정보보호에서의 Risk 개념과 중요성

정보보호와 IT 보안, 정보와 정보자산의 차이를 먼저 이해해야

[보안뉴스=조희준 씨에이에스 이사] 정보보호(안)는 Information Security이고, IT 보안은 Information Technology Security이다. 그러나 정보보호와 IT 보안이 같다고 생각하는 독자들이 더러 있는 것 같다. 공공기관이나 기업 조직에서도 정보보호와 IT 보안 업무를 직접 수행하지 않은 타 부서나 경영진의 경우 그렇게 생각하는 것이 오히려 보편적이다.

연재순서-----------------------

1. Risk IT 프레임워크

2. 정보보호에서의 Risk

3. Risk IT 프레임워크의 도메인 1

4. Risk IT 프레임워크의 도메인 2

5. Risk IT 프레임워크의 도메인 3

6. Risk IT 프레임워크와 정보보호의 연계

-----------------------------------

정보보호와 IT 보안은 같은 것 아닌가?

이렇듯 보편타당하게(?) 틀린 관념을 고쳐야 할 필요성이 있다. 무엇보다 정보보호와 IT 보안은 별개의 개념으로, 공통점도 있고 다른 측면도 있다는 것을 주지할 필요가 있다.

정보보호와 IT 보안의 연관성

정보와 정보자산은 다른 얘기야?

정보보호와 IT 보안은 다르지만 공통점도 있다. 바로 정보라는 것을 매개체로 하고 있는 것이다. 그렇다면 정보란 무엇인가? 공공기관과 기업의 조직에서 목적을 달성하고, 전략을 구현하기 위해 필수적인 것이 정보이다. 정보를 관리하고 보호하지 않은 경우, 조직의 존폐를 좌우하는 존재인 것이다. 정보를 정보자산(Information Asset)이라고 칭하고 특별대우를 해주는 이유도 여기에 있다.

그러나 정보는 매체(media)에 담길 때 비로소 사용될 수 있다. 그 때부터 사용할 수 있는 실체적인 것이 되기에 변조되거나 유출될 수 있다. 정보에 대한 리스크는 여기서부터 발생하는 것이다.

자산목록과 정보자산

정보를 담는 매체들

그렇다면 정보가 담길 수 있는 매체에는 무엇이 있을까? 독자들이 일반적으로 떠올리는 것이 IT적인 것이다. 서버, 네트워크 장비, USB, 하드디스크 등등 디지털적인 요소인 IT적인 것에 정보가 모두 담겨진다고 생각한다. 일부는 맞는 말이다. 그러나 모든 정보가 다 IT적인 것에 담기는 것은 아니다. 그리고 IT적인 매체에 담기는 정보가 대부분일 거라는 생각은 커다란 오해이다. 오히려 IT적이지 않은 것에 정보가 담기는 곳이 훨씬 많다.

정보가 담겨지는 매체는 조직원들의 지식과 스킬에 녹아 들어가고, 조직원들의 행동에 흡수된다. 조직문화에 정보가 반영된다. 업무 프로세스나 업무 매뉴얼에 정보가 보존되어 있다. 회의나 보도 등 의사소통을 통해서도 정보가 통용되고 있다. 정보를 담은 매체는 IT적인 것보다 다른 것들에 훨씬 더 많이 담겨지게 된다.

일련의 보안사고들, 일간신문 지면과 보안뉴스(www.boannews.com)와 같은 인터넷 뉴스 사이트 등에 등장하는 정보보호관련 사건·사고들은 DB암호화나 서버 보안에 문제가 생겨 발생하는 것들보다 그 이외의 요소에 의해서 발생하는 것이 대부분임을 독자들은 알 것이다. 이러한 사건이 정보의 경우 IT적인 것보다 다른 것들에 훨씬 더 많이 담긴다는 것을 입증한다고 볼 수 있다.

