최근 개인정보와 관련된 보안사고가 다수 발생하고 있고 관련 법률이 시행을 앞두고 있어 개인정보를 어떻게 보호해야 하는지에 대해 다양한 분야에서 우려의 목소리가 높다.

이에 대한 대응으로 개인정보보호를 위한 다양한 솔루션을 도입하고 담당자를 채용하는 등의 활동들이 이루어지고 있다. 하지만 아쉽게도 이런 솔루션을 도입하면 보안사고가 발생하지 않는다거나 이 사람이 보안책임자를 하면 보안사고가 발생하지 않는다고 보장할 수 있는 툴은 존재하지 않는다고 본다.

조직에서 다양한 방법으로 정보보호 활동을 한다고 하여 그 모든 내용이 법률에서 요구하는 내용을 충족하고 있다거나 조직의 역량만큼 충분한 노력을 기울였다고 판단하기는 쉽지 않고 유출사고가 발생하지 않는다는 보장도 하기 어렵다.

그래서 조직의 정보보호에 대한 접근방법은 사고 발생을 최소화 하고 조직이 가지고 있는 역량과 비교하여 가능한 만큼 노력을 기울이고 있다는 기준을 마련하고 그에 맞추어 지속적으로 관리하는 방식이 필요할 수 밖에 없다.

이러한 상황에서 조직의 보호 수준을 진단하고 그 수준을 높일 수 있도록 지속적으로 관리하고 싶어 하는 기업이 많아지고 이에 따라 정보보호관리체계 구축을 원하는 기업들이 늘어나고 있다.

올해 처음으로 개인정보보호관리체계 인증(PIMS)을 신청한 기업이 17곳에 이르고 공공기관의 정보보호관리체계 인증(G-ISMS)도 30여 곳을 넘는 것으로 알려져 있다. 관리체계를 구축했다고 해서 해킹사고가 발생하지 않는다거나 개인정보 유출 사고도 발생하지 않는다고 보증할 수는 없다.

하지만 객관적인 제3자의 전문가적인 시각을 통해 다양한 보안 이슈를 조직이 할 수 있는 역량을 동원하여 감당할 수 있는 수준으로 관리하고 있는지를 확인하고 그 목표 수준을 높일 수 있도록 도와주는 역할은 충분히 가능하다.

또한 실질적으로 정보보호 활동에 여러 도움을 줄 수 있는 부분과 더불어 조직의 노력에 대한 평가로도 이어질 수 있다는 점에서 최적의 솔루션이라 할 수 있다. 관리체계 구축은 고객에 대한 신뢰 확보나 마케팅적인 효과도 있겠지만 보안담당자나 조직의 책임자에게 더 큰 도움이 될 수 있는 모두가 윈-윈 할 수 있는 툴이라고 인식하고 접근하는 것이 필요하다.

[글 _ 박나룡 보안전략연구소 소장 (isssi@daum.net)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>