[인터뷰] 조희준 씨에이에스 컨설팅 이사

[보안뉴스 김정완] 우리 사회는 ‘거버넌스(Governance)’라는 표현을 일상적으로 사용하며, 접하고 있다. ‘거버넌스’는 국정관리 체계로 시작해 이후 ‘기업 거버넌스’, ‘IT 거버넌스’를 확립하기에 이른데 이어 과거 ‘IT 거버넌스’ 내에 포함됐던 정보보호를 하나의 개별적인 거버넌스로까지 확대 재생산하기에까지 이르렀다. 하지만 우리 사회는 10여년 전부터 대두되기 시작한 ‘정보보호 거버넌스’에 대한 이해가 부족한 실정이다. ‘정보보호 거버넌스’를 도입해야겠다는 우리 사회의 인식이 부족한 이유 때문이다. 이는 우리 사회가 가진 정보보호에 대한 인식부족의 단면을 보여주는 예라 하겠다. 이에 현 IT컨설팅·감리법인 씨에이에스에서  컨설팅을 담당하고 있는 조희준 이사를 만나 최신 보안 위협에 대응할 수 있는 ‘정보보호 거버넌스’ 전략 등에 대해 들어봤다.

- 우선 ‘거버넌스’에 대한 설명 부탁한다.

우리는 최근 거버넌스라는 용어를 쉽게 접하게 된다. 언론 등을 통해서도 거버넌스 환경, 거버넌스 시대의 도래라는 표현을 다수 접하게 된다. 거버넌스란? 사전적 의미로, 해당 분야의 여러 업무를 관리하기 위해 정치·경제 및 행정적 권한을 행사하는 국정 관리 체계를 의미한다. 그리고 근래에는 이를 기업에 관련된 이해 관계자들의 이해를 조정하고 회사의 의사를 결정하는 기업 거버넌스, 조직의 정보 기술이 조직의 전략과 목표를 유지하고 사용·통제하는 업무 프로세스나 조직 구조를 나타내는 IT 거버넌스 등 세세하게 분류해 사용해 오고 있다.

특히 최근에는 과거 기업 거버넌스 내에 투자·프로젝트·IT·정보보호를 포괄해 사용함은 물론 IT 내에 부속해 사용하던 정보보호를 별도의 개별적인 독립된 거버넌스로 인식하는 시기에 이르게 됐다. 우리가 정보보호 거버넌스에 주목해야 하는 이유가 여기에 있다.

- ‘정보보호 거버넌스’에 주목해야 하는 이유는 무엇인가?

최근 나타나고 있는 보안위협들은 과거 단순히 보안장비를 사서 구축함으로써 대응하는 방식으로는 한계가 있다는 것을 보여주고 있다. 이는 IT 거버넌스 측면에서 정보보호를 보안담당자들만이 책임지고, 대응하는 데에는 한계가 있다는 것을 반증한다.

즉 기업 내 최고 윗단인 이사회 그리고 이사회의 대리인인 CEO 등의 경영진, 그 밑단의 현업 부서장 및 현업담당자 등 최밑단에 이르는 소유·경영·평가 전체에 걸친 전략적인 계획이 필요해 진 것이다.

정보가 자산인 시대에서 기업·공공기관이 정보를 바라보는 관점과 정보기술·정보보호의 관점이 분리돼 바라보는 것은 문제·사건이 발생할 수 있다는 것을 우리 사회는 경험했다. ‘정보보호 거버넌스’이 중요하며, 이에 주목해야 하는 이유인 것이다.

- 그렇다면 실질적인 ‘정보보호 거버넌스’를 갖추기 위해서는?

ISACA는 정보보호 거버넌스의 주제(domain)로 △전략적 연계(Strategic Alignment) △가치 제공(Value Delivery) △위험 관리(Risk Management) △자원 관리(Resource Management) △성과 측정(Performance Measurement) △통합(Integration) 이상 6가지 주제를 제시하고 있다.

 

또한 우리나라에는 아직은 낯선 ‘IT의 기업 거버넌스 표준 ISO/IEC 38500’이 정보보호 거버넌스와 IT 거버넌스를 융합하여 대한민국의 IT와 정보보호를 한 계단 올리는 견인차의 역할로 공기업 및 대기업의 도입이 예상된다. 그리고 ISACA가 자신있게 소개하는 ‘정보보호를 위한 비즈니스 모델(BMIS)’이 주목할 점이다.

 

이 BMIS(Business Model for Information Security)는 4가지의 요소(Elements)에 대한 6가지 연결고리(Interconnections)를 제시한다(다음 표 참조).

 

 

- 마지막으로 앞서 언급한 BMIS에 대한 설명?

우선 4요소 중 첫 번째 Organization Design and Strategy는 기업 내의 조직은 여러 가지 구성요소로 되어 있으며, 인적자원·자산·프로세스 등이 유기적으로 관계를 맺고 있다. 그리고 조직적으로 설계한 조직의 전략을 구체적으로 달성하기 위한 것으로 Process, Culture, Architecture가 이러한 설계의 중요한 역할을 한다. 특히 정보보호를 위한 조직의 전략이 기업의 목적을 달성하기 위해 고안되어야 한다.

다음 요소인 People은 수행해야 할 정보보호의 인적자원도 중요하지만 조직의 구성원에 의해서 발생하는 예방차원의 직원채용, 직원배치와 인식교육, 퇴사시 정보보호의 공지 등의 정보보호의 문제를 상기해야 한다.

Process는 6개의 연결고리를 직접적으로 연결시키는 역할을 하며, 이는 policy와 strategy에 연계돼야 한다. 아울러 기업의 요구사항에 유연해야 한다.

Technology는 프로세스가 보다 효율적으로 수행하기 위해 필요하며, 자동화 도구·애플리케이션·인프라 등을 말한다. 이는 기업의 조직문화의 신뢰성과 사용자에 따라 좌우된다.

그리고 6가지 연결고리 중 Governing은 전략적인 리더십을 가지고 방향을 잡아가는 것을 말하며, 거버넌스의 6가지 주제가 제대로 되고 있는가를 포함한다.

Culture는 기업의 조직에서 정보보호를 구현하는 데에 따르는 행동양식이나 신뢰, 태도 등을 말하는데, 공식적인 면도 있지만 비공식적인 면이 중요시될 수도 있다.

Enabling and support는 4가지 요소 중의 하나인 기술적인 요소를 프로세스 요소와 연결시키는 역할을 하며, 기술적인 요소와 프로세스 요소가 합쳐져서 많은 정보보호 활동을 만들어 낼 수 있다.

Emergence는 인적자원들이 프로세스를 수행함에 있어 발전을 하게 되는 동기가 되는데, 피드백·변경관리·위험관리 등이 좋은 예이다.

Human factor는 기술요소와 인적자원요소의 차이와 상호작용하는데, 지속적인 교육과 경험이 BMIS를 성공시키는 중요한 구성분이 된다.

마지막으로 Architecture는 인적자원, 프로세스, 정책, 기술을 하나로 묶어서 정보보호 실무를 가능하게 해주는데, IT 아키텍처와 어떤 상관관계에 있느냐에 따라 효과를 발휘한다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>