최근 들어 기업 내에 정보보호 부서도 중요한 위치를 차지하고 있으며 공공기관에서는 그 중요성을 인식하여 국책사업으로 삼고 있다. CISO(Chief of Information Security Officer:정보보호 최고담당이사) 지정의무화가 법적 요건으로 자리를 굳히고 있다. 이러한 시대적인 요구사항에서 정보보호는 더 이상 방법론이나 기술론만 가지고서는 역부족이다. 전술적이나 운영적인 논의가 아닌 전략적인 고민이 있어야 한다. 바로 정보보호 거버넌스가 필요한 시대가 도래한 것이다.

정보보호에 대한 전략적 고민 필요

2010년도를 지나 이제 2011년이다. 정보보호에 있어서도 또 한 해가 지나간 만큼 이슈나 관심의 내용 또한 바뀌어야 할 것이다. 하늘 아래 영원한 것도 없고 새로울 것도 없다고 했다. 시간이 흐르면서 기업의 충성고객이 영원할 것이라고는 누구도 장담할 수 없다. 공공기관의 대국민 서비스의 요구 사항이 작년과 올해는 다르다. 정보를 위협하는 공격이나 사건들은 또 다른 모습과 방법으로 정보의 취약성을 파고든다.

대한민국의 정보보호에 대한 논의나 문제제기도 세월의 흐름과 함께 한다. 정보보호의 역사를 얘기하려면 IT의 역사를 먼저 짚어보아야 할 것이다. 해석과 조명에 따라 달라지겠지만 1990년부터 사회의 주제로 떠 오른 IT의 역사에, 정보보안·정보보호가 떠오른 것도 그 때를 같이 한다. 1990년도 중후반을 넘어 오면서 그 논의가 깊이가 더해졌다고 본다. 정보보호라는 개념과 기업의 도입이 이루어지기 시작해서 10년을 훌쩍 넘겼다.

다른 모든 관리체계가 그렇듯이 정보보호의 관리체계 또한 초창기에는 부분적인 도입이나 주제별 도입 등 분산되고 점철된 모습이었다. 다양화되고 변화되는 환경에 따라 적응되면서 정보보호 또한 조금씩 성숙되어 가기 시작했다. 이제는 기업 내에 정보보호 부서도 한몫을 차지하고 있으며 공공기관에서는 그 중요성을 인식하여 국책사업으로 삼고 있다. CISO(Chief of Information Security Officer:정보보호 최고담당이사) 지정의무화가 법적 요건으로 자리를 굳히고 있다.

이러한 시대적인 요구사항에서 정보보호는 더 이상 방법론이나 기술론만 가지고서는 역부족이다. 전술적이나 운영적인 논의가 아닌 전략적인 고민이 있어야 한다. 바로 정보보호 거버넌스가 필요한 시대가 도래한 것이다.

정보보호 거버넌스는 천상천하 유아독존?

지난 2010년 말에 개최되었던 ISEC(통합정보보호 구축전략 컨퍼런스) 2010에서 주제로 많이 나온 얘기가 정보보호 거버넌스였다. 개인정보보호, 스마트와 모바일 보안체계관리수립, 위험관리 기반의 정보보안 등등이 거버넌스로 통합되고 전략적으로 수립되고 일괄적으로 관리, 운영되어야 한다는 내용을 자주 볼 수 있었다.

정보보호 거버넌스란 얘기와 용어가 자주 등장하는 것을 독자들은 느끼면서 새로 생긴 관리체계나 솔루션이라고 생각할 수 도 있다. 하지만 정보보호 거버넌스는 IT거버넌스와 함께 줄곧 연구되고 발전된 것이고 기업 거버넌스의 일부분으로 존재하고 있었다. 어느 날 갑자기 탄생하여 천상천하 유아 독존하는 존재는 아닌 것이다.

