국내에서 유일하게 보안관리 분야에 대한 연구ㆍ개발, 제도 마련 및 시행, 보안관리기술 표준화, 보안관리전문가 양성, 위험관리 방법론 개발, 정보보호서비스산업 육성 등 기업의 정보보호 수준 제고를 위해 “Security is a Business”라며 한결같이 뛰어온 이들이 있다. 바로 국내 기업의 정보보호를 책임지고 있는 한국인터넷진흥원(이하 KISA)의 기업보안관리팀이다. 이들을 진두지휘하고 있는, 보안 히스토리의 산 증인인 장상수 팀장을 만나 봤다.

장 팀장은 국내 최초로 IBM 메인프레임을 도입, 온라인 시스템을 구축ㆍ운영하고 국내 IT 산업의 선구자 역할을 수행한 대한항공 정보시스템실에서 전 세계에 거미줄처럼 연결된 통신망과 항공사만의 독특한 통신 프로토콜을 통해 네트워크 설계 및 분석 업무를 시작했다. 이어 95년도에 인터넷을 접하게 되면서 자연스럽게 정보보호와 인연을 맺고 이후 (구)한국정보보호진흥원(KISA)에 합류해 15년 이상을 정보보호 업무에 열중해왔다.

그는 “<Secrets & Lies와 Beyond Fear>를 저술한 세계적 보안전문가인 Bruce Schineier박사가 정의한 것처럼 정보보호는 기술이 아니라 프로세스다(Security is not about product, It’s about procedures)라는 철학적인 말에다가 감히 하나 더 추가한다면 정보보호는 비즈니스다(Security is a Business)라고 생각한다”고 밝혔다. 이는 정보보호가 위험관리(Risk Management), 비즈니스 연속성, IT Governance & Compliance, 개인정보보호 등 비즈니스 요구사항을 충족해야 하기 때문이라는 것.

그는 또 “정보보호는 기업에서 어떤 시점까지 얼마나 효과를 볼 수 있는 과정과 절차를 적용하느냐가 중요하다”며 “무엇을 지키고 편안하게 하기 위해서는 그걸 원하는 사람의 적극적인 준비가 필요하며 그 지킬 대상이 오래도록 남아 있도록 하는 것이 그 지킬 대상을 참되고 편안하게 한다는 것”이라고 덧붙였다.

즉 기업의 비즈니스 연속성 확보를 위해서는 지금 당장의 위험과 앞으로 닥칠 수 있는 문제를 함께 생각해야 한다는 것이며 비즈니스 프로세스 상에서 일관되고 꾸준한 절차와 함께 정보보호 활동이 지속돼야 한다는 것을 의미한다는 것이다.

정보보호관리체계(ISMS)부터 시작해야

그는 ‘정보보호관리체계(ISMS) 수립’의 중요성을 거듭 강조했다. 경영자의 보안에 대한 의지와 조직 문화 정착, 기업의 사회적 책임 인식, 임직원들에 대한 교육 등의 보안관리체계 수립이 우선시해야 한다는 것.

장 팀장은 “정보보호에 대한 기업의 사회적 책임과 역할이 어느 때보다 중요한 시점이며 보안 컴플라이언스 등 보안관리 문제가 기업 경쟁력의 핵심 요소로 인식되고 있어 보안사고로 인한 법적 분쟁 발생시 정보보호 활동에 대해서도 어떻게 대응할지 고민해야 한다”며 “이러한 환경변화 대응하기 위한 기업의 효과적인 정보보호 강화 전략으로 먼저 전담조직을 구성하고 정책 수립 및 정보자산에 대한 위험 평가 등 체계적이고 일관적인 보안관리 활동을 할 수 있는 기틀인, 정보보호관리체계(ISMS) 인증부터 시작해야 한다”고 설명했다.

예를 들어 지난 3월 개인정보 암호화 등 기술적 보호조치 의무를 이행하지 않아 51만 건의 인터넷 회원정보를 유출한 업체 대표가 최초로 사법 처리돼 불구속 입건됐고 4월에는 부산경찰 사이버수사대가 1,300만 건의 개인정보 유출과 관련해 해커 2명과 서버 보안 관리를 소홀이 한 업체 관리자 32명을 입건한 바 있다.

그는 “이런 기업들이 미리 정보보호관리체계를 구축ㆍ운영하고 인증을 받았다면 개인정보 유출사고로 인한 피해 등을 사전에 예방할 수 있지는 않았을까 생각한다”며 “이는 사후 대응보다는 사전에 준비하고 예방하는 선제적 예방활동의 중요성을 다시 한 번 생각하게 해주는 대목이며 이러한 침해사고 사례들은 기업의 지속적인 성장을 위해서 보안 투자 및 체계적인 관리가 더 이상 선택이 아닌 필수라는 것을 시사하고 있다”고 의견을 피력했다.

