보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[한국정보보호학회 칼럼] 측정되지만 관리되지 않는 정보보호관리체계

입력 : 2016-06-02 09:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
체크리스트 방식의 측정항목 개발 및 점수 환산 방식, 근본적인 재검토 필요
유연성과 즉시적인 변경을 반영할 수 있는 구조로 전환해야


[보안뉴스= 이경호 고려대학교 정보보호대학원 금융보안학과 주임교수] 정보보호관리체계(이하 ISMS)에 대한 논란이 멈추질 않는다. ISMS에 대한 적용대상을 확대하는 정책을 펴는 와중에 금융권에서는 적용배제 정책을 펼치고 있다. 그 이면에는 정보보호관리체계와 관련한 규제의 중복성 이슈, 경쟁적 규제 환경, 그럼에도 불구하고 존재하는 관리 사각지대에 대한 허점이 존재한다.


이런 이유도 한몫해 시장에서는 여전히 보안누수로 인한 크고 작은 침해사고가 계속 발생하고 있으며, 일각에서는 국가를 배후로 하는 공격자에게 모두 함락당할 것이며 마땅한 대응방법이 더 이상 없을 것이라는 비관적이며 자조적인 탄식도 있는 것이 사실이다.

수많은 예산과 인력을 투입해 보안 시스템을 구축하고, 관리체계를 도입했으며, 인식제고를 위해 교육과 훈련을 실시했음에도 불구하고 이러한 활동의 성과에 부정적인 목소리가 나오는 이유는 무엇일까? 막상 이러한 업무를 담당하는 주무부처와 핵심 보안책임자들마저도 스스로 행하는 보안활동에 대해 확신이 부족하며, 결국 법규와 규정이 지시하는 바에 따라 이행을 완료했다는 것으로 자족하고 있는 것이 현실이다.

매년 정보보호와 개인정보보호에 대한 수준을 진단하고 이행 여부를 평가한다. 다양한 항목이 개발·조정되며 측정·평가된다. 전문가들이 참여해 최선을 다해 논의하고 절묘한 방책을 찾기 위해 노력을 경주하지만, 여전히 현장에서 정보보호는 관심 밖의 일이며 부차적인 것이다. 따라서 강제적이며 형식적 이행을 넘어선 본질을 변화시키는 이해와 협업은 기대난망이다.

문제해결 과정에 참여 당사자간의 이해 구조와 이슈가 복잡하게 혼재하고 정치와 정서가 난무해 방향과 전략을 잃고 헤매는 경우도 다반사다. 문제 해결이 어려울수록 근본적인 질문이 필요하다.

정보보호의 목적은 무엇인가? 즉, 왜 정보보호를 하는가?, 어떤 방법으로 목적을 달성하는가?, 정보보호의 목표는 달성되며 효율적인가? 이러한 질의를 풀어 나가면 다음 질문을 할 수 있다.

우리는 현재 발생하고 있는 공격에 효과적으로 대처하고 있는가? 현재 발생하고 있는 위협에 대응하는 보안 시스템과 대응체계는 효율적이며 목적을 달성하고 있는가? 이러한 활동을 측정하는 지표는 과거 지표를 수립하던 시점과 비교해 달라진 현재의 환경을 충분히 반영하고 있는가?

지난번 발생했던 소니 해킹 사건에서 우리는 사고에 대응하는 선진국의 주도면밀하고 거침없고 즉각적이며 자신감 있는 모습을 보았다. 오히려 그동안 우리가 보여주었던 혼란스러웠던 사고대응 과정과 비교돼 자괴감마저 느낀다. 사고가 발생하면 항상 그 뒷면에 고려할 사항이 너무 많아서 문제의 본질을 논의하기 보다는 책임소재 및 감사 대응과 연결돼 조직논리가 발동하는 것이 일반적이었기 때문이다.

특히, 사고 이전까지 관리됐던 다양한 정보보호 성과지표를 보면 사고 발생과는 관련성이 점점 낮아져서 이제는 잘 대응하는 기관과 그렇지 않은 기관을 구분하기 어려운 지경에 이르렀다. 이는 정보보호 성과지표가 공공부문 경영평가에 반영되면서 첨예한 경쟁을 해야 하는 영역이 된 이후부터다. 우리는 정보보호 성과에 대해서도 질의하지 않을 수 없다.

