정보보호최고책임자협의회, 기업 정보보호 ‘5.5.2.1 실천수칙’ 발표  

[보안뉴스 김태형] 올해 카드사 고객정보 유출사고를 비롯해 KT 고객정보 유출 사고, 그리고 최근엔 국가주요기반시설인 한국수력원자력 해킹 및 자료유출 사건까지 최근 각 기업과 국가주요기관의 주요 정보를 탈취하려는 해커들의 공격 강도와 빈도가 점점 높아지고 있다.

이와 같은 보안사고의 원인은 해당 기업·기관의 정보보호 관리체계에 허점이나 취약한 부분이 있거나 정보보호 수준이 미흡하기 때문이다. 이에 각 기업·기관은 이러한 보안사고를 예방하기 위해 적절한 정보보호정책을 마련하고 기술적 조치를 통해 자사 및 고객들의 중요 정보자산을 보호할 의무가 있다.

기업과 공공기관의 정보보호는 국가경쟁력 향상은 물론 국가안보의 핵심이 되기 때문에 매우 중요하다. 특히 정보보호 강화를 위해서는 정책이나 인력, 그리고 예산·프로세스·실천수칙 등을 효과적으로 마련하는 일이 필수다.

‘정보보호’라는 목적을 위해서는 기업·기관은 보안위협과 취약점에 대한 상시 점검과 대응방안을 마련하고 실천해야만 한다. 또한 정보보호 활동은 비즈니스에 자연스럽게 녹아들어 하나의 업무 프로세스가 되어야만 구성원들의 거부감이나 업무에 불편함 없이 효과적으로 실행할 수 있다.

이를 위해 정보보호최고책임자협의회(CISO협의회)는 기업과 기관의 자율적인 정보보호 실천 의지를 표명한 ‘건강한 기업 정보보호 환경조성을 위한 5.5.2.1 실천 수칙’을 발표했다. 그리고 지난 12월 24일 개최된 ‘제2회 정보보호 서밋’에서 정보보호최고책임자들과 함께 기업의 정보보호 역량 강화를 위한 수칙 실천을 다짐했다.

이날 CISO협의회가 발표한 ‘건강한 기업 정보보호 환경조성을 위한 5.5.2.1 실천 수칙’은 △CISO를 선임하고 IT인력의 5% 이상으로 정보보호 전담조직을 구성한다 △독립된 정보보호 예산을 IT 예산의 5% 이상으로 투자한다 △자체 정보보호 가이드라인을 마련하고 직원 1인당 연2회 이상 정보보안 교육을 실시한다 △외부 전문기관에 의한 정보보호 컨설팅·점검 및 외부 화이트 해커에 의한 모의침투 훈련을 연1회 이상 실시한다 등이다.

이러한 실천 수칙은 국민안전과 창조경제의 실현을 위해 꼭 필요한 약속이고, 이러한 약속이 모여 안전한 정보통신기술(ICT) 최강국을 건설하는 초석이 될 것으로 보인다. 2015년에는 기업 정보보호최고책임자들이 어둡고 위험한 정보보호 바다의 등대와 같은 역할을 해야 한다는 기대감이 크다.

이에 대해 지난 24일 ‘정보보호 서밋’에 참석한 미래창조과학부 윤종록 차관은 “기업의 정보보호에 대한 인식제고 및 보안투자 확대를 위해 정보보호최고책임자의 5.5.2.1 수칙에 대한 다짐과 실천이 무엇보다 중요하다”며 “미래부도 정보보호최고책임자가 역할을 다할 수 있는 환경 조성을 위해 최선을 다하겠다”고 밝혔다.

이 외에도 보안전문가들은 각 기업이나 기관에서 지켜야 할 정보보호 실천사항으로 △기업 정보보호 강화를 위한 GRC(Governance, Risk Management, Compliance) 체계를 구축한다 △우리 기업의 지속가능 경영을 위한 정보보호 및 개인정보보호 전략을 세운다 △우리 기업에 최적화된 정보보호 수준을 확립하기 위해 적극적인 보안 활동과 보안 성숙도를 높이기 위한 정보보호 관련 인증을 취득한다 △정보보호를 단순한 통제가 아닌 하나의 기업 문화로 정착시키도록 노력한다 등을 꼽았다.

또한, 이번 실천수칙 제정에 참여한 보안전문가들은 기업에서 자발적으로 정보보호 관리체계를 구축해 이를 관리할 수 있는 정보보호 자율규제 환경을 구축해야 한다는 점도 강조했다. 이와 함께 기업 정보보호의 경우 솔루션과 통제만으로 해결할 수 없기 때문에 물리적·관리적·기술적 정보보호를 실천해야 하며, 기업 정보보호의 모든 책임은 기업 대표에게 있음을 명심해야 한다고 지적했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>