[보안뉴스=조희준 씨에이에스 이사] 정보보호(안)는 Information Security이고, IT 보안은 Information Technology Security이다. 그러나 정보보호와 IT 보안이 같다고 생각하는 독자들이 더러 있는 것 같다. 공공기관이나 기업 조직에서도 정보보호와 IT 보안 업무를 직접 수행하지 않은 타 부서나 경영진의 경우 그렇게 생각하는 것이 오히려 보편적이다.

정보와 정보자산은 다른 얘기야?

정보보호와 IT 보안은 다르지만 공통점도 있다. 바로 정보라는 것을 매개체로 하고 있는 것이다. 그렇다면 정보란 무엇인가? 공공기관과 기업의 조직에서 목적을 달성하고, 전략을 구현하기 위해 필수적인 것이 정보이다. 정보를 관리하고 보호하지 않은 경우, 조직의 존폐를 좌우하는 존재인 것이다. 정보를 정보자산(Information Asset)이라고 칭하고 특별대우를 해주는 이유도 여기에 있다.

그러나 정보는 매체(media)에 담길 때 비로소 사용될 수 있다. 그 때부터 사용할 수 있는 실체적인 것이 되기에 변조되거나 유출될 수 있다. 정보에 대한 리스크는 여기서부터 발생하는 것이다.

그렇다면 정보가 담길 수 있는 매체에는 무엇이 있을까? 독자들이 일반적으로 떠올리는 것이 IT적인 것이다. 서버, 네트워크 장비, USB, 하드디스크 등등 디지털적인 요소인 IT적인 것에 정보가 모두 담겨진다고 생각한다. 일부는 맞는 말이다. 그러나 모든 정보가 다 IT적인 것에 담기는 것은 아니다. 그리고 IT적인 매체에 담기는 정보가 대부분일 거라는 생각은 커다란 오해이다. 오히려 IT적이지 않은 것에 정보가 담기는 곳이 훨씬 많다.

정보가 담겨지는 매체는 조직원들의 지식과 스킬에 녹아 들어가고, 조직원들의 행동에 흡수된다. 조직문화에 정보가 반영된다. 업무 프로세스나 업무 매뉴얼에 정보가 보존되어 있다. 회의나 보도 등 의사소통을 통해서도 정보가 통용되고 있다. 정보를 담은 매체는 IT적인 것보다 다른 것들에 훨씬 더 많이 담겨지게 된다.

일련의 보안사고들, 일간신문 지면과 보안뉴스(www.boannews.com)와 같은 인터넷 뉴스 사이트 등에 등장하는 정보보호관련 사건·사고들은 DB암호화나 서버 보안에 문제가 생겨 발생하는 것들보다 그 이외의 요소에 의해서 발생하는 것이 대부분임을 독자들은 알 것이다. 이러한 사건이 정보의 경우 IT적인 것보다 다른 것들에 훨씬 더 많이 담긴다는 것을 입증한다고 볼 수 있다.

정보보호 리스크

정보보호에 대한 리스크는 비즈니스 리스크이다. 구체적으로 얘기하자면, 비즈니스 리스크는 조직 내에서의 정보의 사용과 소유, 그리고 운영과 관련되어 있다. 이러한 것들은 비즈니스에 잠재적이든 실질적이든 영향을 줄 수 있는 정보보호와 연관되어 있다. 비즈니스 리스크는 확률빈도와 영향의 규모로 측정되며, 전략적인 목표와 목적을 충족시키기 위한 일련의 행동들에 긍정적·부정적 역할을 하게 된다.

정보보호 리스크는 조직의 가치를 실현시키는 과정에서, 정보보호 프로젝트의 전달과정에서, 그리고 정보보호의 운영과정에서 수준별로 발생할 수 있다. 이러한 정보보호 리스크를 정리해보면 다음 그림과 같다.

이번 연재를 통해 최근에 주목 받고 있는 리스크와 관련된 내용과 IT와 정보보호의 리스크를 심층 분석한 ‘리스크 IT 프레임워크’를 두루 살펴보기로 한다. 이를 통해서 정보보호를 도구나 기술로만 보는 차원에서 기업이나 공공기관의 중요한 전략으로 끌어올리는 기회가 되기를 바란다. 보다 자세한 내용은 www.isaca.org와 www.isaca.or.kr에서 찾아볼 수 있다.