이번 KCSMC 모임은 2009년 모임을 결산하고, 2010년 KCSMC의 활동방향을 모색하는 자리로 마련됐으며, 보안뉴스 보안연구센터(TSRC : Trusted Security Research Center) 임채호 센터장의 발표가 끝난 후에는 최근 보안이슈와 보안 업무 추진과정에서의 고충 등에 관한 활발한 의견교환이 이루어졌다.

미국의 FISMA와 같은 법률체계 마련돼야

이날 임채호 센터장은‘객관화된 신뢰성 보안관리체계’를 주제로 강연을 진행했다. 그는“국내 보안체계의 문제점으로 국가적 표준 및 가이드라인 미흡과 실무 적인 보안전문 인력 부족 등을 언급하면 서 이제 보안개념과 시각, 그리고 아키텍처를 변화시켜야 할 시기가 왔다”고 서두를 꺼냈다. 임 센터장은 보안체계를 심리적 보안체계와 신뢰성 보안체계로 구분 하고, 이러한 보안체계를 집대성하기 위한 방안으로 보안성능 관리와 보안지표의 구체화 필요성을 언급했으며, 그 예로 미국의 연방정보보안관리법(FISMA)에 따른 미국표준기술연구소(NIST)의 SP 시리즈에 대해 설명했다.

그는 심리적 보안체계와 관련해 범죄자는 기술을 이용하고 기술자를 활용하지만, 대부분은 기술이 필요 없는 범죄라고 설명하면서 각종 보안기술 개발 못지않게 심리적인 범죄요인을 제거하는 노력이 보안체계 강화에 있어 중요한 과제라고 설명했다. 또한, 신뢰적 보안체계에 대해서는 경영진과 보안책임자(CSO), 그리고 보안실 무자 간에 신뢰를 기초로 한 명확한 역할분담이 이루어져야 하며, 보안을 절대적으로 보지 않고 보안의 각 분야를 상대적으로 관리하며 유지·보수할 수 있는 방안 이 필요함을 강조했다.

특히, 임 센터장은 효과적인 보안 체계 구축·관리를 위해 조직의 보안상태를 지수화해 관리할 수 있는 보안지표(Security Index)를 마련하고, 이를 조직보안점수로 수치화함으로써 지속적으로 체크해야 한다고 설명했다. 이와 함께 미국의 예로 FISMA에 따른 NIST SP-53 보안기준을 제시해 참석자들의 높은 관심을 끌었다. NIST SP-53은 각각의 보안업무 영역과 이를 수행하는 주체를 리스트화한 것으로 관리적·물리 적·기술적 보안영역이 모두 망라 돼 있다.

그는“우리나라 보안체계는 적절한 가이드라인이 없는 등 보안의 기본이 부족한 상황”이라며, “기본을 튼튼히 세우 기 위해서는 국가 전체를 감시·관리하는 보안체계를 마련해야 하고, 실제적 통계에 기반한 객관적 접근이 중요하다” 는 말로 결론을 맺었다.

객관적이고 신뢰성 높은 보안 가이드라인이 필요하다

임 센터장의 발표가 끝난 후, 협의회 회원들은 발표내용 뿐 만 아니라 우리나라 기업보안체계의 문제점과 향후 나아가야 할 방향에 대한 열띤 토론을 벌였다. KCSMC 회장인 BAT코리아 박찬석 이사는“우리나라에서도 기업보안담당 자나 보안전문가들이 정부 측에 FISMA와 같은 법률이나 객관화된 보안지수 및 체계를 만드는 일에 적극 나설 것을 주문해야 한다”고 말했다. 이에 본지 및 보안뉴스 편집인인 최소영 부사장은“정부당국자들이 참석하는 간담회와 관련 기사 등을 통해 정부부처에 그 필요성을 지속적으로 제기 하고 있는 상황”이라며, “아직까지는 진척이 조금 느리지만, 우리나라의 보안체계도 점차 선진국 수준으로 향상될 것으로 기대한다”고 말했다. 또한, KCSMC 최진혁 부회장 은“FISMA의 경우 모범답안처럼 매우 잘 구성돼 있지만, 우리 기업의 현실과는 맞지 않는 부분도 분명 존재한다”며,“ 문화적 차이를 고려한 우리나라만의 보안 체계와 기준을 수립하는 일이 필요 하다”고 덧붙였다.

FISMA에 기초한 보안체계가 가장 효율적으로 운영·관리되고 있는 것으로 알려진 글로벌기업 IBM의 한국법인인 한국IBM 이정호 팀장 은“보안체계가 매뉴얼로 또는 소프트웨어 툴 형태로 잘 갖춰져 있다”면서도“보안업무의 경우 보안 체계는 물론이고 법률, 인사 등 다른 부서와의 유기적 협력이 매우 중요하다”고 설명했다.

이번 모임에서는 보안책임자로써의 고충과 올해 보안이슈에 대한 의견도 많이 제시됐다. 한국씨티 은행의 이성규 부장은“국내의 경우 보안업무를 수행하는 것을 임직원들이 자신들을 신뢰하지 못한다는 측면으로 바라봐 거부감을 갖는 것 같다”며, “그렇다고 이 점을 너무 고려하다 보면 보안체계 강화는 요원할 수밖에 없다”고 말했다.

또한, ADT캡스 최용일 본부장은 보안을 비용이 아닌 투자 로 생각하는 의식의 전환이 절실하다는 점을 꼽았고, 코오롱종합기술원 안병구 부장은 기업의 보안체계가 해당기업의 조직문화와 융화돼 보안문화로 정착되어야 한다는 점을 강조했다. 2010년 보안이슈와 관련해서 HID Global 이철욱 한국지사장은 각 보안 솔루션 간의 통합추세를 꼽았고, 최진혁 부회장은 스마트 폰의 보안이슈가 크게 부각될 것으로 내다봤다.

이번 KCSMC 모임은 2009년을 마무리하고, 2010년을 맞이하는 자리였던 만큼 다양한 보안이슈들이 제기됐고, 보안책임자로써 기업에서 어떤 역할을 담당해야 하는지 다시금 되새겨볼 수 있는 기회가 됐다는 평가다.

<글 : 권 준 기자 | 사진 : 원 병 철 기자>