정보보호, 기업의 중요한 전략으로 끌어올려야
연계(alignment)란 ‘가지런하게 하다’는 뜻이다. 전략적 연계라고 하면 당연히 전략과 가지런히 놓여진다는 뜻이다. 무엇이 전략과 가지런히 놓여져야 할까? 이 칼럼의 제목에서도 알 수 있듯이 정보보호가 기업의 전략과 가지런히 놓여있어야 한다는 말이다.
전략적 연계(Strategic Alignment)와 사업자 등록증
기업의 목표를 달성하기 위한 구체적인 계획들을 모아놓은 것이 전략이다. 기업의 전략에 정보보호가 연계해야 한다는 말을 너무 관념적인 얘기로만 해석해서는 독자들에게 와 닿지 않을 것이다. 특히나 정보보호의 성숙도가 거버넌스 수준으로 발돋움하고 있는 지금의 현실에서 기업의 전략과 실제적으로 어떻게 관련성이 있는지 정보보호 관리자들에게는 이질적인 얘기일 수도 있다.
그렇다면 독자들이 속한 기업의 사업자 등록증을 다시 한번 들여다 보면 어떨까? 설마하니 정보보호 관리자로 일하면서 본인이 속한 기업의 사업자 등록증을 한번도 본적이 없다고는 말하지 못할 것이다. 기업이 경쟁적인 경영환경에서 살아남기 위한 그 기업의 사업의 종류와 종목이 잘 나와 있다. 여기서 한 가지 질문을 스스로에게 던져보자. 사업자 등록증을 보면서 사업의 종류와 종목에 정보보호 혹은 정보보안이라고 쓰여 있는가? 만약 이런 내용이 쓰여 있다면 그 기업은 정보보호를 사업 아이템으로 하는 정보보호 전문업체일 것이고 그 이외의 기업은 눈 씻고 찾아봐도 정보보호 혹은 정보보안이라는 말은 없다.
정보보호 부서의 존재의 이유와 위상을 사업자 등록증 하나만으로도 인식할 수 있다. 일반 기업의 전략은 사업자 등록증에 나와 있는 사업의 종류와 종목에 대한 끊임없는 고민과 생각을 구체화하는 계획이다. 이러한 기업의 전략은 달성되어야만 계속기업(going concern)의 원칙이 고수되어 사업을 영위하는 것이다.
그러한 기업전략의 목적 달성에 그 기업이 소유하고 있는 정보자산이 보호되지 않으면 그 기업의 고유한 사업의 종류와 종목에 대한 전략은 이루어지기 힘들기 때문에 정보보호 부서가 존재하고 그 위상을 제고시켜야 하는 이유이다.
특별한 경우를 제외하고는 성과에 의해 급여나 상여금을 받는 독자층이라고 전제한다면 이제 정보보호 관리자의 시선과 안목은 어디에 초점을 두는지 알 것이다. 정보보호가 그 기업의 사업의 종류와 종목이 아니라면, 정보보호 부서 존재자체가 기업의 전략을 지원하고 연결시키고 정보보호의 사용자나 고객의 요구사항 만족에 최선을 다하는 것임은 자명한 사실이다.
비용효과적(Cost-effectiveness)
기업의 전략을 달성하기 위해서는 정보보호 또한 전략적인 레벨로 구성되어 정보보호 전략이 수립되어야 하는데 이때 비용효과적이란 용어가 중요하다. 비용은 그 전략을 수립하고 이행하는데 사용되는 예산과 투자금액을 말하는 것이다. 효과적이란 말은 목적을 달성했느냐를 뜻한다. 조합해서 해석해보면 기업전략 달성을 위해서 정보보호 전략의 수립과 이행이 이루어지는데 비용을 최소한 쓰면서도 정보보호를 잘 했느냐는 것이다. 참으로 쉬운 말을 어렵게도 표현한다.
구체적인 기업의 목표와 요구사항(Business Objective and Requirement)
정보보호 전략이 비용효과적이란 것이 입증되려면 우선은 효과적임을 판별하게 하는 기준이 있어야 한다. 효과란 목적이 달성되었다는 것인데 무얼 보고 목적이 달성되었는지를 알까? 기업의 목표 혹은 사용자의 요구사항이 명확해야지만 정보보호 관리자는 정보보호 목표를 구체적으로 할 수 있다. 구체적인 정보보호 목표가 있어야 비용을 최적화 했는지도 알 수 있다.