대부분의 조직에서 정보보호 성과지표가 상승하고 있는데 왜 사고는 빈발하고 위기감은 증가하는가? 결론적으로 정보보호의 성과측정 방식을 바꾸지 않는 한 위협에 대응하는 행동양식은 바뀌지 않으며, 결국 정보보호 목표의 달성 효과는 낮을 것이다.

그동안 활용된 체크리스트 방식의 측정항목 개발과 이를 산술평균해 점수를 환산하거나 가중치를 임의 부여하는 방법에 대한 근본적인 재검토가 필요하다. 각 항목이 개발된 배경, 목적 및 시기가 현재의 적용환경과 어떤 차이가 있는지 확인하고, 이러한 변화가 거의 실시간으로 반영될 수 있도록 초점을 유연성과 즉시적인 변경을 반영할 수 있는 구조로 전환해야 하며 이를 위해 항목과 현실의 상관성 확보를 위한 상시적인 데이터 분석이 수반돼야 한다.

스냅샷, 헬스체크로 칭해지는 체크리스트 방식의 대안으로서 동적 리스크를 관리하는 대시보드 운영과 피해규모 산정을 통한 위험분석 기반의 의사결정 기법을 발전시키는 것이 바람직하다.

이제 정보보호는 전문가들만의 것이 아니라 대중적인 영역이 됐다. 정보보호는 조직 전체의 구성원과 시민들이 협업을 하고 함께 대응해야 하는 분야가 된 것이다. 특히, 시민들의 정서적인 부분까지 고려한 심리적 위험도 포함해야 하는 상황이다.

어떻게 측정하느냐에 따라 현장에서의 신념과 사고의 피해규모가 결정된다. 기존에 투입하는 자원과 투자에 초점을 맞춘 지표는 대응능력과 상관성을 이미 잃었다. 새로운 알려지지 않은 공격과 현재 투입되는 보안 솔루션은 대부분 서로의 이해가 어긋나 있기 때문이다. 정보보호의 품질에 대한 측정이 이루어져야 한다.

이를 위해 현장의 끝에서 효과성과 효율이 측정되고 이를 만들어 내는 투입요소가 무엇인지 파악하고, 원인이 되는 요소를 정확히 찾아내서 급변하는 상황에서 유연하게 변경해 사용할 수 있도록 복합적인 상황을 반영해야 한다. 발전된 측정체계는 계층적 대응에 대한 평가도 포함하며, 새로운 지표가 빠르게 시험될 수 있고 즉시 적용되는 유연성도 가지고 있어야 한다. 이를 위해서는 근본적인 목적과 과정을 되새기는 논리적 접근이 필요하며 이는 데이터 분석을 통해 이루어져야 한다.

우리가 무엇을 목표로 하고 있는지, 지금 이순간의 대응 과정이 효과적인지, 그리고 이 행위가 목표를 향해 실시간으로 조정되고 있는지 그리고 그러한 노력이 보상과 연계돼 있는지를 다시 되돌아보아야 한다.

정보보호 분야에도 거대한 변화가 도래하고 있다. 지금 이 변화의 물결을 읽어내고 합류하지 않는다면 우리가 주도할 기회가 다시 오지 않을 수 있을 것이다. 더 이상 감사요건이나 조직에 대한 이해를 논하지 말자. 기존의 법률과 규정을 다 지켜내면서 어떻게 근본을 해결할 수 있겠는가? 이미 죽어버린 항목들이 부지기수일 것이다. 모든 것을 의심하고 바닥부터 차분히 논리적으로 쌓아 올라가는 것이 가장 빠른 길이라 확신한다.
[글_ 이경호 고려대학교 정보보호대학원 금융보안학과 주임교수(kevinlee@korea.ac.kr)]

필자소개_ 고려대학교 이경호 교수는 과거 삼성그룹을 거쳐 네이버의 CISO, CPO를 역임했다. 벤처 창업을 통해 보안기업을 운영한 바 있고, 고려대학교에 부임해 정보보호 지역센터를 운영하는 동시에 KB금융보안학과, 금융보안학과 주임교수를 맡고 있다. 현재 정보보호학회 총무이사를 거쳐 상임이사로서 활동하고 있으며, 위험관리 및 개인정보보호 정책 전문가로 활동하고 있다. 기술과 법을 아우르는 관점에서 사이버공간의 위험을 관리해 낼 수 있는 사회적 기반구조에 대한 원리 연구와 체계 수립이 주요 관심 분야다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대