 자발적으로 참여할 수 있는 문화와 비즈니스 프로세스 기반을 마련하는 새로운 정보보안 패러다임으로의 전환을 모색한다면 비로소 근본적인 보안 문제의 해결에 다가갈 수 있을 것이다.

장경준 삼일회계법인 컨설팅부문 대표
머니투데이 2013년 7월 2일