[보안뉴스 김정완] “IT 기술은 급격하게 발전해 가고 있으며 그에 따라 전혀 새로운 해킹 위협이 등장하고 있는 가운데 IT는 더 이상 기술의 영역으로만 국한해선 안되고 IT가 곧 서비스이고 기업이며 그 일원이 되는 현실을 인식해야 한다”고 성윤기 한국인터넷진흥원(KISA) 책임연구원은 말했다.

IT보안 및 IT거버넌스 전문교육기관인 ITL-SANS Korea가 23일, 서울 삼성동 코엑스에서 개최한 ‘최신 보안위협에 대응하기 위한 정보보호거버넌스(ISG) 전략 세미나’에서 발표자로 나선 성윤기 책임연구원은 이와 함께 특히 “지금까지 개별적인 보안기술에 초점을 두고 있는 우리나라의 현실적 한계에서 벗어나기 위해서는 체계·기술·조직·책임의 규정이 복합적으로 규정돼야 한다”며 “새로운 사이버 위협에 대응하기 위해서 기업은 정보보호거버넌스 관점에서 접근할 필요가 있다”고 역설했다.

성윤기 책임연구원은 기업 등이 정보보호거버넌스를 구축해야 하는 근본적인 이유에 대해 “보안 문제를 해결하기 위해 기술적인 사항, 솔루션 위주의 대책과 개발된 소프트웨어 및 운영시스템에 보안기능을 포함하는 것은 잘못된 인식이고 대부분의 보안 문제는 조직내부에 있고 조직의 문화에 있지 기술적인 것에 있지 않다”며 “즉 조직의 리더가 정보보호 베스트 프랙티스와 표준 등과 일관성 있는 정보보호에 대한 믿음, 행동, 역량 및 조취를 취해가야 한다”고 강조했다.

또한 성윤기 책임연구원은 “물론 기업 등의 경영진은 정보보호에 대한 투자만큼 효과가 있는지에 대해 묻고 있다”며 “정보보호거버넌스는 △조직의 가치 공유 △조직의 불확실성 감소, 예측성 증가 △정보보호 정책에 대한 보증 △효율적/효과적 자원관리 정책 수립 등의 이득을 가져올 수 있다”고 말했다.

이와 함께 이날 발표를 통해 성윤기 책임연구원은 정보보호거버넌스 구축을 위한 △보안의 기업전체 이슈 확립 △고객보호에 대한 리더의 이해·책임 △사업 방향으로 검토 △위험 기반 구현 △역할·책임 및 역할 분리 정의 △정책 수립 △적절한 자원 투입 △직원들에 대한 보안인식 및 교육 △개발 라이프 사이클 요구사항 △계획·관리·측정가능·측정 △검토 및 감사 이상 11가지의 방법을 제시했다.

한편 이날 발표에 대해 한 참석자는 “거버넌스라는 것이 내용은 좋지만 현실적으로 왜 해야 하는지에 대한 괴리감이 드는 것이 사실”이라고 질의했고 이에 대해 성윤기 책임연구원은 “앞서 말한 바와 같이 거버넌스는 기술적인 부분이 아니라 소통하는 방식으로 이해해야 한다”며 “기술 중심의 요구사항에서 벗어나 거버넌스 관점으로 접근해야 보안에 대한 신뢰성 확보가 가능하다”고 답했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>