[인터뷰]조희준 IT컨설팅-IT감리법인 수석컨설턴트

“정보시스템 감리의 변화...보안전문가들 그에 따른 대비, 노력 필요”

1987년 국내에 도입된 ‘정보시스템 감리’. 공공부문에 한정돼 있다는 점이 대중적으로 많이 알려지지 않은 이유로 작용했을지도 모른다. 하지만 정보보호에 대한 사회적 이슈와 함께 그 필요성이 강하게 부각되고 있는 현 시점에서 ‘정보시스템 감리’ 영역에도 새로움 움직임이 일고 있다. 기존 IT감리의 4대 감리 영역 중 일부분을 차지했던 ‘보안’ 영역이 별도로 분리돼 IT감리에 있어서 5대 영역 중 하나로 중요한 부분을 차지할 것으로 보이기 때문이다. 그런 측면에서 기존 ‘정보시스템 감리’에 대한 이해도를 달리할 필요가 있겠다. 그것도 정보보안 영역으로써 말이다. 이에 조희준 IT컨설팅-IT감리법인 수석컨설턴트를 직접 만나 정보시스템 감리가 무엇이며, 향후 어떠한 변화가 있는지 등에 대해 들어봤다.

-정보시스템 감리란 무엇이며, 정보시스템 감리원은 어떠한 업무를 하나?

정보시스템 감리란, 행정안전부 산하기관인 한국정보화진흥원(NIA)에서 주관해 일반 IT 감리법인이 실시하는 ‘정보시스템 통제와 소프트웨어 품질보증’에 대한 IT 감사의 종류다. 공공기관의 IT사업에 대해 그 사업을 수주한 사업자, 그 사이에서 객관적으로 수행하는 전산 감사라 할 수 있다.

즉 감리발주자 및 피감리인의 이해관계로부터 독립된 자가 정보시스템의 효율성을 향상시키고 안전성을 확보하기 위해 제3자적 관점에서 정보시스템의 구축에 관한 사항을 종합적으로 점검하고 문제점을 개선토록 하는 것을 말한다.

정보시스템 감리는 이미 1987년 국내에 도입된 이래, 그 수요가 공공 측면에서 감당할 수 없을 정도로 많아져 1998년 민간 감리법인으로 이양되기 시작했다. 이후 1999년 ‘정보화촉진기본법’에 그 근거 조항이 신설됐고, 이에 근거해 고시된 ‘정보시스템 감리기준’에서는 정보시스템의 감리 절차 및 방법을 제시해 공공부문의 정보시스템 감리의 기반이 돼 현재에 이르고 있다.

하지만 감리업무의 특성상 감리현장에 투입되는 감리 인력의 전문성이 매우 중요함에도 불구하고, 자격에 대한 기준과 책임소재 등이 불명확해 부실감리가 발생하는 경우에도 이를 제재할 근거가 부재한 것이 사실이었다. 이에 공공부문에서 수행되는 일정 기준 이상의 정보화사업에 대한 감리 의무실시, 감리법인 등록제도, 감리원 자격기준, 교육 등과 감리결과에 대한 책임소재를 명확히 하는 등 국가적인 정보시스템 감리제도를 도입·강화키 위해 ‘정보시스템의 효율적 도입 및 운영 등에 관한 법률’이 지난 2005년 12월에 제정됐다. 이후 2006년 8월에는 ‘정보시스템 감리원의 자격 및 교육 등에 관한 고시’, ‘정보시스템 감리기준’이 제정·고시(2006년 10월)됐다. 특히 2007년 1월부터는 정보시스템 감리와 관련된 제도가 본격적으로 시행되고 있다.

-향후 정보시스템 감리 검정 과목의 변화가 있을 것으로 알고 있는데?