정보가 담긴 매체

정보보호 리스크

정보보호에 대한 리스크는 비즈니스 리스크이다. 구체적으로 얘기하자면, 비즈니스 리스크는 조직 내에서의 정보의 사용과 소유, 그리고 운영과 관련되어 있다. 이러한 것들은 비즈니스에 잠재적이든 실질적이든 영향을 줄 수 있는 정보보호와 연관되어 있다. 비즈니스 리스크는 확률빈도와 영향의 규모로 측정되며, 전략적인 목표와 목적을 충족시키기 위한 일련의 행동들에 긍정적·부정적 역할을 하게 된다.

정보보호 리스크는 조직의 가치를 실현시키는 과정에서, 정보보호 프로젝트의 전달과정에서, 그리고 정보보호의 운영과정에서 수준별로 발생할 수 있다. 이러한 정보보호 리스크를 정리해보면 다음 그림과 같다.

정보보호 리스크 분류

이번 연재를 통해 최근에 주목 받고 있는 리스크와 관련된 내용과 IT와 정보보호의 리스크를 심층 분석한 ‘리스크 IT 프레임워크’를 두루 살펴보기로 한다. 이를 통해서 정보보호를 도구나 기술로만 보는 차원에서 기업이나 공공기관의 중요한 전략으로 끌어올리는 기회가 되기를 바란다. 보다 자세한 내용은 www.isaca.org와 www.isaca.or.kr에서 찾아볼 수 있다.

[참고자료 및 출처]

www.isaca.org

www.isaca.or.kr

www.isc2.org

www.cisspkorea.or.kr

Information Security Governance, ITGI, 2008

CISM Review Manual, ISACA, 2009

The IT Governance Implementation Guide-Using COBIT® and Val IT 2nd Edition, ISACA, 2007

Official (ISC)2 Guide to the CISSP CBK, Auerbach Publications, 2007~2008

CISM 한글 Review Manual, ISACA, 2011

ISACA 지식용어집, ISACA 지식 FAQ, 한국정보시스템감사통제협회, 2009

IT 거버넌스 프레임워크 코빗 COBIT4.1을 중심으로, 인포더북스, 2010

정보보호 전문가의 CISSP 노트, 인포더북스, 2011

리스크 IT 프레임워크, 한국정보시스템감사통제협회, 2012

필자는 ---------------------------------------------------------------------------

조 희 준 josephc@chol.com

CIA, CRMA, CGEIT, CISA, COBIT, CISM, CRISC, CCFP, CISSP, CSSLP, ISO 27001(P.A), ITIL intermediate, IT-PMP, PMP, ISO 20000(P.A)

G-ISMS 심사원, BS10012(P.A), BS25999(P.A), CPPG

PMS(P.A), (ISC)2 CISSP 공인강사, 정보시스템감리원,

행정안전부 개인정보보호 전문강사

행정안전부/한국정보화진흥원 사이버범죄예방교화 전문강사

IT거버넌스/컨설팅/감리법인 ㈜씨에이에스 컨설팅 이사, 강원대학교 겸임교수, 세종사이버대학교 외래교수, 한양대학교 대학원 외래강사, (ISC)2 CISSP Korea 한국지부, (사)한국정보시스템감사통제협회, 한국포렌식조사전문가협회에서 활동하고 있다. IT감사, 내부감사, IT거버넌스와 정보보호 거버넌스가 주 관심분야이다, 이와 관련해서 컨설팅, 기고, 강의, 강연활동을 활발하게 펼치고 있다. 2010년 두 번째 단행본인 ‘IT거버넌스 프레임워크 코빗, COBIT’ 출간 후, 2011년에 ‘정보보호 전문가의 CISSP 노트’를 발간했고, 2012년 ‘리스크 IT 프레임워크’를 번역 출간했으며, 현재 고려대학교 일반대학원 박사과정에서 공부 중이다.

-------------------------------------------------------------------------------------

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)