예전에는 외부에서 발생하는 해킹 공격에 대응하는 것이 기업의 정보보안 담당자들의 주된 역할이었습니다. 당시에는 해킹 공격으로 인한 피해라고 해봐야 회사 홈페이지에 특정 해커가 ‘OO 해커가 다녀감’이라고 자랑하는 것이 대부분이었던 시절이었습니다.
하지만 기업이 보호해야 할 정보 자산이 증가하면서 내부인(임직원 및 협력 업체)에 의한 정보유출이 화두가 되었습니다. 그래서 보안관제 업무를 주로 하던 보안 담당자들이 정보유출 차단을 위한 대책들을 마련하고, 정보유출 모니터링 업무까지 수행하게 됩니다.
시간이 흐르면서 다양한 형태의 개인정보 유출 사고가 발생해 사회적으로 문제가 생기자 정부가 개인정보 보호법을 비롯해 다양한 법 규제를 적용하는 바람에 정보보안 담당자는 이제 개인정보 보호법, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 등 정보보안과 관련된 법률에 대해서도 대응하기 시작했습니다.
글로벌 기업의 경우에는 올해 5월 발효된 유럽의 개인정보보호 법률(EU GDPR) 대응 때문에 골머리 꽤 썩었을 것 같습니다.
● EU GDPR, 개인정보 보호는 어떻게? http://blog.lgcns.com/1732
이것으로 끝나면 좋겠지만, 최근에는 랜섬웨어로 대표되는 알려지지 않은 악성코드들이 활개를 치며 기업의 정보자산들을 파괴하기 시작합니다. 그리고 4차 산업혁명의 물결이 밀려오며 IoT 디바이스가 제조•생산 등 기업의 주요 업무에 활용되기 시작하고 스마트팩토리로 대변되는 지능화되고 자동화된 공장들이 등장하기 시작합니다.
실제 악성코드 때문에 공장에서 생산이 중단되는 사고도 발생했습니다. 대만의 TSMC라는 반도체 회사가 지난해 전 세계를 강타했던 워너크라이라는 랜섬웨어로 추정되는 악성코드에 감염되어 공장 가동이 이틀 동안 중단되었다고 합니다.
● 스마트팩토리 보안 위협, 어떻게 이겨낼까? http://blog.lgcns.com/1711
이제 기업의 정보보안 담당자들은 이러한 새로운 위협에도 대응하기 위해 머리를 싸매고 있습니다. 예전 블로그 글들을 읽어보면 아시겠지만, 정보보안 관리 체계라는 것은 한번 만들어두면 저절로 동작하는 것이 아닙니다.
● ‘보안은 제품이 아니라 절차다!’라는 말의 의미 http://blog.lgcns.com/1255
● 보안 관리 체계, 어떻게 도입해야 할까요? http://blog.lgcns.com/869
정보보안 관리 체계는 PDCA(Plan-Do-Check-Act)의 Cycle에 따라 계획을 세우고, 실행하고, 제대로 실행되는지 점검을 하고, 잘못된 것을 개선하고 다시 계획을 세우는 순환구조를 통해 지속해서 관리되어야 합니다. 아래 표를 보시면 보안 관리가 지속해서 이루어지지 않을 경우 보안 통제의 효과성은 시간이 지남에 따라 떨어질 수밖에 없습니다.
그런데, 기업의 보안 담당자 입장에서는 앞서 말씀드렸던 새로운 보안 위협에 대응하기 위한 대책 마련에도 힘에 부칩니다. 그나마 기업에 전담 정보보안 조직이 있는 경우라면 그렇지 않은 기업에 비해 훨씬 유리한 위치에 있습니다. 기업에 전담 정보보안 조직이 없거나, 정보보안 담당자도 없는 경우에는 근근이 수립해 놓은 정보보안 관리 체계조차도 유지하기 어렵습니다.