하지만 대부분의 기업은 기업의 목표를 명확히 하면서도 정보보호에 대한 요구사항은 분명하지 않은 경우가 많다. 그 이유를 보면 첫째는 사용자나 고객은 정보보호 부서가 알아서 해주기를 바란다는 것이다. 인공지능이나 신 내린 점쟁이도 아니고 ‘알아서’ 할 수 는 없다. 두 번째는 기업의 요구사항에 대한 언어와 정보보호 관리자가 받아들이는 언어가 다르다는 것이다. 정보보호 전략을 위한 각 부서의 임원진과 정보보호 담당이사의 회의는 서로 다른 언어를 사용하기 있기에 서로 무슨 말을 주고 받는지를 정확히 간파하기가 어렵다.
정보보호 전략을 위한 요구사항 수집과 비즈니스 언어(Business Language)
앞에서 얘기한 정보보호 전략이 제대로 수립되고 진행하기 위해서는 정보보호관리자는 ‘알아서’ 해주기를 바라는 고객에게 구체적인 요구사항을 수집하기 위해 시간과 방법을 개발해야 한다. 정확한 요구사항이 산출되어야 그것을 기반으로 출발을 제대로 할 수 있다.
다음은 언어의 차이인데 정보보호 거버넌스(Information Security Governance)의 시대에서 거버넌스가 도입된 기업이라면 정보보호에 대한 모든 상위수준에서 하위수준까지의 의사결정은 CISO(Chief of Information Security; 정보보호 담당이사)가 아닌 고위 경연진과 이사회의 최종책임임을 알 것이다.
고위 경연진과 이사회가 정보보호 전문가는 당연히 아니다. 그들은 경영의 전문가이다. 그러므로 CISO이든 정보보호 관리자이든 이제부터 언어는 기술언어가 아닌 경영언어로 의사소통해야 한다. 비즈니스 언어, 경영언어를 구사해야 경영진이 얘기하는 의도를 알아들을 수 있는 것이다.
비즈니스 언어를 통한 의사소통
전략적 연계를 나타내는 지표들(Indicators)
그렇다면 정보보호 전략이 기업전략과 한 줄로 서 있음을 나타내는 지표를 살펴보면 아래와 같다.
· 정보보안 전략의 계획들은 구체적인 비즈니스의 수행활동으로 나타내야 한다.
· 정보보호 조직은 비즈니스 요구사항에 부응해서 구성한다.
· 기업의 목표와 정보보호의 목표는 정보보호를 위한 정보보호의 활동과 보증으로 정의되고 이해돼야 한다.
· 정보보안 전략위원회(Information Security Steering Committee)가 구성되고 이사회와 고위 경영진의 지원을 받아야 한다.
일상생활에서도 대부분의 사람들은 정해진 규칙이나 방법론을 선호하게 된다. 라면을 끓이든 겨울에 스키장을 놀러 가든 인터넷에 고수들에게 물어본다. 물어보는 이유는 간단하다. 라면을 맛있게 먹고 싶어서 스키장 이용을 어떻게 하면 비용효과적인지가 궁금하기 때문이다. 간단한 일상생활에서도 목적이 있고 그 목적을 효과적으로 이루기 위한 시도가 있기 마련이다. 정보보호의 전략적 연계 또한 이와 다르지 않다. 정보보호 거버넌스 시작하기 위해서는 계획이 있어야 한다. 그 계획은 정보보호 부서만의 계획으로 그쳐서도 안되며 기업과 따로 분리되어서도 안 된다.
정보보호 거버넌스의 주제 중 첫 번째인 전략적 연계는 기업의 목적을 달성하고자 하는 기업전략의 한 줄로 정열 되어야만 한다. 정보보호 부서의 존재와 위상이 이유이기도 하다. 이 칼럼을 통해서 정보보호를 도구나 기술로만 보는 차원에서 기업의 중요한 전략으로 끌어올리는 기회가 되기를 바란다.
[글 _ 조희준 IT컨설팅·IT감리법인 ㈜씨에이에스 컨설팅 이사(josephc@chol.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