최근 경영여건의 어려움으로 기업들이 정보보호에 대한 비용 압박과 IT 신기술의 등장으로 새로운 위협이 증가하면서 보안관리자들의 부담과 걱정은 점점 더 커져만 가고 있다.

아울러 보안 컴플라이언스 강화, 사이버 공격에 따른 기업의 피해액 증가 등 이러한 환경변화는 정보보호에 대한 위협을 증가시켜 기업에서 비용효과적인 대책 수립이 중요한 이슈로 대두되고 있다.

장 팀장은 “조직에서 비즈니스의 연속성을 확보하기 위해 각종 위협으로부터 정보자산을 보호하기 위한 위험관리 기반의 체계적이고 지속적인 프로세스 개선활동의 하나인 정보보호관리체계가 구축돼야 한다”며 “2010년은 정보보호의 패러다임이 기술적 보안을 지나 정보보호관리체계(ISMS), 정보보호 거버넌스, 보안 컴플라이언스의 연계를 통해 정보보호가 변화하는 비즈니스 환경에 능동적으로 대처할 수 있는 Security 2.0의 원년이 될 것으로 예측한다”고 밝혔다.

기업 정보보호를 위해 힘쓸 것

KISA의 기업보안관리팀은 정보통신서비스제공자의 정보보호 수준 제고를 위해 국내 환경에 적합한 정보보호관리체계(ISMS) 모델을 최초로 개발 및 제도화해 운영하고 국내외 표준화를 추진하는 등 국내 IT서비스업체의 경쟁력 강화와 기업의 지속 성장 기반을 마련하는 데 큰 기여를 하고 있다. 특히 국내 영세한 중소 IT서비스기업체 대한 현장 방문 취약점 점검 서비스 등 컨설팅을 무료로 매년 지원해 영세 IT서비스 업체의 정보보호 수준을 강화하는데 노력하고 있으며 일정 규모 이상의 정보통신서비스제공자에 정보보호 안전진단 제도를 도입해 정보보호 수준을 획기적으로 향상시켜 막대한 경제적 사회적 피해로 이어질 수 있는 침해 사고를 예방하고 있다.

장상수 팀장은 “기업 보안은 급변하는 환경 속에서 기업의 미래 생존을 위한 핵심가치를 지속시키고자 하는 것이며 기업의 침해사고에 의한 정보유출은 기업의 생존뿐만 아니라 국가적 손실과 국민 경제에까지 피해를 입힐 수 있다”며 “이제는 정보보호가 변화하는 비즈니스 환경에 능동적으로 대응할 수 있는 전략이 필요하며 효과적인 보안은 보안 전담 조직을 만들고 정책을 수립하고 표준화된 관리체계를 수립해 비즈니스 전략과 부합된 보안전략을 일관성과 지속성을 가지고 수행하는 것”이라고 말했다.

향후 기업보안관리팀은 규제 중심에서 기업 스스로 자율적인 정보보호 활동을 촉진할 수 있도록 표준화된 위험관리 방법론을 개발해 보급하고 경영층 대상 인식제고와 담당자에 대한 실무 교육을 강화해 나갈 예정이다.

아울러 정보보호 안전진단 제도를 개선하고 최신 정보보호 환경변화를 고려해 ISMS 인증 기준을 개정할 것이며 정보보호관리체계가 적당한 평가 방법에 의해 평가되고 관리될 수 있도록 등급 부여 방안도 검토할 방침이다.

이 외에도 중소기업의 정보보호 수준 제고를 위해 현장방문 상담 및 기술지원을 하는 코칭프로그램을 강화하고 표준적 참조 모델을 개발, 보급하는 한편 인력 및 예산이 어려운 기업에게 실효적인 대책이 되도록 최선을 다한다는 계획이다. 또한 국내 보안관리기술 분야에 대한 국제적 위상제고와 국내 보안관리의 우수성을 전 세계에 알리기 위해 국내 보안관리 Best Practice인 ISMS2.0, 정보보호 거버넌스, 중소기업 정보보호 참조 모델 개발 등 국제 표준화에 전력을 다 할 것”이라고 말했다.

그는 “기업보안관리팀의 경우 10년 가까이 우리나라 기업과 함께 해왔기 때문에 대한민국 기업의 정보보호 현황 및 현실을 누구보다도 더 정확하게 보고 이해할 수 있는 눈과 귀를 가지고 있다”며 “축적된 경험과 기술을 가지고 대한민국의 기업 정보보호를 위해 보안사고가 없는 그 날까지 최선의 노력을 다하겠다”고 강조했다.

<글/사진 : 호애진 기자(is@boannews.com)>

[월간 정보보호21c 통권 제121호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>