사이버 리스크 포함한 이슈와 사고관리 프로세스와의 통합 미흡
GRC 기반으로 인적관리, 기술, 프로세스 측면 통합해서 살펴봐야

[보안뉴스 김경애 기자] 기업의 정보보호 조직은 이사회와 경영진이 요구하는 보안관련 핵심정보와 측정 가능한 보안지표를 어떻게 제시해야 할지 고민이 이만저만이 아니다. 이러한 상황에서 높은 보안성이 요구되는 금융회사의 경우 자체 보안성 심의, 주요정보통신기반시설 취약성 진단, 개인신용정보보호 실태점검, 개인정보 수탁사 점검, 그룹사 보안감사 등은 물론 F-ISMS/ISO27001/PCI-DSS 등의 인증 등을 갖추기 위해 고군분투하고 있다.


그럼에도 금융권의 보안사고는 끊임없이 발생하고 있다. 이에 대해 삼정KPMG 김민수 상무는 ‘리스크 관리 중심의 사이버보안 GRC 구축전략’이란 주제 발표에서 “정보보호팀이 정작해야 할 일이 무엇인지 잘 모르고 있는 경우가 상당수”라며 “정보보호 정책서나 지침서를 보면 IT 운영이 대부분이다. 또한, 커뮤니케이션을 어떻게 해야 하는지, 얼마만큼의 트래픽을 공격으로 볼지 제대로 판단하지 못한다. 또한, 데이터를 백업만 갖고 있지 제대로 활용하지 못하거나 유실되는 등 실효성 있는 데이터 산출에도 어려움이 많다”고 진단했다.

이와 함께 기업에서는 사이버 리스크를 포함한 이슈와 사고관리 프로세스가 효과적으로 통합되지 않아 문제가 발생하고 있다고 지적했다. 이에 김민수 상무는 “조직의 거버넌스, 리스크 및 컴플라이언스 프로세스를 비즈니스 전략에 맞추고, 정보의 융합과 투명성을 통해 역동적인 경제 비즈니스 환경에서 성과(Performance)를 내고 지속가능성(Resilience)을 이끌어내도록 접근해야 한다”고 설명했다. 이는 결국 GRC 기반의 프레임워크는 비즈니스 성과, GRC측정, 성과/컴플라이언스 통합보고를 주축으로 구성해야 한다는 얘기다.

이러한 GRC 구축 고려사항으로 기업에서는 리스크 관리를 중심으로 인적관리, 기술, 프로세스 측면을 집중적으로 살펴봐야 한다고 강조했다.

먼저 인적관리 측면에서는 비즈니스 내용의 부재, 인식의 부재, 커뮤니케이션의 부족 등에 대해 중점적으로 고민해야 한다는 지적이다. 이와 관련 이 상무는 “인적관리는 GRC 구현 및 유지를 위해 추가 자원을 할당해야 하는데, 자원이 제한적일 경우 자원별 우선순위를 설정해야 한다”며 “원천 데이터 소유자는 데이터 수집에 일정 시간을 할애해야 한다”고 설명했다.

기술적 측면에서는 데이터 수집·분석 기능의 부족, 성과지표 산출에서의 과도한 시간 소모, 실효성 있는 데이터 산출의 어려움이 제기되고 있다. 이에 따라 효율적인 데이터 추출을 위한 프로세스의 기술적 구현, 빅시큐리티 데이터, 자동 집계 프로세스, 보고 및 분석 솔루션에 대한 지속적인 투자가 진행돼야 한다는 게 그의 설명이다.

프로세스 측면에서는 임계값, 명확한 요구사항의 부재, 과도하게 많은 성과지표 등이 문제로 지적됐다. 이에 따라 GRC 기반으로 관리 및 교육 프로세스를 개발·이행해야 하며 데이터 추출을 위한 추가 프로세스를 정의하는 한편, 측정 항목별 데이터 수집 방식의 다변화를 꾀할 필요가 있다고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>