우리는 끊임없이 보안사고를 접하게 됩니다. 최근 언론을 통해 자주 보안사고가 이슈화되면서 보안의 중요성에 대해 많은 관심이 집중되고 있는데요. 그렇다면, 보안 사고에 대처하는 노력은 무엇이 있을까요? 오늘은 정보보호의 큰 흐름을 짚어보면서 향후 대처해야 할 방향을 가늠해보도록 하겠습니다.
먼저, 지난 수십 년간의 정보보호 패러다임을 살펴보면 다음과 같습니다.
[그림1]에서 보는 바와 같이, 시간이 지날수록 정보보호의 패러다임은 기술적인 관점에서 기업 전체에 대한 관점으로 변화하고 있습니다. 정보보호에 대한 참여자도 점차 확대되고 있습니다. 결국, 정보보호의 방향은 정보보호가 단순히 기술에 국한된다거나, 보안 담당자만의 문제가 아니라는 것을 알 수 있습니다. 왜 그럴까요?
그 이유는 보안사고가 날로 지능화되어 효과적인 대응이 어렵고, 보안사고 발생 시 금전적 피해와 고객 이탈, 대외 신뢰도 하락 등의 피해가 발생하기 때문입니다.
그러므로, IT 환경의 변화와 보안사고의 지속적인 발생에 대응할 보안 위험 통합 관리가 필요할 텐데요. 국내외의 동향을 살펴보면, 보안 문제를 기업 거버넌스(governance) 관점에서 바라보고 전사 차원으로 확대하고 있습니다. 이른바, 보안을 강화하는 ‘정보보호 거버넌스’를 도입하는 추세입니다.
그러면, 정보보호 거버넌스란 무엇이고, 정보보호 거버넌스를 수행하기 위해서는 무엇을 해야 하는지, 성공적인 정보보호 거버넌스 구축을 위한 핵심요소는 무엇인지, 그리고 정보보호 거버넌스를 구축하면 어떠한 효과가 있는지 살펴보도록 하겠습니다.
정보보호 거버넌스 개념은 국제표준인 ISO/IEC 27014:2013(간략히 ISO 27014)에서 규정하고 있습니다. 즉, ‘의사결정 권한과 책임의 할당, 비즈니스와 전략적 연계, 관련 법과 규정의 준수를 위한 프로세스 및 실행 체계’라고 정의하고 있는데요, 도식화해 보면, [그림2]와 같습니다.
[그림2] 역시 ISO 27014에서 제시하는 정보보호 거버넌스 구조로 ‘Executive Management’, ‘Governing Body’, 그리고 수행을 위한 5개의 표준 프로세스로 구성되어 있습니다. 간단히 말하면, ‘경영진의 요구사항에 대해 정보보호 활동(ISO 27001)을 반복적으로 관리하는 구조’라고 할 수 있습니다. 반복적으로 관리는 프로세스를 통해 수행하게 되는 데, 각각의 프로세스가 지향하는 목적은 [표1]과 같습니다.
또한, ISO 27014에서는 정보보호 거버넌스를 위한 원칙을 다음과 같이 제시하고 있습니다.
- 전체 조직의 정보보호 수립
- 위험기반 접근 방식을 채택
- 투자 결정을 위한 방향 설정
- 대내외 요구사항의 적합성 확인
- 긍정적 정보보호 환경 조성
- 업무성과 관점에서 정보보호 성과 검토
과연, 이러한 원칙을 지키면 정보보안 거버넌스를 제대로 구축할 수 있을까요? 학계에서는 이러한 의문에 대해 다음과 같이 연구 결과를 발표했습니다. 이른바 ‘정보보안 거버넌스 구현을 위한 핵심 성공 요인(Key Success Factor)’입니다.
[그림3]에서 보시다시피 조직의 리더가 ‘정보보안을 비즈니스 이슈로 인식’하는 것이 1위인데요. 맨 마지막 10위 또한 경영성과에 반영하는 것으로, 핵심 성공 요인 대부분이 비즈니스와 관련되어 있습니다. 결국, 정보보호 거버넌스를 잘하기 위해서는 정보보호가 전사 보안경영, 즉 임직원 모두가 참여하는 업무활동이 되어야 하는 것이죠.
그럼 이렇게 정보보호 거버넌스를 구축하면 어떤 점이 좋을까요? 금융권 사례에 따르면 다음과 같이 다양한 긍정적인 효과를 기대할 수 있다고 합니다.
- 정보보호 효과성 확보로 자발적인 보안 투자 유도
- 중복과 불필요한 보안 프로세스 통합으로 정보보호 업무효율성 개선
- 전사적으로 정보보호 거버넌스를 문화로 인식하여 업무 수행 시 자연스럽게 정보보호 활동을 위해 노력
- 비즈니스 연속성 확보를 통한 투자자와 이해관계자 등의 신뢰 확보
이번에 소개한 정보보호 거버넌스는 생소하기도 하고, 다소 추상적이기도 합니다. 하지만, 실제 국내외에서 지속적으로 확대, 적용하고 있는 정보보호의 큰 방향인 것은 분명합니다. 앞으로 정보보호 거버넌스에 관심을 가지고 적용하는 기업이 확대되길 기대합니다.
글 l LG CNS 보안컨설팅팀
[관련 글 보기]
- 최신 보안위협에 대한 대응방안은?
- [시큐어 코딩] 해킹 당했다. 어디서부터 잘못된 거지?