급변하는 위협에 대응하는 보안대책 마련 시급

기업보안관리 전략

지난 6월 9일 열린 한국기업보안협의회(KCSMC : Korea Corporate Security Managers’ Council, 이하 협의회) 정기모임에서는 한국인터넷진흥원 인터넷기반·개인정보보호단 기업보안관리팀의 장상수 팀장이 강연자로 나와 ‘기업보안관리 전략-융합보안 및 ISMS’란 주제로 강연을 펼쳤다. ISMS는 ISO27001과 함께 정보보호 관리 분야의 양대 인증으로, 각 기업에 속해있는 협의회 회원들의 큰 관심 속에 강연이 진행됐다.

지난 4월 모임에서는 계절에 안 맞는 차가운 바람에 옷깃을 여밀 정도로 추웠던 기억이 남아있는데 불과 두 달 만인 KCSMC의 세 번째 정기모임이 개최된 이 날은 조금만 걸어도 땀이 날 정도로 더운 날이었다.

이번 모임에서 특별강연을 맡은 한국인터넷진흥원 장상수 팀장은 ISMS를 직접 만들고 제도화시킨 장본인으로 기업보안관리, 특히 정보보호 관리에 대한 전문가였다.

2010년 정보보호 이슈는 IT 위험관리 능력 강화와 기업정보 유출방지

장상수 팀장은 지난해부터 전반적인 경기침체로 기업 정보보호 예산편성과 자원에 어려움을 겪고 있으며, 특히 전년도 대비 예산증가율이 축소되고 있다고 밝혔다. 때문에 대부분의 경영진은 비용감소에 대한 압박을 가하고 있다는 것이다. 이럴 경우 정보보호와 관련된 대책이 취소되거나 연기되고, 혹은 축소되어 위험분석 기반의 비용효과적인 대책이 필요하다고 장 팀장은 설명했다. 게다가 IT 신기술이 등장하고 커뮤니케이션 환경이 변화하면서 새로운 위협이 증가해 정보보호 담당자의 부담은 더 커졌다는 것. 또한 정보보호관련 법규와 규제 등이 강화되고, 사이버 공격으로 인한 기업의 손실액이 증가한 것 역시 정보보호 환경의 변화라고 강조했다.

이렇게 변화한 환경은 정보보호 위협을 증가시켜 소셜네트워킹서비스 관련 위협이나 모바일 오피스 위협, 클라우드 컴퓨팅 위협과 사이버 공격 등 새로운 위협과 공격이 등장했다는 게 장 팀장의 설명이다.

“모바일 환경이 구축되면서 새로운 보안위협이 등장하게 되었습니다. 특히 모바일 오피스와 클라우드 컴퓨팅 등 새로운 위협은 증가하고 있는데 이에 대응하기 위한 움직임은 많지 않아 우려되는 상황입니다. 때문에 2010년에는 IT 위험관리 능력 강화와 기업정보 유출방지가 가장 주목되는 정보보호대책으로 예측됩니다.”

또한, 장 팀장은 ‘Security2.0’을 설명하며 정보보호관리체계(ISMS), 정보보호 거버넌스, Security 컴플라이언스의 연계를 통하여 정보보호가 변화하는 비즈니스 환경에 능동적으로 대처할 수 있는 전략을 내세웠다.

특히, IT 컴플라이언스를 통해 기업의 리스크 관리와 투명성 강화를 위해 각 정부나 관련 기관들이 새로이 제시한 각종 규제나 법안 등의 요건을 충족시킬 수 있도록 기업의 정보인프라와 업무 프로세스를 재정비하는 것이 시급하다고 강조했다.

ISMS, 강제적인 보안담당자 교육 등 실효성 필요

이후 장 팀장은 ISMS를 설명하면서 “조직에서 비즈니스의 연속성 확보를 위해 각 위협으로부터 정보자산을 보호하기 위한 위험관리 기반의 체계적이고 지속적인 프로세스 개선 활동”이라고 설명하며, “무엇보다 우리나라 실정에 맞게 만들어진 것이 장점”이라고 말했다.

또한, ISMS는 관리자들에게 보안관리체계를 구축할 수 있도록 하기 위해 만들었다며, 인증을 위해 컨설팅을 받은 후에는 보안수준이 높아지지만 이후 지속적인 관리를 안 하면 바로 수준이 떨어진다고 경고했다. 게다가 위험요소는 지속적으로 올라가기 때문에 꾸준한 보안관리를 요구했다. “ISMS는 현재 혹은 미래의 보안사고를 위한 대책마련이 아니며, 현재 혹은 미래에 다가올 위협을 관리(매니지먼트)하고자 하는 활동”이라고 강조한 장 팀장은 “ISMS의 경제적 효과는 우선 기업의 가치를 상승시키고, 정보보호 산업이 활성화되지만 무엇보다 조직 내 보안에 관한 인식 제고가 가장 큰 효과”라며 ISMS의 성과를 강조했다. 마지막으로 6개의 정보보호 관리자의 역할을 CEO의 의사결정 지원, 타 부서와의 협업, 통계 및 분석, 지속적인 개선, 문제제기 및 보안에 대한 경고, 비즈니스와의 연계라고 설명한 장 팀장은 “기업의 정보보호 노력은 더 이상 불요불급한 비용이 아니라 투자”라는 말과 함께 강연을 마쳤다.

이날 강연의 주제는 실제 기업에서 활용하고 있는 부분이기 때문에 그 어느 때보다 회원들의 질문이 많이 쏟아졌다. 그 중에서 가장 많이 나온 질문은 ISO27001과 ISMS의 차이, 그리고 ISMS의 실용성에 관한 것이었다.

회원들은 회사의 보안담당자들이 컨설팅과 인증을 받은 후 남는 건 ‘책’ 밖에 없다며 실질적인 효과에 대한 의문을 제시했다. 또한 회사 스스로 인증받기 힘들어 컨설팅을 통해 인증을 받는데, 컨설팅 비용이 인증비용보다 커 배보다 배꼽이 큰 상황이 되었다고 아쉬워했다. 특히, 회원들은 이를 해결하기 위해서는 인증에 담당자 교육을 넣는 등 보다 강제성을 띠는 것도 필요하다는 의견을 제시하며 보다 실효성 있는 대안을 요청했다.

한편 이날 모임에는 협의회 최진혁 회장이 지난 4년간 협의회를 이끌어온 BAT코리아 박찬석 이사에게 감사패를 수여하는 시간이 있었다. 박찬석 이사는 “4년간 협의회를 통해 많은 것을 배울 수 있었다”며, 특히 “어디서도 들을 수 없었던 실용적인 주제의 강연과 늘어나는 회원들을 통해 더없는 행복을 느꼈다”고 감회를 밝혔다. 또한 이날에는 LS전선의 강현우 팀장과 HSBC 은행의 이종화 이사가 새로 참석해 KCSMC의 위상이 점점 커지고 있음을 확인할 수 있었다.

<글/사진 : 원 병 철 기자>

[월간 시큐리티월드 통권 제162호(info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)