기업 보안 투자에 있어 투자대비효과(ROI)만을 따지던 시대는 지나갔다. 기업 최고 경영진 한 두 명의 관심과 의지 여부에 따라 보안 투자가 자의적으로 결정되는 것이 아니라 최근에는 다양한 내ㆍ외부 규제들에 의해 기업에 일정 수준 이상의 보안 투자가 강제되고 있는 상황이다.

투자 대비 효용이나 가시적 실적을 중요시해 온 기존 기업 문화에서 보안은 투자를 해도 가시적인 효과를 확인하기 어려운, 잘해도 현상 유지에 불과한 잉여물로 인식되어 항상 다른 비즈니스 목표에 밀릴 수밖에 없었다. 하지만 최근 기업 보안은 비즈니스와 뗄래야 뗄 수 없는 관계로 얽혀 있으며 기업의 존망과 비즈니스의 성패를 좌우할 만큼 기업 비즈니스 환경의 핵심 요소로 변화하고 있다.

영화 해운대 동영상 파일의 유출 사례와 산업기밀 유출 사건에서 보듯 기업 보안이 기업의 핵심적 비즈니스의 성공에 차지하는 역할은 절대적이며 소비자 개인정보 유출사고와 E-Discovery와 같은 IT 컴플라이언스 준수 실패의 결과는 기업의 존망을 좌우할 정도로 치명적이다. 이처럼 오늘날 비즈니스 환경에서 보안은 선택 사항이 아닌 기업의 생존과 경쟁을 위한 필수 요구사항이 되어가고 있다.

비즈니스 보호를 위한 전사적 위험관리 도구로서의 기업 보안

최근 상황 변화의 주요 동력은 기업 IT 환경의 변화와 기업 규제 강화의 흐름에서 찾아볼 수 있다. 비즈니스 환경에서 IT가 차지하는 비중이 증가하고 기업 데이터의 디지털화가 확대됨에 따라 전체 기업의 리스크에서 IT 리스크가 차지하는 비중이 증가하고 있다. 기업 회계나 문서 관리 등 기업 업무 대부분의 영역이 IT화되고 있으며 지적재산권 침해, 프라이버시 침해, 회계 부정 등 종래의 非-IT 리스크들이 대거 IT 리스크 영역으로 포괄되고 있다. 기업 내에서 보안이 담당해야 할 영역 및 역할이 단순한 정보시스템 보안이나 네트워크 보안을 넘어 비즈니스 전 영역과 프로세스로 확장되고 있는 것이다.

미국 엔론 사건을 포함한 글로벌 기업들의 일련의 회계부정사건 이후 전 세계적으로 기업들에게 높은 수준의 내부통제 및 위험관리를 요구하는 규제가 지속적으로 강화되고 있다. 또한 소비자 개인정보보호 책임에서부터 지적재산권 보호책임, 환경 보호책임, 각종 IT 컴플라이언스 준수 의무에 이르기까지 기업의 사회적 책임과 의무에 대한 요구가 높아지고 있다. 현재 전 세계적으로 내부통제 및 위험관리, 보안, 개인정보보호, 데이터 보존 및 정보관리 등 다양한 분야에 걸쳐 만여 개 이상의 기업 대상 IT 컴플라이언스들이 존재하고 있다.

기업은 이러한 IT 컴플라이언스 요구사항을 준수하지 못했을 경우 경영진의 직접적인 법적 책임, 벌금 및 규제 당국의 직, 간접적인 간섭, 민사소송으로 인한 경제적 피해, 기업 이미지 추락, 주식가치 하락, 소비자 신뢰 및 기업 경쟁력 하락, 비즈니스 기회 상실 및 기업 돌연사와 같은 치명적인 리스크에 직면할 수 있다. 이처럼 잠재적 리스크에 일상적으로 노출되어 있는 비즈니스 환경에서 기업 보안의 목표는 다양한 규제를 준수하고 보안 리스크들로부터 기업을 보호함으로써 기업의 비즈니스 목표를 달성하는 것이 되어야 한다.

국제적인 컨설팅업체 가트너는 이미 몇 년 전 한 보고서에서 “향후 보안 전문가들은 많은 기업들에서 조직을 보호하는 리스크 관리 담당관(Risk Management Officer)의 역할을 수행하게 될 것”이라며 미래 기업 보안의 역할이 전사적 리스크 관리가 될 것으로 전망하고 있다.