기업 거버넌스, IT 거버넌스, 정보보호 거버넌스의 관계

흔히 족보라고 하면 내가 지금 존재하는 뿌리를 일컫는다. 정보보호 거버넌스도 뿌리가 있다. 기업 거버넌스가 시작이다. 기업 거버넌스(Corporate Governance)란 기업의 전략과 목적을 달성하기 위한 리더십, 조직구조, 프로세스로 구성되어 기업의 최고 의사결정 기구인 이사회가 책임지고 이끄는 것이다. 기업이 잘 되기 위해서 리더십을 바탕으로 기업 내의 역할과 책임이 정의되고 그에 따른 의사결정을 하며 비즈니스 프로세스를 적절히 수행하는 구조의 집합체가 기업 거버넌스이다.

기업 거버넌스는 그 하위에 여러 가지 거버넌스로 나뉘어지는데 IT 거버넌스도 그 중에 하나이다. IT 거버넌스에 한 부분이던 정보보호가 시간이 지나면서 정보보호 거버넌스로 발전되어 지금은 IT 거버넌스와 상관관계를 갖게 되었다.

정보보호 거버넌스의 개요

정보보호 거버넌스의 개요를 살펴보면 기업 거버넌스의 전통을 이어받은 것으로 이해하면 어렵지 않다.

· 정보보안 거버넌스는 이사회와 고위 경영진의 책임이다.

· 정보의 기밀성, 무결성, 가용성을 통한 정보자산의 보호를 목적으로 한다.

· 정보보안 거버넌스는 기업 거버넌스에 필수적이고 투명한 부분이 되어야 하며 IT 프레임워크와 연계되어야만 한다.

· 정보보안 거버넌스는 정보를 보호하는 리더십, 조직 구조 그리고 프로세스들로 구성된다.

정보보호 거버넌스의 6가지 주제

정보보호 거버넌스를 실현하기 위해서는 중점적으로 다루어야 하는 주제 들이 있다. 이를 6가지 주제라고 한다.

· 전략적 연계 : 기업의 전략과 목적을 지원하기 위한 정보보호와 사업전략의 연계

· 가치전달 : 기업의 전략과 목적을 지원하기 위한 최적화된 정보보호의 투자

· 위험관리 : 정보자산에 대한 위험을 관리하고 위험을 완화하며 잠재적인 영향을 용인 가능한 수준으로 감소시키며 지속적인 모니터링을 수행

· 자원관리 : 정보보호지식과 인프라스트럭처/자원의 효율적이고 효과적으로 사용

· 성과측정 : 정보보호 목표가 달성됨을 보장하는 정보보호 프로세스 측정과 모니터링과 보고

· 로세스 통합보증 : 정보보호를 위한 기업 내의 프로세스들과의 통합

기업의 전략과 목적 달성의 핵심 사업

정보보호 거버넌스는 이제껏 흩어져 있고 또한 변방으로만 주위를 맴돌던 정보보호를 기업의 전략과 목적을 달성하기 위한 하나의 핵심 사업으로 끌어 올린 것이다. 이사회와 경영진의 책임하에 전사적으로 상단의 정책에서 하단의 수행활동까지 까지를 총체적으로 하나로 묶어 놓은 것이다. 정보보호의 그 동안의 역사와 성숙도를 볼 때 이제 거버넌스만이 그 해답을 줄 것이다. 참고로 거버넌스 얘기하면서 이사회(BOD)와 고위 경영진(CxO)이 운운되는 이유에 대해 독자들에게 설명할 필요가 있겠다.

전 세계에서 가장 보편화된 기업의 모델을 주식회사로 본 것으로서 기업의 소유주인 주주와 투자자가 경영을 맡긴 기업의 형태를 말하는 것이다. 이사회와 경영진은 경영을 책임지고 의사결정을 하는 가장 높은 직급이기도 하지만 소유자에게는 대리인이다.

정보보호 거버넌스는 CISO의 책임과 의사결정이 아닌 기업 내의 이사회와 고위경영진의 책임과 의사결정이다. 이 칼럼을 통해서 정보보호를 도구나 기술로만 보는 차원에서 몇 단계 올라서는 기회가 되기를 바란다. 보다 자세한 내용은 www.isaca.org 혹은 www.isaca.or.kr에서 찾아볼 수 있다.

[글 _ 조희준 IT컨설팅·IT감리법인 ㈜씨에이에스 컨설팅 이사(josephc@chol.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>