[기고] 정보보호 거버넌스의 도메인-위험관리

위험(Risk)이란 무엇인가? 위험의 또 다른 이름-가치 보존

위험(危險)이란 ‘해로움이나 손실이 생길 우려가 있거나 또는 그런 상태’로 일반적으로 정의하고 있다. 일반적으로는 정의했다고 하는 것은 많은 사람들이 그렇게 알고 있는 것이다. 위험하다는 것은 그 말 그대로 ‘위험한 것’이다.

하지만 정보보호 거버넌스의 줄기를 잡아가는 입장에서는 위험을 다르게 보아야 한다. 위험은 단순히 해로운 것으로서 기업의 악한 요소만이 아닌 전략적인 요소로 보아야 한다는 것이다.

위험의 정의

정보보호 거버넌스의 도메인으로 이미 소개한 바 있는 ‘전략적 연계’와 ‘가치 제공’은 ‘위험 관리’와는 “한 지붕 세 가족”이다. 기업(공공기관)의 전략과 목표를 달성하기 위해 기업(공공기관)의 중요한 정보자산을 보호하기 위한 모든 전략에 대한 계획은 연계되어야 한다.

그리고 그러한 전략적인 연계는 두 가지 줄기를 타고 내려온다. 첫 번째 줄기는 진취적이고 도전적인 것으로서 기업(공공기관)에 가치를 창조하는 ‘가치 제공’이다. 나머지 한 가지 줄기는 지금까지의 가치를 보존하는 ‘가치 보존’이다. 가치를 창출하고자 하는 전략의 일환이 정보보호 거버넌스의 ‘가치 제공’ 도메인이며 현재의 가치를 지속적으로 지켜가고자 하는 것이 정보보호 거버넌스의 ‘위험 관리’ 도메인이라 할 수 있다.

가치 창출과 가치 보존

기업(공공기관)의 전력과 목표를 위해서는 소비자(대 국민)의 새로운 요구사항을 이해하고 이에 대해 발 맞춰 가는 것이 기업(공공기관)의 가치를 만들어 나는 가치 창출이다. 또한 지금까지 기업(공공기관)이 이루어 놓은 좋은 것들, 즉 가치는 보존해야 한다. 바로 가치 보존이다. 가치 창출이 적극적/긍정적이면 가치 보존은 소극적/부정적이다. 이 두 가지가 조화를 이루어야 한다. 정보보호 거버넌스에서의 위험 관리는 가치를 보존하기 위한 전략이다.

위험의 식별-무엇이 위험인지 알아야 한다.

위험은 불확실(Uncertainty)하다. 긍정적인지 부정적인지 그리고 언제 어떻게 어떤 모습으로 등장할지 잘 모르는 것이 위험이다. 위험을 불확실성으로 정의하고 이에 대한 관리 체계를 구축한다고 하는 것을 너무 광범위하게 잡게 되면 어려워진다. 위험관리를 단순하게 시작해서 그 실체를 분명히 하고 범위를 넓혀 가는 것이 현실적인 방법이다.

위험을 관리하려면 위험의 실체를 파악해야 한다. 비즈니스 목적 달성을 위해 기업(공공기관)에서 사용되는 정보 자산(자원)에 대한 위협과 취약점을 식별하면 그것으로 위험의 정체가 파악된다.

정체가 드러난 위험은 정보 자산의 가치에 기초하여 (고유)위험을 수용 가능한 수준(잔여위험)까지 감소시키기 위해서 취해야 할 대응책(보호, 통제: safeguard or control)을 결정하는 프로세스이다. 위험을 이 정도까지만 관리하면 어느 정도 위험해지지 않는다고 예측하는 것이다. 고유 위험을 기업이 납득되는 잔여위험까지 내려가게 하는 것이라고 할 수 있다. 위험은 특정 위협의 근원이 특정한 잠재적 취약점을 이용할 가능성과 그로 인해 기업(공공기관)이 경험하는 부정적 사건에 의한 영향의 함수라고 표현되기도 한다.

위험 식별

위험 거버넌스(Risk Governance)의 등장

정보보호 거버넌스와 마찬가지로 위험에 대한 필요성과 중요성이 증대되면서 위험 거버넌스(Risk Governance)가 등장하고 있다. 위험관리를 하나의 관리체계로 보기 보다는 기업 전사차원에서 경영진과 이시진이 책임을 지고 리더십, 조직구조, 프로세스로 구성시켜 발전시켜 나가야 하는 거버넌스로 확립해야 한다는 것이다.

IT 거버넌스와 정보보호 거버넌스를 세계적으로 구축하고 유지해온 ISACA(Information System Audit and Control Association) International에서 제시한 위험 거버넌스의 프레임워크(framework)을 달리는 말에서 산간을 들러보는 심정으로 살펴보자면 아래와 같다.

리스크 거버넌스의 프레임워크

위험 거버넌스(Risk Governance)

- IT 위험관리가 기업의 실무차원에 적용되게 하고, 최적화된 위험으로 인한 효익을 제공한다.

·위험을 전제로 하는 비즈니스 의사결정

·ERM(전사적 위험관리)와의 통합

·위험관점의 전략 수립

위험 평가(Risk Evaluation)

- IT와 연관된 위험과 그에 따른 기회는 비즈니스 용어로 의사 소통되어야 한다. 비즈니스 용어로 식별되고 분석되고 전달되어야 한다.

·위험 프로파일 수립

·위험 분석

·위험에 대한 기초 데이터 수집

위험 대응(Risk Response)
- IT와 연관된 이슈와 기회는 비즈니스의 우선순위와 연계되어야 하며 비용과 효익간의 분석에 의해 통제되어야 한다.

·위험 사고나 피해에 대한 대응

·위험 관리

·위험에 대한 구체화(표현)

정보보호 거버넌스에서의 위험관리는 길들여지지 않은 야생마와 같다. 잘 길들이면 천하의 명마요, 그렇지 않으면 길들이려다가 사람이 다친다. 가치를 창출하는 측면도 중요하지만 동시에 기존 가치를 잘 보존하는 의미의 위험관리를 다른 시각에서 살펴보았다.

사물을 보는 관점에 있어서 또 다른 하나를 보는 ‘See Another’의 통찰력을 생각하게 한다. 위기는 위험과 기회를 합친 말이라고 한다. 위험과 기회는 같이 공존하는 양면성이 있음을 기억하길 바란다. 이 칼럼을 통해서 정보보호를 도구나 기술로만 보는 차원에서 기업(공공기관)의 중요한 전략으로 끌어올리는 기회가 되기를 바란다.

[글 _ 조희준 IT컨설팅/IT감리법인 ㈜씨에이에스 컨설팅 이사(josephc@chol.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)