이처럼 전사적 리스크 관리로서의 기업 보안은 기업 거버넌스와 IT 거버넌스에 있어 기업이 우선적으로 고려해야 할 핵심적인 요소로 인정받고 있다. 기업 내 다양한 리스크에 대해 전사적인 차원에서 지속적으로 리스크 관리를 수행하기 위해 기업 내 독립적인 보안조직 및 임원급 최고보안책임자(CSO)에 대한 요구가 높아지고 있으며 이미 해외의 선진적인 많은 기업들이 최고보안책임자제도를 두고 있다.

능동적 비즈니스 가치 창출의 도구로서의 기업 보안

최근 소비자들은 제품이나 서비스 선택 시 프라이버시와 보안 수준을 주요 고려 사항 중의 하나로 여기고 있으며 기업들이 사업 파트너를 선택할 때에도 역시 프라이버시와 보안 수준을 고려하고 있다. 개인정보 침해와 분산서비스거부(DDoS)공격, 바이러스의 공포와 위험이 일상화된 사회에서 소비자들은 이미 ‘안전’을 최우선 가치의 하나로 인식하고 있는 것이다.

이처럼 기업 보안의 수준은 타제품, 타서비스, 타기업과의 차별성을 제공해주는 기업의 새로운 경쟁력이 되어가고 있다. 기업들은 기업 보안이 수동적 규제준수 전략으로서의 기업 위험 관리뿐만 아니라, 능동적인 가치창출의 도구가 될 수 있음을 인식해야 한다.

20세기 환경 규제의 시대에 선도적인 기업들이 그린경영, 환경 친화적 기업, 친환경 제품 등을 내세워 기업 발전의 기회로 삼았듯, 기업들은 21세기 IT 컴플라이언스 시대의 규제 요구사항들을 기업 발전의 새로운 기회로 삼기 위한 전략을 구상해야 한다. 이러한 새로운 전략을 우리는 ‘보안 친화적 경영(Security-friendly Management)’라고 부를 수 있을 것이다. 사이버 보안 리스크 및 IT 컴플라이언스 리스크를 포함한 기업의 주요 리스크들을 효과적으로 관리하고 기업의 연속성을 확보하면서 기업의 경쟁력을 제고하기 위한 방안이 바로 ‘보안 친화적 경영’으로의 패러다임 전환이다.

즉 ‘보안 친화적 경영’은 기업의 경영층을 포함한 전 직원들이 기업비밀 보호 및 소비자 개인정보보호를 포함한 기업 보안을 기업의 최우선적으로 고려해야 할 가치로 깊이 인식시키고 기업 보안 원칙을 관리-기획-생산-판매와 같은 기업 전체 프로세스에 근본적으로 결합시킴으로써 보안 가치를 지속적으로 실현하는 한편, 보안 강화 제품 및 서비스 개발을 통해 무한 경쟁 환경에서 기회를 선점하기 위한 적극적인 경영전략이라고 할 수 있다.

이러한 ‘보안 친화적 경영’ 전략을 통한 기업의 신뢰성 증가와 대내적 충성도 증가, 긍정적 기업 가치 및 이미지 창출로 인한 대외적 경쟁력 강화는 기업으로 하여금 비즈니스 목표 달성과 지속가능경영 달성을 가능하게 할 수 있다.

전사적 위험관리와 비즈니스 전략으로서의 기업 보안

비즈니스 환경 변화가 비즈니스에 대한 생각과 비즈니스 자체를 변화시키고 있듯 이제 기업 보안에 대한 생각이 바뀌어야 하며 보안 자체가 변화해야 할 때다. 기업 보안은 더 이상 IT 분야의 기술적 이슈만이 아니라 법적, 윤리적, 경영적 이슈를 아우르는 기업의 전략적 비즈니스 이슈로 받아들여져야 한다.

앞서 살펴보았듯 기업 보안을 둘러싼 비즈니스 환경의 변화는 기업들에게 더 많은 책임과 새로운 규칙 준수를 요구하고 있다. 이제 기업들은 어떻게 하면 새로운 규칙에 신속하고 능동적으로 적응하여 경쟁력을 갖출 것인가에 대한 전략을 수립해야 한다.

그 경쟁력의 중심에 바로 기업 보안이 존재하며 기업 보안 변화의 중심에 최고보안책임자가 위치해야 한다. 비즈니스 목표 달성을 위해 기업보안은 최고보안책임자를 중심으로 수동적 규제 준수 전략으로서의 전사적 위험관리 뿐만 아니라 능동적인 가치창출을 위한 적극적인 비즈니스 전략으로서 자리매김할 수 있어야 한다.

<글 : 임종인 교수 | 고려대학교 정보경영공학전문대학원 교수 | 한국정보보호학회 회장(jilim@korea.ac.kr)>

[월간 정보보호21c 통권 제113호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>