| 정보보호 거버넌스 이슈 해결 위한 5가지 과제 | 2015.05.07 | ||
\r\n
\r\n
\r\n 비즈니스 연계, 가치 관리, 위험관리, 자원 할당, 보증·평가로 분류 \r\n[시큐리티월드_김정덕 중앙대학교 산업보안학과 교수] 새로운 정보통신기술의 출현과 비즈니스 환경의 복잡성 증대로 인해 기업에 재무적 손실을 발생시킬 수 있는 보안사고 혹은 위협요소들이 지능화·고도화되고 있으며, 피해규모도 급격히 증가하고 있다. 따라서 보안위협에 보다 효과적으로 대응하기 위해서는 정보보호 이슈를 더 이상 기술적 관점이 아닌 비즈니스 이슈로서 간주할 필요가 있으며, 최고 경영층의 리더십과 책임을 강조하는 정보보호 거버넌스 체계 구축이 요구되고 있다. \r\n금융권에서부터 시작된 CISO와 CIO의 겸직 금지로 인한 IT 부서와 정보보호 부서간의 갈등, 컴플라이언스 관리지침의 자동화 이슈, 정보보호를 위한 적정 예산 및 인적자원 산정, CISO의 위상 강화에 따른 새로운 역할, 그리고 CISO가 책임을 져야 하는 업무 범위 등 해결해야 할 거버넌스 이슈들이 대두되고 있다. \r\n거버넌스 개념이 모호하기 때문에 많은 기업들이 관리체계와 거버넌스를 혼동하는 경우가 많은데, 정보보호 거버넌스를 효과적으로 구현하기 위해서는 이를 구체화하고 체계적으로 정립하는 것이 무엇보다 중요하다. \r\n산학연 정보보호 전문가로 구성된 정보보호 GRC 연구회에서는 정보보호 거버넌스를 Strategic Alignment(전략적 연계), Value Management(가치 관리), Risk Management(위험 관리), Resource Allocation(자원 할당), Assurance·Assessment (보증·평가)와 같이 5가지 영역으로 분류해 정보보호 거버넌스에 대한 체계적인 연구와 심도 있는 토론을 통해 현재와 미래의 거버넌스 이슈를 해결하기 위해 노력하고 있다. \r\n1. 비즈니스와의 전략적 연계 \r\n정보보호 거버넌스의 핵심은 정보보호 전략과 비즈니스 목표를 전략적으로 연계시킴으로써 정보보호의 비즈니스 가치를 극대화하는 것이다. 따라서 전략적 연계를 위한 효과적인 모델이 요구되며 추가적으로 구체적인 메커니즘 개발이 필요하다. \r\n이어 최고경영층의 리더십 스타일과 보안조직 유효성의 관계, 그리고 CISO의 역할 및 핵심 역량을 정의하고 그에 따른 정보보호 전담조직 편성방법이 고려되어야 하며, 이를 위한 채널로서 정보보호위원회의 역할과 책임을 강조할 필요가 있다. \r\n또한 효과적인 정보보호 활동을 위해 자산 소유권에 따른 현업 부서의 정보보호 역할 및 책임 또한 정의되어야 한다. 끝으로 이러한 활동들을 지원하기 위해서는 최고경영층 또는 고객 등 외부 이해관계자에게 효과적으로 보안가치를 전달할 수 있는 소통방법을 개발하는 일도 중요하다. \r\n2. 정보보호 가치 관리 \r\n정보보호 가치 관리란 ‘정보보호는 비용이다‘라는 부정적 인식의 전환을 위해 정보보호가 어떠한 가치를 비즈니스에 제공할 수 있는지를 정의하고 산정할 수 있어야 한다는 것이다. 또한, 가치의 실현 여부를 실제적으로 평가할 수 있어야 한다. 정보보호가 비즈니스에 제공하는 정성적·정량적 가치가 정의되어야 하며, 가치 전달을 위한 프레임워크 개발이 필요하다. \r\n기업예산 측정시 화두가 되는 보안예산 수립 방법론이 필요하며 이를 위한 Cost-Benefit 기반의 투자 타당성 평가 방법론이 요구된다. 정보보호를 통해 기업이 달성할 수 있는 성과를 측성하기 위한 보안성과 지표(SPI: Security Performance Indicator)의 개발이 요구되며 이러한 정보보호 성과와 조직·인사, 즉 비즈니스 측면에서의 평가와의 연계가 필요하다. \r\n3. 