• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

인간중심 보안 구현의 핵심과제, ‘보안문화’ 어떻게 정착시키나 2022.02.21

인간중심보안 포럼, 2월 온라인 세미나서 ‘보안문화 이해와 진단’ 화두로 논의
김정덕 포럼 의장, 조직문화 모델의 보안 적용방법과 보안문화 진단 체크리스트 제시

[보안뉴스 권 준 기자] 인공지능(AI)이 보안 분야에 있어 핫 키워드가 되는 등 보안기술이 빠르게 발전하고 있음에도 결국 조직 내 보안정책 결정과 보안문화 조성은 인간에 의해 구현되기에 ‘인간중심 보안’에 대한 논의는 점차 활발해지고 있다.

[이미지=utoimage]


온라인으로 진행된 인간중심보안 포럼(의장 김정덕 중앙대 명예교수) 2월 세미나에서는 포럼 김정덕 의장이 ‘인간중심보안(PCS): 보안문화 이해와 진단’이라는 주제로 발제를 진행했다. 김 의장은 “이번 발제의 결과물은 인간중심 보안 포럼의 주요 사업 목표 중에 하나”라며, “이번 발제와 후속 논의를 통해 보안문화 진단 컨설팅이 활성화될 수 있는 초석을 마련했으면 좋겠다”고 말했다.

김 의장은 발제에서 기업의 조직문화 연구사례와 조직문화 유형에 대해 소개하고, 보안문화를 이해할 수 있는 여러 연구 성과를 설명했다. 이어 보안문화의 유형과 진단 및 측정방법을 제시함으로써 보안문화가 어떻게 기업의 조직문화에 뿌리내릴 수 있도록 할지 고민해보는 시간을 마련했다.

보안문화는 보안 성과 달성을 위한 근본적인 요소라는 점이 인식되기 시작하면서 2010년 이후부터 본격적으로 연구되기 시작했으며, 위험을 감소시키고 가치를 높이며 보안 사고를 회피할 수 있도록 하는 하나의 수단으로 보고, 보안문화의 유형, 진단, 전환에 대한 노력이 지속적으로 이루어지고 있다는 게 김 의장의 설명이다.

김 의장은 “조직문화의 핵심개념은 조직 내 공유가치와 관습, 행동규범을 제시하는 것으로, 인간중심 보안의 관점에서도 ‘보안정책이 아닌 보안문화가 행동을 결정짓는다’라는 명제를 우선적으로 인식하는 데서 시작해야 한다”고 강조했다.

이를 기반으로 김 의장은 각각의 조직에 맞는 최선의 보안문화가 어떤 것인지 조직문화 7S 모델을 중심으로 보안에 적용해 보는 방법을 제시했다. 조직문화의 7S 모델을 보안문화에 적용하는 방안으로 △공유가치(전사보안의 중요성, 보안지향적 사고와 행동) △구성원(능력, 욕구, 지각, 태도, 보안 관련 역할과 책임) △기술(보안 프로그램, 솔루션 사용) △구조(보안부서의 위상과 편제, 업무분장) △전략(비즈니스 연계 보안전략) △시스템(평가 및 보상체계, 의사결정/소통 프로세스, 보안시스템 운영) △스타일(리더십, 의사결정에 있어 보안이슈 반영) 등이 소개됐다.

▲인간중심보안 포럼에서 발제하고 있는 김정덕 의장[사진=보안뉴스]


이와 함께 김 의장은 기업 보안문화를 진단하기 위한 체크리스트로 공유가치, 전략, 구조 등 조직문화 구성요소에 따른 진단항목을 제시했다. 일례로, 공유가치 측면에서는 ‘기업보안이 우리 회사에 존재해야 하는 이유에 대해 잘 알고 있다’, ‘기업보안 관련 경영이념을 잘 알고 있다’ 등의 항목이, 전략 측면에서는 ‘회사는 명확한 보안전략과 계획이 수립되어 있다’, ‘보안전략과 연계된 인적자원의 배치가 적절하다’ 등의 체크리스트가 제시됐다.

마지막으로 김정덕 의장은 “기업보안의 특성을 고려해 조직 내 보안문화가 조성돼야 한다”며 한국의 조직문화와 보안문화, 보안문화 유형과 진단방법에 대한 두 가지 토론 주제를 제시하면서 발제를 끝냈다.

김정덕 의장의 발표가 끝난 이후, 인간중심보안 포럼 회원들은 토론 주제에 대한 다양한 의견을 제시했다. 이와 관련 김영기 KB국민은행 상임감사(전 금융보안원 원장)는 “우리나라 특히, 금융 부문에서는 각종 법규, 규정 등에 보안에 대한 규율이 있고, 이러한 규제를 이행하기 위한 유인책을 만들면서 문화가 형성되어 왔기 때문에 Compliance Culture 측면이 크지 않을까 싶다”며, “현장에서는 정보보호 부서가 타 사업 부서를 리드하지 못하는 것이 여전한 현실이기 때문에 정보보호 부서가 보안에 대한 리스크 인식, 측정을 제대로 하고, 이를 전체 조직으로 공유하고 확산할 준비가 되어 있는가 하는 측면이 매우 중요하다”는 입장을 피력했다.

이어 김 상임감사는 “보안문화 형성에 있어서는 결국 제도적 설계와 운영이 가장 중요한 부분이라고 생각한다”며, “영리 조직이 보안을 우선시한다는 건 현장에서는 제대로 작동하기가 어렵기 때문에 제도적으로 권한, 역할 등이 보장돼야만 문화도 이에 따라 형성될 수 있다”고 강조했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>