완벽한 보안은 기술이 아니라 프로세스
프로세스를 지키며, 지속적으로 관리하는 것이 보안의 필수조건

유와이즈원 편집진

최근 몇 년 사이 개인정보 유출사고를 비롯해 국내 대표적인 방송사, 금융사, 통신사에 대한 사이버 공격이 주요 뉴스로 보도되는 것을 볼 수 있다.
뿐만 아니라 국내 청와대와 국무조정실 등 홈페이지를 비롯해 정부기관 시스템의 서버시스템 피해 사례까지 끊임없이 나오고 있어, 우리의 정보 보호 현실을 체감하고 불안한 눈으로 지켜보고 있는 상황이다. 이런 보안사건 사고들의 원인을 분석하고, 대책을 마련하자는 언론과 전문가들의 견해를 종합해 보면, 공통적으로 2가지 시사점을 이끌어낼 수 있다.

그 첫째는 철저한 기술적 조치이다.
국내 많은 회사들은 그 동안 보안 장비를 많이 쓸수록 비용도 많이 들고 전산망의 처리속도도 느려진다는 이유로 투자를 소홀히 해왔다. 이에 보안 전문가들은 고도의 전문가라도 접근 권한이 없는 시스템을 뚫고 들어가는 데는 시간이 걸리기 때문에, 시간을 체크하고, 공격 패턴을 막아낼 철저한 기술적 장비가 필요하다고 조언한다.

또한 두 번째로 필요한 것은 끊임없는 점검과 관리감독을 병행이다. 보안 사고와 같은 보안 문제는 보안장비와 소프트웨어 등의 투자를 통한 기술적인 문제만으로는 해결되지 않기 때문이다.
미국의 정보보호 전문가인 브루스 슈나이어(Bruce Schneier)저서 `비밀과 거짓말(Secrets and Lies)'에서 “완벽한 보안은 없다. 그러나 보안은 있다”라고 말하면서, 보안은 제품(기술)이 아니라 프로세스라는 말을 했다. 비록 불가능할지라도 완벽한 보안을 위해 최선을 다하는 것이 올바른 보안정책 프로세스를 지속적으로 지켜나가는 인식으로부터 출발한다는 것을 강조하는 부분이다.
그렇다면, 관리적 보안은 어떤 수준으로 누가 어떻게 해야 효과적인 것일까?
일반적으로 볼 때, 보안과 관련한 강력한 내부통제 및 관리는 기존 정보시스템 운영과 일반 업무수행에 불편을 초래하기 때문에, 현업부서와 충돌을 유발해 갈등을 야기할 수도 있는 민감한 사항이다.
그렇기 때문에 최고 경영자가 얼마나 관심을 가지고 참여의지를 보이는지가 중요하다. 그래야 전직원 대상으로 교육과 관리도 가능해지고, 조직 내부에서 이해관계가 상충할 때, 정보보호의 가치를 염두한 의사 결정이 가능하기 때문이다. 정보보호는 단기적으로 볼 때 통제를 통해, 업무수행을 효율성을 저하할 수 있다고 생각할 수 있지만 장기적으로는 회사 전체 효율성을 높이는 기업 활동임을 전 직원에게 인식시켜줄 필요가 있다.
최고 경영자의 확고한 관심과 의지, 보안의 중요도를 높게 평가하는 전직원의 인식과 함께 필요 한 것이 보안 정책을 지속적으로 관리 감독하기 위한 ‘관리적인 보안 솔루션’이다.

정보보호 관리적 보안 솔루션인 wiseOne-ISMS는 기업에서 최소의 인원으로 전체 보안 솔루션의 관리 및 전직원의 보안 업무를 관리 감독할 수 있게 해주어, 국내유수의 기업 S전자, L마트, S텔레콤, E리테일, H플러스 등에서 활용되고 있다.
특히, ISMS(Information Security Management)정보보호관리체계나 PIMS(개인정보보호관리체계) ISO27001 등의 국내외 정보보호 관련 인증을 획득한 기업이라면, 내부에 구축된 보안관리 전략 및 프로그램을 지속적으로 관리하고, 정해진 일정에 맞춰 자동으로 메일 및 일정 관리, 공지 기능을 통해 운영할 수 있게 해준다.
국내 유수의 HR기업인 S사에서는 wiseOne-ISMS를 활용하여 개인정보 및 정보 보안 관리업무를 관련 전직원의 KPI와 연계해서 운영하여, 보다 철저한 운영과 관리를 실천하여 보안 시스템을 강화하고 있다. 최근 개인 정보를 포함한 기업의 정보 유출의 70~80%는 내부자에 의해서 이루어진다는 조사 결과에서 보듯이, 기업의 정보보호를 위한 내부 직원들의 철저한 보안 관리 업무는 중요한 관리 포인트이다.

<KISA, 2012년 기업정보보호 실태조사, 2013.3월 > 자료에서도 알 수 있듯이 기업의 정보보호를 위한 예방활동은 미흡한 현실이다.

이처럼, 투자가 저조하고, 침해 사고 예방을 위해 활동하는 범위도 한정적인 것이 현실이다. 특히 기업에서 보안을 담당하는 소수의 인원이 다수의 현업 담당자들과 다양한 보안 업무를 하나하나 확인하고 관리하기란 현실적으로 상당히 어렵다.

이런 현실적인 문제를 해결할 수 있는 것이 관리적 보안 솔루션이라고 할 수 있다.
관리적 보안 솔루션은 보안 담당자가 솔루션을 통해, 현업담당자에게 할당된 보안에 관련된 업무를 일정에 맞춰 진행할 수 있도록 시스템에서 업무별, 상황별 보안 지침과 매뉴얼을 제공하고, 전자메일을 통해서 정해진 일정에 맞춰 공지와 할 일에 대한 정보를 전달한다.
또한 현업에서 진행한 보안 업무는 전자문서로 관련 부서장과 보안 최고 담당자에게 전자 결재를 통해 진행 결과를 보고할 수 있게 해준다.

또한 주간 및 월간단위로 진행된 정보보호 업무에 대해서 진행사항과 결과가 자동 리포팅 되기 때문에, 회사 전체의 정보보호 관련 업무를 한눈에 파악하고 관리 감독이 용이해지도록 해준다. 완벽한 보안을 불가능해도, 기업의 현실에서 필요한 물리적 보안을 마련하고, 기업의 업무 프로세스에 맞도록 최선을 다해 보안 정책과 가이드를, 전사 직원이 지속적으로 관리 감독하여, 더 이상의 피해가 없도록 관리해야 한다.