• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[특집] 우리 회사 보안, ‘몸짱’ 만들기 프로젝트!-1단계 2010.03.03

훈련 목표를 정하고 계획을 세워라!

정보보안의 목적과 방법을 명확히 해라

몸짱이 되기 위해서 가장 먼저 해야 할 일이 바로 내가 어떤 훈련 과정을 통해 어떤 형태의 몸으로 만들겠다는 계획이 서야 한다. 물론 기업 정보보안도 가장 먼저 보안의 목적을 명확히 하고 그 목적을 달성하기 위해 필요한 계획을 수립하는 일이 필수적이다. 열악한 우리 기업들의 보안 수준을 어떻게 하면 끌어올려 ‘보안 몸짱’으로 만들 수 있을까? 


Ⅰ. 보안의 목표를 명확히 하라

기업 보안을 강화하기 위해서는 무엇보다도 우리 회사는 무엇을 반드시 지켜야 한다는 명확한 목적이 서야 한다. 우리 회사는 고객 개인정보를 철저히 해야 한다, 아니면 우리 회사는 기술개발 결과물을 철저하게 보호해야 한다 등등 구체적으로 우리 회사만의 보안 목표가 세워져야 한다. 전일성 에이쓰리시큐리티 컨설팅본부 이사는 “보안을 처음 준비하는 단계에서 가장 중요한 것은 보안의 정의를 무엇으로 할 것인지 먼저 정해야 한다. 즉 자산보호, 내부정보 보호, 정보유출 방지, 등 어떤 정보를 어떻게 보호해야 하는지 그 목적을 정확히 정해서 거기에 맞는 보안활동을 해야 한다”고 강조했다. 그는 또 정보보안의 목적은 기업의 IT환경과 비즈니스가 연계돼야 하며 그 목적이 정확하게 정해지지 않은 상태에서는 주어진 예산과 인력에 한계가 있기 때문에 체계적이고 효율적인 보안 구축이 어렵다고 덧붙였다.

보통 기업의 보안 체계 수립 단계는 어떤 기준을 가지고 하느냐가 중요한데 대기업이나 기반시설보호법에 해당되는 기업은 국가가 정해놓은 규정에 맞게 보안체계를 확립하는 경우가 많다. 물론 한번 구축한 보안시스템이 영원한 것이 아니기 때문에 지속적인 이행을 통해 다시 점검하고 보완해 나가고 있다. 하지만 중소기업이나 소기업 등에서는 보안에 대규모 투자가 힘든 상황이기 때문에 무엇보다 먼저 CEO가 나서서 사내 보안 상황을 파악하고 우리 회사가 지켜야 할 것이 무엇이고 보안을 하기 위해서는 어떤 준비들이 필요한지 프로세스를 세워야 한다. 성경원 인포섹 융합컨설팅사업본부 컨설팅고도화팀 팀장은 “기업의 보안은 솔루션이 모든 것을 해결해 주는 것은 아니다. 기업의 비즈니스를 지원하는 방법으로는 IT 시스템이 있고 보안은 사업의 안전성을 확보해주고 고객에게 신뢰를 줄 수 있는 보험과도 같은 것”이라며 “가장 중요한 것은 솔루션 보다는 사람”이라고 강조했다. 다시 말해 대기업은 체계적인 보안팀 구축이 가장 먼저 이루어져야 하며 중소기업 등에서는 최소 1인 이상의 보안 전문 인력을 채용하는 것이 첫 번째로 중요한 일이라고 전문가들은 말하고 있다. 그 이후에 CEO와 보안담당자가 회의를 통해 우리 회사 보안의 목표를 명확히 정하고 그에 맞는 프로세스를 정립해 나가야 한다.

Ⅱ. 계획을 세우기 위해 전문가 도움은 필수

전일성 에이쓰리시큐리티 컨설팅본부 이사는 “기업에서 초기 보안을 구축할 때 우선 단계로 보안 취약점 진단과 위험분석을 통해 문제점을 찾아 적절한 방안을 마련하고 확실한 보안체계를 구축하는 것이 좋다”고 설명했다.

이를 위해서는 내부적인 보안 점검보다는 외부 전문가에 의한 보안 컨설팅이 효과적인데 그 이유는 보다 객관적으로 정확한 진단과 적절한 해결 방안 도출을 위해서 꼭 필요한 요소라는 것. 특히 대기업과 중소기업 등 그 회사의 규모나 환경에 따라서 많이 다른데 대규모 기업은 예산이 충분하기 때문에 이러한 컨설팅을 통해 보안의 문제점을 찾아 해결한다. 외부적인 보안 위험에 대한 대응은 웹 방화벽 등 외부의 침입을 방어하는 보안 솔루션 등을 구축하는 방법이 있고 내부적인 위험에는 내부 직원들의 보안인식 제고를 위한 교육과 내부정보의 보호와 유출방지를 위한 솔루션 등을 통해서 보안을 강화할 수 있다.

전일성 팀장은 “이들 중에서 가장 중요한 것은 비즈니스와 가장 밀접하게 연계된 것을 먼저 보호해야 하고 최종적인 것은 내부 경영진과 보안 담당자의 판단으로 우선순위를 정해야 한다”고 강조했다. 아울러 최재명 인포섹 융합컨설팅사업본부 부장은 “기업에서 정보보호는 기본적으로 데이터의 보호가 우선인데 회사 내부에 숨어있는 정보들을 보호해야 하는 것도 중요하다”면서 “회사 내의 모든 정보자산을 찾아 1, 2등급으로 나누어 어떻게 보호해야 하는지를 정하고 특히 연구소 등 이직률 높은 부서의 인적자원도 하나의 정보자산으로 보고 이를 보호하기 위한 방법도 생각해야 한다”고 설명했다. 아울러 기업의 인프라 측면에서 조직변경 등과 같은 업무적인 환경 변화에 따른 적절한 보안 대책이 시기적절하게 마련돼야 한다. 이를 위해서는 내부적인 보안 점검도 좋지만 외부 전문가의 컨설팅을 통한 체계의 정립도 중요하다. 이에 정보보호관련 인증을 획득해 꾸준히 지속적인 보안을 유지하고 강화하는 것도 기업 내의 보안 강화를 위한 좋은 방법이다.

<글 : 김태형 기자| 호애진 기자>


[월간 정보보호21c 통권 제114호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>