• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

정보보호 거버넌스 체계 구축 시급하다 2009.10.19

최근 들어 CSO(Chief Security Officer)나 CISO(Chief Information Security Officer)를 위한 협회나 포럼이 설립되고 있으며, 사이버 보안관 3500명 양성 등 정부 및 민간단체에서 정보보호를 담당하는 중역이나 전문가의 역할과 책임에 대한 관심이 고조되고 있다. 이는 정보보호가 단순히 기술적 이슈를 넘어서서 비즈니스 이슈로 변화되고 있다는 점을 간접적으로 보여주고 있다.

해외 저명한 전문가들은 일찌감치 정보보호가 기술적 이슈가 아닌 관리적 이슈, 인적자원에 대한 이슈라는 점을 강조했으며, 정보보호 사고가 비즈니스에 미치는 영향이 점차 지대해 짐에 따라 이제는 정보보호가 IT 부서만 책임지는 것이 아닌 CEO를 위시한 회사의 중역이 직접 챙겨야 하는 사안이 되었음을 의미하고 있다.


그러나 국내 현실은 여전히 정보보호를 기술적 이슈로 보는 시각이 지배적이며 따라서 정보보호 기능은 IT 부서에서 수행하는 여러 기능 중 하나로서 인식되고 있다. 설령 CSO나 CISO가 임명된 몇몇 조직에서도 주어진 역할을 적절하게 수행할 수 있는 전문지식과 역량이 명확하게 규정되어 있지 않으며, 역할 수행에 필요한 방법도 제시되고 있지 않기 때문에 그 실효성에 의문이 있다.

이 결과, 투자의사결정권한을 가지고 있는 최고경영층에게 정보보호의 비즈니스 가치를 구체적으로 제시하지 못하는 현실에서 정보보호 투자는 항상 다른 투자에 비해 우선순위에서 밀리고 있으며, 최고경영층 역시 정보보호는 자신이 책임지거나 관리해야 할 대상이 아닌 정보 시스템 관리자의 업무로 인식하고 있다. 그러나 정보보호 사고로 인한 직접적인 피해뿐만 아니라 기업 이미지 손상(Reputation Risk), 주식가치 하락(Financial Risk) 등의 문제는 비즈니스에 매우 심각한 영향을 주고 있으므로 전사적 차원에서의 정보보호 노력과 더불어 최고경영층의 주도적 역할이 요구되고 있다.  

이러한 문제를 해결하고 실효성 있는 정보보호를 조직 내 정착시키기 위해서는 정보보호의 새로운 패러다임이라고 하는 ‘정보보호 거버넌스’ 구축이 필요하다.  정보보호 거버넌스란 ‘기업 거버넌스의 일환으로서 비즈니스와의 전략적 연계와 관련 법·규정의 준수를 위해 기업의 모든 이해관계자를 고려하여 최고 경영층 및 이사회의 정보보호 프로그램에 대한 지시 및 통제 활동과 이를 위한 조직, 역할과 책임, 절차를 포함한다’라고 정의할 수 있다. 다시 말해 최고경영층이 직접 정보보호를 챙길 수 있도록 하고, 또한 정보보호책임자는 최고경영층이 요구하는 비즈니스적 측면에서의 정보보호의 효과와 영향을 보고할 수 있도록 하는 체계 구축을 의미한다. 이를 가능하게 하기 위해서는 세 가지 측면에서의 노력이 필요하다.


첫째, 인식변화와 제도 구축 등 정보보호 거버넌스 구현을 위한 환경 조성이 필요하다. 최고경영층의 정보보호에 대한 보다 적극적이고 자주적인 인식변화와 더불어 제도적으로 최고경영층의 정보보호에 대한 역할과 책임을 보다 강화해야 할 것이다. 이미 미국과 유럽 일부 선진국에서는 내부통제 시스템의 일부로서 정보보호 구현에 대한 책임을 CEO와 CFO에게 묻고 있다.

둘째, 정보보호 거버넌스 구현 및 평가를 위한 제반 기준 및 지침 수립이 필요하다. 정보보호 투자관리, 정보보호 활동의 성과평가, 정보자산에 대한 위험관리, 비즈니스와의 전략적 연계 등에 관한 지침 및 방법 개발이 요구된다.

셋째, 정보보호 거버넌스를 용이하게 수행할 수 있는 제반 시스템이나 도구들이 개발될 필요가 있다. 최근 GRC(Governance, Risk, Compliance) 시장이 점차 확대되고 있으며 이를 위한 시스템 개발이 해외에서 활발하게 진행되고 있다. 국내에서의 GRC 시장은 아직 초보단계에 있으며 앞으로 많은 연구개발이 요구된다.


과거 10년여에 걸친 국내 정보보호 확산 노력으로 인해 기술적 측면에서의 많은 업적을 이루었다는 점은 부인할 수 없다. 그러나 정보보호가 비즈니스에서 차지하는 중요성에 비춰볼 때 정보보호 거버넌스로의 패러다임 변화 없이는 더 이상의 발전을 기대하기 어려울 것이다. 

<글 : 김 정 덕 | 중앙대학교 산업과학대 학장·정보시스템학과 교수(jdkimsac@cau.ac.kr)>


[월간 시큐리티월드 통권 제153호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>