사실 실제 기업들의 현황을 살펴보면 전담 정보보안 조직이 있는 경우 해야 할 일이 더 많고 일손이 부족하다고 느끼게 되는데, 이는 많이 알면 알수록 해야 할 일이 더 많아지는 것에 비유할 수 있습니다. ‘모르는 것이 약이다.’라는 속담이 이런 맥락에서 나오는 것이겠지요.
그렇다면 이러한 환경에서 기업의 정보보안 관리 체계를 어떻게 하면 효율적으로 운영할 수 있을까요?
가장 손쉬운 방법은 외부 전문가의 손을 빌리는 것입니다. 보안 컨설팅을 받으면 됩니다. 하지만 보안 컨설팅도 받아본 기업들은 느끼겠지만 현황에 대한 정확한 진단과 어떻게 하면 개선을 해야 하는지는 알려주는데 그치는 경우가 많습니다.
현실적으로 개선이 가능한 대책들을 제시해 주는지 여부는 해당 보안 컨설팅을 해주는 회사에 달려있고 컨설팅을 받는 기업에서 충분히 노력을 기울여 컨설팅 작업에 함께 참여한다면 더 나은 품질의 보안 컨설팅 결과물을 받아볼 수 있습니다.
그런데 보안 컨설팅의 문제는 일회성이라는 것입니다. 특정 시점에 기업의 보안 위험을 식별하고 해당 위험에 대응하기 위한 대책들은 제시해주지만 그렇게 제시된 대책들을 실제 기업에 적용하고 관리하고 운영하는 것은 결국 보안 담당자의 몫입니다.
그런 이유로 예전에는 정보보안 컨설팅을 3년마다 한 번씩 받으라고 했는데, 그 이유가 일반적으로 컨설팅 결과 산출물로 제시되는 정보보안 마스터플랜 보고서에는 개선 과제들을 3년 계획으로 세워주기 때문입니다.
하지만 최근에는 이러한 패러다임에 변화의 조짐이 생기고 있습니다. 보안 컨설팅이긴 한데, 일회성에 그치는 것이 아니라 연중 지속해서 해당 기업의 보안수준 향상을 지원해주는 회사들이 늘고 있습니다. 즉, 1년 내내 보안 컨설팅을 받는다고 생각하면 됩니다.
예전의 보안 컨설팅은 현황을 진단해 개선 대책을 제시해주고 나머지는 기업이 알아서 해야 했다면, 새로운 보안 컨설팅 서비스는 해당 개선 대책을 기업이 적용할 때 다양한 방법으로 지원합니다.
일례로 LG CNS에서는 정보보안 전담 조직이 없는 회사들을 대상으로 보안 컨설팅을 제공하는 “보안관리 Shared Service(가칭)”를 제공하고 있습니다.
해당 서비스는 기업이 1년 단위로 보안 수준을 지속해서 향상할 수 있도록 필수 보안 업무를 마치 해당 회사의 정보보안 담당자인 것과 같이 지원합니다. 기간 중 연 1회 정보보안 진단을 수행하여 종합적인 정보보안 대책을 수립하고 웹 사이트 및 모바일 앱 취약성 점검, IT Infra 취약성 점검을 상시 제공하며 새로운 시스템을 도입할 때 보안성 검토 및 개인정보 영향평가를 지원하고 있습니다.
여기에 실제 보안 담당자의 업무 부하를 조금이라도 덜기 위해 임직원 및 개인정보 취급자를 위한 보안교육 및 홍보 자료를 제공하고, 업무 수행 시 정보보안 또는 개인정보보호와 관련하여 필요한 자문을 제공합니다. 즉, 특정 정보보안 영역에 전문성이 필요하거나 동시에 많은 인원이 필요한 업무를 밀착 지원하는 보안 컨설팅 서비스입니다.
외부 전문가의 도움을 받지 않는 방법은 없을까요? 물론 정보보안 전담 조직의 규모를 키우고 많은 인원을 새롭게 채용하고 육성하면 가능합니다. 하지만 모든 기업이 이렇게 인적 자원을 마음껏 누릴 수 있는 형편이 아닙니다. 이러한 제약 조건 아래에서는 가능한 많은 업무를 자동화해 기존 인원의 업무 부담을 줄여줄 수밖에 없습니다.
