세 번째 단계에서는 회사 중요 정보에 대한 위험분석을 해야 한다. 이 단계는 기업들에게 매우 중요함에도 불구하고 많은 기업이 시간과 투자비용 문제로 포기한다.

이 단계에서 명확히 위험분석을 하고, 사고 발생 시 피해 금액까지 산정해야 한다. 이와 더불어 CEO에게 단계적 보안투자와 보안인력 충원을 이해 및 보고해야 한다. CEO가 변경될 경우에는 매번 재보고를 통해 업무의 연속성을 확보해야 한다.

네 번째 단계는 구체적인 보안 계획을 수립하고 계획이 제대로 이루어지고 있는지 주기적으로 평가해야 한다. 중요 정보에 대해 어떻게 보호할 것인지와 관련한 월별, 일자별 정보 보호계획을 수립해야 한다.

다섯 번째로는 전문화된 보안인력 육성이 필요하다. 전 세계 보안 시장은 다른 어떤 영역보다 빠르게 변화한다. 트렌드를 보면 모바일 보안, IoT 보안, 웨어러블 보안, 빅데이터 보안, 스마트카 보안 등 보안환경의 범위가 갈수록 넓어지고 있다. 다시 말해 이는 보안의 침해 행위가 다양화되고 있다는 것이다. 이러한 환경에서 중요 정보를 보호하려면 보안인력의 전문화 교육에 많은 시간을 할애해야 한다.

여섯 번째 단계에서는 중요 정보가 제대로 보호되고 있는지 운영적인 측면에서 확인해 봐야 한다. 중요 정보를 보호하기 위해서는 상시로 위험 모니터링할 수 있도록 체계를 구축해야 한다. 보안인력이 부족한 현실에서 대부분의 기업은 정직원이 아닌 외부 인력을 가지고 모니터링을 하고 있지만 이는 매우 위험한 발상이다. 불가항력적으로 아웃소싱 인력을 활용한다면, 반드시 주 단위나 월 단위로 모니터링과 측정에 대한 결과물을 보고받아야 한다.

일곱 번째 단계에서는 모니터링 결과에 따른 구체적인 활동을 실행해야 한다. 예를 들면 내·외부 보안 취약점 발생에 대한 조사, 개선방향, 최신 보안동향 등을 면밀히 조사하고 그에 따른 시정 조치 활동을 통해 위험 요소를 시각적으로 관리·제거할 수 있어야 한다.

여덟 번째로는 국내 사업장뿐만 아니라, 관계 기관, 국내 협력사, 해외 사업장, 해외 협력사까지 총체적 통합관리보안 체인을 구축하고, 전방위적인 활동 수행이 필요하다. 기업의 중요 정보를 지키기 위해 적용되는 보안은 불편하다. 그러나 이러한 요소들이 중요 정보를 지키기 위한 필수 요소임을 잊지 말고 앞서 언급한 보안 요소들을 생활화해야할 것이다.

[글 시큐리티월드 김삼주 현대위아 보안관리팀 차장]

[월간 시큐리티월드 통권 221호 (sw@infothe.com)]

<저작권자 : (www.securityworldmag.co.kr) 무단전재-재배포금지>