| 기업 중요정보, 제대로 보호하기 위한 8단계 절차 | 2015.06.25 | |
통합관리 보안 체인 구축 통한 전방위적인 보안활동 필요
먼저 첫 번째 단계에서는 어떤 정보가 중요한 것인지 보호의 범위를 설정해야 한다. 특히, 회사 내 중요 정보를 취급하는 곳을 파악하고 그곳에서 다루는 정보가 유출될 시 회사에 미치는 피해규모를 파악해 명확히 정보자산의 범위를 설정해야 한다. 두 번째로는 내·외부 이해관계에 따른 보안 요구사항을 명확히 이해하고 그 요구사항을 보안업무에 반드시 반영해 상시 모니터링 해야 한다. 세 번째 단계에서는 회사 중요정보에 대한 위험분석을 해야 한다. 이 단계는 기업들에게 매우 중요한 단계임에도 불구하고 많은 기업이 시간과 투자비용 문제로 포기한다. 이 단계에서 명확히 위험분석을 하고, 사고 발생시 피해금액까지 산정해야 한다. 이와 더불어 CEO에게 단계적 보안투자와 보안인력 충원 필요성을 충분히 이해시켜야 한다. CEO가 바뀔 경우에도 매번 재보고를 통해 업무의 연속성을 확보해야 한다. 네 번째 단계는 구체적인 보안계획을 수립하고 계획이 제대로 이루어지고 있는지 주기적으로 평가해야 한다. 중요정보에 대해 어떻게 보호할 것인지와 관련한 월별, 일자별 정보 보호계획을 수립해야 한다. 다섯 번째로는 전문화된 보안인력 육성이 필요하다. 전 세계 보안시장은 다른 어떤 영역보다 빠르게 변화한다. 최근 트렌드를 보면 모바일 보안, IoT 보안, 웨어러블 보안, 빅데이터 보안, 스마트카 보안 등 보안환경의 범위가 갈수록 넓어지고 있다. 다시 말해 이는 보안의 침해 행위가 다양화되고 있다는 것을 의미하는 셈이다. 이러한 환경에서 중요 정보를 보호하려면 보안인력의 전문화 교육에 많은 시간을 할애해야 한다. 여섯 번째 단계에서는 중요 정보가 제대로 보호되고 있는지 운영적인 측면에서 확인해 봐야 한다. 중요 정보를 보호하기 위해서는 상시로 위험 모니터링 할 수 있도록 체계를 구축해야 한다. 보안인력이 부족한 현실에서 대부분의 기업은 정직원이 아닌 외부 인력을 가지고 모니터링을 하고 있지만 이는 매우 위험한 발상이다. 불가항력적으로 아웃소싱 인력을 활용한다면, 반드시 주 단위나 월 단위로 모니터링과 측정에 대한 결과물을 보고받아야 한다. 일곱 번째 단계에서는 모니터링 결과에 따른 구체적인 활동을 실행해야 한다. 예를 들면 내·외부 보안 취약점 발생에 대한 조사, 개선방향, 최신 보안동향 등을 면밀히 조사하고 그에 따른 시정조치 활동을 통해 위험요소를 시각적으로 관리·제거할 수 있어야 한다. 여덟 번째로는 국내 사업장뿐만 아니라, 관계기관, 국내 협력사, 해외 사업장, 해외 협력사까지 총체적 통합관리 보안 체인을 구축하고, 전방위적인 보안활동을 수행해야 한다. 기업의 중요 정보를 지키기 위해 적용되는 보안은 불편하다. 그러나 이러한 요소들이 중요정보를 지키기 위한 필수요소임을 잊지 말고 앞서 언급한 보안요소들을 생활화해야 할 것이다. [글_김 삼 주 현대위아 보안관리팀 차장] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