그렇다면 보안 업무를 어떻게 자동화 할 수 있을까요? 이미 시장에는 이를 가능하게 하는 다양한 수단들이 존재합니다. 한때 유행이었던 정보보호 포탈부터 시작해서 정보보호 증적 관리 시스템에 이르기까지 다양한 방법으로 자동화를 통한 보안 업무 효율화를 추구해 왔습니다.
우선 정보보호 포탈은 여기저기 흩어져 있던 보안 관련 업무와 기능들을 한곳에 모으기 시작하면서 출현하였습니다. 각종 지표 데이터를 취합해 대시보드 형태로 보여주고 보안과 관련된 정책, 절차, 지침 및 가이드 문서들을 임직원들이 손쉽게 접근할 수 있도록 해줍니다.
자동화 측면에서는 임직원들이 정보보안 솔루션 예외 신청을 할 때 결재를 통해 승인 후 사용하도록 하였으며 예외 현황을 추적 관리할 수 있도록 해줍니다. 또한 이렇게 예외신청이 온 요청들을 예전에는 보안 담당자들이 일일이 해당 보안 솔루션의 관리자 화면에서 정책 설정을 해줘야 했으나 정보보호 포털을 통해서는 클릭 한 번으로 예외 정책을 적용하고, 회수 할 수 있게 되었습니다.
정보보호 증적 관리 시스템은 ISMS 인증이 의무화되고, 인증 의무 대상이 확대되면서 매년 인증을 받기 위해 정보보호 활동들에 대한 증적 관리를 해야 하는데, 매년 반복되는 업무에 수작업으로 처리하다 보니 대응이 어려워 등장한 솔루션입니다.
정보보호 증적 관리 시스템은 ISMS, PIMS 또는 ISO 27001 등 각종 정보보호 관리 체계 요건들을 충족시킬 수 있는 증적을 취합하고 이력을 관리할 수 있도록 해줍니다.
하지만 이러한 시스템은 사용자가 일일이 증적을 등록해줘야 하는 업무도 상당 부분 존재해 사람이 관심과 노력을 기울여 관리해야 하므로 업무 부담을 일부 줄여주기는 하지만 혁신적으로 줄여주지는 못하고 있는 실정입니다.
하지만 최근 들어서는 새로운 형태의 정보보호 포탈 시스템들이 설계되고 구현되고 있습니다. 이러한 변화에 발맞춰 나온 솔루션이 LG CNS의 SSRP 솔루션이라고 할 수 있습니다. ERP(전사적 자원관리: Enterprise Resource Planning)의 사상을 정보보안에 접목한 ESRP(보안 ERP: Enterprise Security Resource Planning)라는 SSRP 솔루션은 정보보안 관리체계가 일회성 이벤트가 아닌, 지속해서 운영될 수 있는 보안 거버넌스 수립을 지원합니다.
정보보안 관리 체계가 일회성 이벤트가 아닌 지속해서 운영될 수 있는 보안 거버넌스 수립을 지원합니다.
정보보호 관리 체계를 수립하고, 주기적인 위험관리 활동으로 개선과제를 도출하고 해당 과제들을 정보보안 담당자 및 IT 담당자, 그리고 현업에 업무를 할당해 이를 자동으로 취합 관리합니다.
그리고 이러한 활동들에 KPI를 설정해 전사 정보보안 업무 현황을 한눈에 파악할 수 있게 해줍니다. 물론 기존의 정보보호 포탈과 증적 관리시스템의 장점들을 모두 수용하며 이를 더욱 발전시킨 모습입니다.
이렇듯 정보보안 관리 체계를 꾸준히 유지할 수 있게 도와주는 다양한 방법을 통해 급변하는 정보보안 환경에 능동적으로 대응할 수 있는 체계가 마련되기를 바랍니다. 다시 한번 말씀드리지만, 보안은 제품이 아니라 절차입니다.
글 l LG CNS 보안컨설팅팀