.jpg)
정 인 표 | LIG 넥스원 보안실 수석매니저 (inpyojeong@lignex1.com) \r\n
\r\n
‘빨리 가려면 혼자 가고, 멀리 가려면 함께 가라’라는 아프리카 속담이 있다. 개인정보유출, 사이버테러와 같은 보안 사고에 대해 국민적 관심과 우려가 높고, 이에 대응하여 다양한 정보보호정책이 개정/추진되고 있음에도 불구하고 크고 작은 보안사고가 끊이지 않는 것이 오늘날의 현실이다.
\r\n
\r\n
이 같은 현실에서 벗어나기 위해서는 유관 기관의 정책적인 노력이 우선되어야 하나, 그간의 정보보호정책은 친구와 오랜 길을 함께 가려는 사려 깊은 동반자라기보다는 급한 마음에 친구를 밀치고 먼저 달려 나가는 야속한 벗을 보는 듯한 느낌이 들어 시큐리티월드를 통해 멀고도 험한 보안의 길을 보안실무자와 함께 가는 보안정책이 될 수 있도록 몇 가지 제안을 하고자 한다.
\r\n
\r\n
먼저 책임보다는 권한을 부여하는 보안정책이 되어야만 한다. 첨단기술 보호는 국가의 명운과 직결된 사안임에도 불구하고, 기업 보안업무는 사고가 없으면 존재감 없는 업무, 사고가 발생하면 권한에 비해 과도한 책임을 지는 희생양일 뿐이다. 기업의 존재 이유가 이윤 추구임을 감안한다면 이윤을 창출하지 못하는, 때로는 이윤창출에 방해가 되는 보안업무가 기업에서 홀대 받는 것은 어찌 보면 당연하다고 할 수 있다. 때문에 기업의 보안조직을 CEO 직속의 별도 독립조직으로 구성하여 보안감사 활동을 보장해주는 등 책임에 맞는 권한을 부여하는 보안정책이 되어야 할 것이다.
\r\n
\r\n
두 번째로 보안활동에 가치를 부여하는 보안정책이 되어야만 한다. 보안우수 기업에 대해 조달업체 평가 시 가산점 부여, 정보보호 관련 투자時 일정부분 지원/사업원가 반영/세제 감면 등의 혜택 제공, 자체 보안감사 전문 인력 채용 의무화 및 이에 따른 고용비용의 일부를 지원하는 방안 등이 보안활동이 일반 기업업무 이상의 가치를 제공하도록 하는 좋은 정책적 예가 될 수 있을 것이다.
\r\n
\r\n
마지막으로 규제보다는 지원 위주의 보안정책이 되어야 한다. 현재의 규제 위주의 강제적인 보안정책으로는 규제 항목 이상의 보안 수준을 기대할 수 없으며 새로운 해킹 기법이 나올 때마다 이를 막기 위한 새로운 규정을 만들고 이를 관리 감독해야 하는 악순환이 반복될 뿐이다. 그러므로 규제보다는 국가적 차원의 보안컨설팅 사업이라든지, 성희롱 교육과 같이 보안교육을 기업 필수교육으로 지정하는 등의 지원 위주 보안정책을 추진해 기업의 보안 자생력을 제고시키고 민간 차원의 자율적인 보안문화를 조성하여 새로운 침해시도에 대해서도 능동적으로 대응하는 체계를 구축해야 할 것이다.
\r\n
\r\n
눈부신 정보통신기술의 발달 속도에 비해 정보보호 활동은 이에 미치지 못하는 것이 현실이며, 위와 같은 방안들이 실제 적용되고 제도화되기까지는 많은 어려움과 시행착오가 따를 것이다. 그러나 이제는 소 잃고 외양간 고치기식의 땜질 처방이 아닌, 보다 근본적인 대응이 필요한 때라고 생각되므로 보안 유관기관 및 정책 담당자분들의 많은 관심과 고민을 당부 드린다.
\r\n
\r\n
\r\n
[월간 시큐리티월드 통권 제208호(sw@infothe.com)]
\r\n
\r\n
<저작권자 : www.securityworldmag.co.kr) 무단전재-재배포금지>
\r\n
