[보안뉴스=임채호 KAIST 정보보호대학원 교수] 필자가 주장하는 SPMES는 GRC (Governance, Risk, Compliance) 등과 유사합니다, 사실 GRC는 미국 정부의 SP-55를 보안리스크 관리체계로 보고 이미 미국 정부에서 성공한 모델을 SANS(www.sans.org)가 비즈니스에 접목한 것일 뿐입니다. 

기업의 대표자 및 기업 이사회가 보는 기업보안관리는 무엇일까요? 기업보안관리는 인사관리, 급여관리, 행장관리, 공정관리 등 기업의 모든 경영관리들 중의 하나로 이해되어야 합니다. 이와 함께 막강한 경영진의 지원과 참여를 통해 실질적인 구속력과 감시 및 대응체계를 가진 실무 기반의 위험관리체계가 요구되어야 합니다.

정보보안 거버넌스는 “이사회와 경영진의 책임 하에 수행되는 기업 거버넌스의 일부로 정보보안에 대한 투자 성과를 기반으로 의사결정에 대한 권한과 책임을 정의하고, 정보보안활동이 조직의 전략과 목표를 유지하고 향상시킬 수 있게 하는 조직구조, 프로세스, 기술들을 말한다”고 정의할 수 있습니다.

결국 경영자는 보안관리를 기업의 전반적인 자원관리(Resource Management)이며, 이를 예산관리(Budget Management) 차원으로 이해해야 합니다. 미국이 2012년부터 수행중인 FISMA FISMA(Federal Information Security Management Act) 법령에 의한 보안 수준과 예산집행 현황을 볼까요?

미국정부기관의 보안예산은 2009년 총 IT 예산 7,130억 달러 가운데 690억 달러를 집행했습니다, 이는 4년간 평균 9.7%의 규모라고 할 수 있습니다. 테이블은 FISMA 결과 각 연방정부의 보안점수가 2007년까지 공개되었던 내용입니다.

- 법무부(DOJ)는 2006년 ‘A-’, 2007년 ‘A+’입니다, 이를 분석해 본다면 보안대상이 그리 많지 않은 BI형 보안수준이며 연방정부 전체 평균 보안예산보다 현격하게 낮은 수준인 3% 이하를 집행하고 있습니다.

- 국방부(DOD)는 2006년 ‘F’, 2007년 ‘D-’입니다. 이는 보호해야할 대상이 매우 많을 뿐 아니라 아직 체계도 이루어지지 않은 Security Goal 수준입니다, 아마 보안예산은 16% 정도를 집행할 것으로 판단됩니다.

그렇다면 법무부와 국방부는 왜 이런 점수(학점)가 나왔을까요? 미국은 보안통제를 SP-53(Security Control)을 표준으로 정하고 시류에 따라 SP-53을 업데이트 중입니다, 우리나라는 150개가 넘는 통제항목을 가진  ISMS가 있고, 80여개 안팎인 PIMS(Privacy Information Management System) 등이 혼재되어 있으며, 개별 정부부처별로 별도의 통제항목을 가지고 있습니다. 국방부는 SP-53의 모든 통제항목을 모두 구현한 것을 목표(Target)로 정의하고 있으며, 법무부는 SP-53 통제의 일부만을 구현하는 목표로 삼고 있다는 점이 다릅니다.

효과성(Effectiveness), 효율성(Efficiency), 법적준수사항(Compliance) 등을 함께 고려해 보안통제가 잘 수행되고 있는지 감시합니다. 이는 프로세스, 운영절차, 데이터(로그) 등의 존재 유무와 데이터 수집 용이성, 자동화 등으로 이들을 평가(Measure)하고 이 결과를 학점으로 평준화(Normalization) 함으로서 각 보안통제 수행결과를 학점으로 만들고 기관 전체 학점으로 만들어냅니다. 이 결과 점수가 조직의 보안수준(Index)이며 보안 리스크가 되는 것입니다. 특히, SP-55 문서에서는 대단히 중요한 문장이 있습니다. 

“정보보안 성능 측정을 위한 투자는 조직의 정보보안이 가져야할 최대의 가치를 끌어내는 가장 중요한 요인이 된다.”

체계와 프로세스가 기술과 솔루션에 우선하며 참여한 모든 보안담당자들의 의지와 철학이 중요한 것입니다. 지금 여러분의 보안 수준이 D(Security Goal) 일까요? C(Implementation), B(Effectiveness/Efficiency)  혹은 A(Business Impact) 수준일까요? 만약 D 혹은 C 수준이라면 꾸준한 Self Assessment를 통하여 언젠가는 A수준으로 상승해야 하지 않을까요?

경영진은 수준이 어찌되었던 실무에 의한 숫자로 수준을 보고하고 Accountability를 보고해야 좋아하지 않을까요?  만약 90점인 BI 상태이지만 신종 공격에 의하여 피해가 발생하면 아마 2-3일내 곧장 90점으로 복귀합니다. 왜냐하면 책임추적이 되고 있으므로 문제점을 곧장 수정합니다.

Self Assessment의 소중한 산출물 책임추적성(Accountability)

기업경영자들은 보안관리를 위하여 올해 얼마나 많은 예산을 투입해야 하는지 보안담당자에게 문의한다면, 보안담당자는 얼마나 고민하겠습니까? 만약 미 법무부나 국방부처럼 보안목표를 세웠다면 기업은 각자 환경에 알맞은 목표(Target)를 정의하게 됩니다. 사례에서 Target(95), Current(75)이라면 그 차이값(Gap)은 20입니다. Gap은 Accountability  확인을 통하여 이루어집니다.

예를 들어 AC(Access Control) 수준이 지난해 60점, 올해 요구점수가 90점이어서 그 갭이 30점이라면 서로 모여서 워크숍을 통해 추가적인 장비, 인력충원, 프로세스의 개선이 필요하게 됨을 알게 되고 이를 근거로 자원(비용) 요청을 제안하고 투입되면 올해의 보안수준 향상을 기대할 수 있습니다,

2011년 KAIST는 모 연구원과 SPMS를 시험 구현한 적이 있었습니다. 이 결과를 분석하면서 쉽게 개선방안을 도출 할 수 있다는 것입니다. 어떤 기업의 대표가 근거 없는(Accountability가 없는) 보안예산 집행을 반기겠습니까?

2011년 모 금융기관은 향후 5년간 정보보안에 총 5천억을 투자하겠다고 언론에 밝힌 바 있습니다. 많은 예산 투자야 누가 말리겠습니까만은 기업의 현재 보안수준(Index, Risk) 을 지속적으로 관리, 감시 및 생성을 할 수 없어 Accountability가 제공되지 않는다면 항상 사고는 재발할 수 있습니다. 또한, 대표는 근거 없는 예산집행이라는 실수를 저지르게 되는 것입니다.  

[글_임채호 KAIST 정보보호대학원 교수(chlim@kaist.ac.kr)]