정보보호 위험관리 \r\n기업이 정보보호 전략과 비즈니스 목적을 연계하고 그 가치를 관리하기 위해서는 위험관리가 필수적인 요소이다. 위험관리 프로세스는 위험평가, 위험처리, 위험소통 및 모니터링으로 구분할 수 있다. 기존 자산 중심의 상세 위험평가 방법의 한계성을 극복하기 위한 시나리오 기반 위험분석 방법의 정교화, IT 자산 중심이 아닌 업무활동 차원에서의 위험분석 방법론 개발 등 새로운 위험평가 방법론 개발이 요구된다. \r\n또한, 식별된 위험들을 어떻게 처리할 것인가에 대한 선택 기준이 필요하며, 특히 위험전가(transfer) 방법의 대표적 수단인 보안 아웃소싱을 위해 아웃소싱 대상 선정 모델 개발과 이에 대비한 적절한 감독관리 방법이 요구된다. 또한, 정보보호를 위한 보험의 유형 및 프리미엄 산정도 고민해 봐야 할 이슈이다. 위험관리 프로세스에서 그동안 간과됐던 부분은 일련의 위험관리 활동에 대한 이해관계자들과의 지속적인 소통이다. 정보보호활동 중 어떤 내용을 어떤 방식으로 공유 및 전달해야 하는지에 대한 방법이 필요하다. \r\n또한, 현재의 정보보호 노력이 사고예방에 치중되어 있으나, 새로운 위협요인 출현과 불완전한 기술적 대책의 한계 때문에 이제는 예방이 아닌 신속한 탐지와 대응이 필요하다. 즉, 지속적인 위험진단 및 모니터링 방법 개발에 중점을 두어야 한다. 위험은 제거되는 것이 아니고 지속적으로 관리되어야 하는 것이기에 위험에 대한 지속적인 모니터링이 필요하다. 같은 맥락으로 위험관리는 프로젝트 성격이 아닌 프로그램 성격으로 지속적으로 유지·관리되어야 한다. \r\n이를 위해서는 먼저 전사적 위험관리(ERM) 차원에서 관리되어야 할 핵심보안지표(KSI: Key Security Indicator)를 개발하는 일이 무엇보다 중요하다. \r\n4. 정보보호를 위한 적절한 자원 할당 \r\n자원 할당은 다른 영역에 비해 실무적으로 근접하며, 가장 시의성이 요구되는 영역이다. 투입해야할 적정 자원을 산정하고 중복된 자원 할당을 제거하는 것은 비용을 최소화해야 하는 기업의 입장에서 매우 중요한 이슈이기 때문이다. \r\n효과적인 자원 할당을 위해 보안 직의 적정 인력규모 산정 방법 개발 및 이해관계자들의 핵심 역량을 제고하는 방안을 제시하는 것이 중요하다. 또한, 중복 투자의 방지 및 전사적인 아키텍처(EA: Enterprise Architecture)와의 연계를 위한 전사적 보안 아키텍처(ESA: Enterprise Security Architecture) 개발이 요구된다. \r\n5. 객관적인 정보보호 보증 및 평가 \r\n정보보안 수준은 객관적으로 입증될 필요가 있다. 이를 충족시키기 위해서는 기존의 법 규정 및 기관의 정보보호정책에서의 요구사항의 준수 여부를 효과적으로 관리해야 한다. 컴플라이언스 관리를 위한 자동화 솔루션이 국내외 시장에서 사용되고 있으나, 변화하는 법 규정 요구사항을 반영할 수 있는 업데이트 체계 구축, 업무 시스템과 연계를 통한 필요 데이터 자동입력 등 기능 개선이 요구된다. 또한, 특정 산업 특성을 반영한 산업별 보안통제 항목을 도출해 관리할 필요가 있다. \r\n\r\n 이와 같은 연구를 토대로 정보보호 거버넌스 이슈에 대한 의견을 적극 수렴해 구체적인 과제를 개발할 예정이며, 연구과제의 시급성과 중요성을 기반으로 우선순위를 결정해 연구를 진행할 계획이다. \r\n[글 : 김정덕 중앙대학교 산업보안학과 교수] \r\n[월간 시큐리티월드 통권 220호 (sw@infothe.com)] \r\n<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지> \r\n |
|||
 |