현재는 IT 감리의 4대 감리 범위 중에서 시스템구조와 정보보안이 하나로 묶여 있다. 하지만 정보보안에 대한 중요도가 커지면서 내년에는 각각의 범위로 분리될 것으로 예상하고 있다. 올해 7.7DDoS대란을 경험해 보았듯이 정보자산에 대한 위협은 그 부정적 영향이 꽤나 크다.

2009년도까지 10회의 정보시스템 감리사 검정과목은 ‘감리 및 사업관리’, ‘소프트웨어 공학’, ‘데이터베이스’, ‘시스템구조 및 보안’의 4과목이었다. 즉 시스템구조와 보안이 하나의 과목으로 묶여 있었다. 하지만 이제 이 두개가 각각의 범주로 분리될 것이다.

몇 년 전만 해도 보안은 감리영역에는 있었지만 감리 수행이나 보고서에는 별로 중요시되지 않았다. 하지만 지금은 보안이 기본 감사 활동영역일뿐만 아니라 보고서의 주인공이 됐고, 보안만을 주제로 하는 IT 사업도 많아졌다.

단순히 과목의 변화로 여길 수 있겠지만, 보안이 시대적 요구로까지 중요해졌다는 점은 시사하는 바가 크다 여긴다.

-그러한 변화에 따라 보안전문가들은 어떠한 준비와 고민이 필요한가?

IT 분야에서는 최근에 정보보안이 두드러지게 각광 받고 있다. 그 전에는 IT 예산의 마지막 부분이 정보보안이라고 할 만큼 예산이 부족하면 생략됐던 분야가 정보보안이었다. 그런 측면에서 우선은 정보보호가 꼭 투자해야하는 핵심분야라는 인식전환이 필요하다.

정보보안에 대한 법규와 규제가 강화되고 있고, 정부의 공공사업 정보시스템 감리에도 보안은 당당히 하나의 감리영역으로 자리매김하고 있다는 것은 시대가 정보보안 전문가를 찾고 있다고 봐야 한다. 그럼에도 정보보안 전문가가 준비가 안돼 있다면 이는 이율배반적이라고 할 수 있다. 그런 측면에서 CISSP과 같은 정보보안 전문가 자격증을 취득하고 있는 사람 등은 사회가 요구하는 정보보안 전문가로서의 자질을 스스로 개발하고 개척해 나가야 할 것이다.

-감리를 하면서 겪은 보람이나 아쉬움이 있다면?

최근에는 은행과 같이 공공성을 뜬 일반 기업에서도 정보시스템 감리가 이루어지고 있다. 감리가 적발에서 교정, 예방 활동으로 패러다임이 바뀌고 있다는 한 예가 될 수 있겠다. 지적과 개선사항에 대해 공공기관(발주자)과 사업자(수주자) 모두를 만족시켰을 때 보람을 느낀다. 하지만 생리적으로 감리를 감시하거나 지적하는 사람으로만 볼 때는 큰 아쉬움이 남기도 한다.

-개인이 생각하는 정보보호란?

정보보호는 관심이다. 관심으로 시작하는 것이 정보보호의 시작이라 생각한다. 그리고 정보보호는 보안팀 등 특정 부서만의 일이 아니며 전체 부서의 일이며 다만 보안부서는 조력자의 역할을 할뿐이다.

정보시스템감리의 분야에서도 보안은 큰 이슈다. 하지만 보안전문가가 부족한 것이 현실이다. 그 말은 보안전문가가 되려고 공부하는 사람이 적다는 말이기도 하다. 회사에서 맡은 보안의 분야만 하다보면 협소해져서 넓게 보기 힘들다. 그런 측면에서 보안과 관련된 협회 연구활동은 많은 도움이 될 수 있을 것이다. 그리고 요즘도 정보보안담당이사(CISO, CSO)나 정보보안관리자들 중 타 업무와 겸직이 많은데, 이러한 전문성 결여에 대한 부분에 대해서도 다시금 곱씹어 고민해 볼 필요가 있겠다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>