그럼 임직원의 보안교육을 담당하는 개인정보보호 및 보안담당자에게 정작 필요한 교육은 무엇일까. 이와 관련 본지는 정부부처, 공공기관, 기업의 개인정보보호책임자 및 보안담당자를 대상으로 설문조사를 실시했다.

총 911명이 응답한 가운데 보안정책 수립 등 관리적 기법이 중요하다고 생각하는 의견이 381명(41.8%)으로 가장 높은 비율을 차지했다.

이는 보안정책 수립 등 관리적 보안이 정보보호 솔루션을 도입하거나 기술적 조치를 수행하기 전 보안의 기본 뼈대를 만드는 기초작업이라는 인식을 갖고 있기 때문으로 보인다. 여기서 말하는 보안정책은 기업 내 중요 정보·기술 및 자산 보호, 관리를 위한 규범적 지침을 의미하는 것으로, 관리적 보안체계를 철저히 구축하고, 예외없이 준수하도록 한다면 정보보호 솔루션을 도입하는 것보다 훨씬 적은 예산으로도 보안강화 효과를 기대할 수 있다.  

그 다음으로는 관련 법률 해석 및 적용이 약 26.1%(238명)를 차지했다. 이 같은 결과는 우리나라의 경우 개인정보보호법을 비롯해 보안관련 법률이 여럿 존재하고, 점차 강화되고 있는 추세에서 이를 정확히 이해해고 업무에 적용시키는 부분에 있어 어려움을 느끼고 있다는 것을 의미한다.
  

이와 관련 테크앤로 법률사무소 구태언 대표변호사는 “국내 기업들은 정보통신망법·개인정보보호법·신용정보보호법·전자금융거래법 등 여러 법률을 준수해야 한다”며, “우리나라는 보안관련 법제가 강력하므로 법적 책임을 완화하기 위해 관련 법률을 해석하고 적용하는 것이 매우 중요하다”고 당부했다.

이어 네트워크·IT 전반에 대한 교육이 필요하다는 응답이 174명으로 약 19.1%를 나타냈고, 악성코드 분석 등 보안기술 습득이 중요하다고 생각하는 인원은 103명으로 약 11.4%를 차지했다.

KTB솔루션의 김태봉 대표이사는 “네트워크·IT 전반의 최신 보안기술 및 이론 습득, 사고사례 및 동향정보, 블랙리스트 생성과 관리 및 효율적 공유체계에 대한 교육도 관리적 보안 못지않게 중요하다”고 전했다.

또한 에스이웍스의 홍동철 이사는 “SQL 인젝션같은 웹 해킹기술이나 암호기술은 알어두어야 할 필요가 있다”며, “웹 해킹으로 개인정보 유출이 많이 발생하고 있고, 개인정보를 보호하는데 있어 암호를 이용하는 경우가 많기 때문”이라고 말했다.

마지막으로, ROI분석 및 정량화 등 마케팅 기법은 13명으로 약 1.4%를 차지했다. 이는 내부에서 경영진을 설득해 보안투자를 유도하기 위해서는 투자대비 효과를 입증하거나 보안업무를 정량화 하는 일이 점차 중요한 이슈가 되고 있기 때문으로 보인다.

이와 관련 펜타시큐리티 기술지원본부 이찬우 대리는 “ROI분석 및 정량화 등 마케팅 기법이 필요한 이유는 크게 세 가지로 나누어 볼 수 있다”며, “첫 번째는 비용대비 효과성을 정량적으로 산출하고 분석하기 위한 의사결정자와의 커뮤니케이션 목적, 두 번째는 위험의 예방, 전가, 회피, 감내의 위험관리(Risk Management) 전략을 결정하는 기준이 되기 때문이며, 마지막으로 한정된 예산을 바탕으로 비용대비 효율적인 컴플라이언스 기준을 충족하기 위함”이라고 말했다.

이제 개인정보보호 및 보안업무가 기관이나 기업의 가장 큰 리스크를 관리하는 중요한 활동으로 자리잡은 만큼 개인정보보호 및 보안담당자는 임직원 전체의 보안교육을 책임지는 것과 동시에 자신의 보안역량을 극대화시키기 위해 다양한 방면에서 부단한 노력을 기울여야 할 것으로 보인다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>