[보안뉴스 김경애] 기업의 정보보안 거버넌스는 최고정보책임자인 CIO(Chief Information Officer) 및 최고정보보안책임자인 CISO(Chief Information Security Officer)가 수립해야 할 중요한 과제이다.

그러나 많은 조직의 경우 정보보안의 거버넌스를 수립해서 실행한다 해도 풀리지 않는 숙제가 있다. 그것은 거버넌스에 입각해 보안성과를 어떻게 구현하고 수치화해야할 지 대한 어려움이다. 또한, 많은 기업들이 정보보안 관리체계와 기업의 정보보안 거버넌스에 대해 혼동하는 경우도 적지 않다.

이와 관련 IBM 보안 기술 리더 박형근 부장은 “거버넌스는 기업의 경영적인 측면에서 얼마나 효과적인 보안활동을 할 것이냐에 대해 중점을 두고 있다”며 “정보보호관리체계는 ‘Executive Management(정보보호 임원진 및 간부)’단에서 활동하고, 이보다 상위단계를 정보보안 거버넌스”라고 설명했다.

이러한 정보보안 거버넌스는 ISO27014 국제표준에 따라 △Evaluate(평가), △Direct(정보보호관리체계에 지시), △Communicate(의사소통), △Monitor(모니터), △Assure(감사) 등의 5가지 요소들을 기반으로 하고 있다.

따라서 정보보안 거버넌스는 ISO27014 국제표준의 5가지 요소를 기반으로 조직 안에서 효율적으로 보안활동이 제대로 이뤄져야 한다는 것이 박형근 부장의 설명이다. 즉, 목표 자체를 보안으로 두지 않고, 비즈니스 범위 내에서 한정된 리소스로 원하는 바를 달성할 수 있어야 한다는 의미다.

이에 따른 정보보안 거버넌스의 구성은 기업의 보안성과 측정을 통해 모니터를 하고, 이에 대한 결과를 리포트 또는 대시보드 등으로 작성한다. 이에 대해 CISO가 평가하고, 의사소통을 통해 평가결과에 따라 지시하게 된다. 감사는 내·외부감사인 제3자인 별도 조직으로 구성돼 활동한다.

그 가운데 기업의 보안 평가에 대해 박형근 부장은 “비즈니스 목적달성(Business Initiatives) 범위 내에서 정보보안 성과 결과(Information Security Performance Results)”라며 “비즈니스 목적달성은 “법 규제 준수, 보안위험관리, 보안비용 절감, 데이터 보안 등을 어떻게 할 것인지에 대해 고려해야 한다”라고 말했다. 

또한, 모니터 단계에 대해 박형근 부장은 “국제표준에서도 모니터를 어떻게 할 것이냐에 대해 명확하게 나와 있지 않다”며 “효과성, 적용하는 측면, 환경의 변화에 따라 측정하는 방법도 달리해야 한다”고 조언했다.

이와 함께 의사소통에 대해서는 정보보안관리체계의 담당자와 CISO의 언어는 다소 차이가 있다고 박형근 부장은 지목했다. CISO의 경우, 경영 측면에서의 비즈니스 언어인 명확한 수치로 구현되길 원하고, 정보보안체계 관리자들은 정확한 수치로 표현하는 것에 대한 어려움이 겪는다는 것이다. 따라서 정확하게 어떠한 근거에 의해 의사소통이 이뤄지는 것이 필요하다고 강조했다. 

따라서 박형근 부장은 정보보호 거버넌스 원칙에 대해 △거버넌스 체계에서 보안이 적용되어 조직 전체로 수립 △리스크 보안 보고의 필요성 △정책 수립 후 잘 실행되고 있는지 확인 및 점검 △적극적인 보안환경 △보안성과에 대한 지속적인 리뷰를 제시했다.

거버넌스 체계에서의 보안 적용과 관련해서는 정보보호위원회의 장으로 CISO, 인사, 총무(물리적보안)를 총괄해서 전사적인 보안조직을 구성해 보안이 보다 효과적으로 적용될 수 있도록 해야 한다고 설명했다.

리스크 보안보고의 필요성의 경우 보안 리스크에 대해 결정권자에게 충분한 정보 제공이 이뤄져야 하고, 기업의 안전을 위해 결정권자가 과감하게 투자할 수 있도록 다양한 방안을 강구해야 한다.

보안정책 수립 후, 잘 실행되고 있는지 확인하고 점검하기 위해서는 정책을 정했을 때 확실하게 잘 이행되고 있고, 그것에 대해 보장할 수 있는 보안환경을 구축하는 일이 중요하다고 박형근 부장은 강조했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>