성과관리 잘하면 유죄가 무죄 된다

적극적이고 전사적인 노력 선행 필수

정보보호가 기업의 중대한 이슈로 부각되면서 앞서가는 기업들은 정보보호 거버넌스를 마련하고 이에 따라 체계적인 정보보호 활동을 추진해 가고 있다.
이에 더 나아가 이제는 정보보호 성과관리를 고민하는 시기에 접어들었다. 몇몇 기업들은 정보보호 성과관리를 통해 자사의 정보보호 활동 추진현황을 점검하고 취약점 및 개선점을 도출해 이를 투자 결정을 내리는 데 활용하고 있다.
뿐만 아니라 성과관리를 통해 축적된 데이터들은 보안사고가 발생했을 시 그동안 기업의 성실한 보안활동을 증명하는 자료로서 유효하며 이에 따라 형량이 달라질 수도 있다.
그러나 아직 국내 기업들의 사정은 요원하다. 정보보호라는 것이 IT처럼 ROI나 TCO와 같이 수치화되고 정량화된 측정이 어려운 개념인데다, 정보보호가 전사적인 이슈임에도 불구하고 대부분 기업들이 정보보호 성과관리를 보안부서만의 것으로 여기기 때문이다.
그럼에도 불구하고 정보보호 성과관리는 ‘보안은 밑 빠진 독에 물 붓기’라는 경영진들의 인식을 바꿔줄 수 있는 유일한 열쇠다.
정보보호 성과관리의 중요성과 방안을 살펴보고 각 사 사례로 발전방향을 모색해 보고자 한다.

연보라 기자 bora@ciociso.com

아직은 걸음마 단계, 거버넌스 수립 우선
성과관리는 업무를 추진함에 있어 조직의 임무, 중장기 목표, 연도별 목표 및 성과지표를 수립하고, 그 집행과정 및 결과를 경제성, 능률성 효과성 등의 관점에서 관리하는 일련의 활동을 말한다.
많은 기업들이 여러 영역에서 성과관리를 수행하고 있으며 이는 IT에 있어서도 마찬가지다. 최근에는 정보보호 이슈가 대두됨에 따라 정보보호에도 성과관리를 도입해야 할 필요성이 제기되고 있다.

▲ “전체적인 보안 거버넌스 체계에 입각해서 하부에 대한 점검들에서부터 상위 레벨의 성과에 대한 지표까지 성과관리가 이뤄져야 하는데 아직까지 국내에 그런 체계를 갖춘 곳은 많지 않을 것이다. 이제야 기업들이 보안 거버넌스를 수립하기 시작했는데, 좀 더 실행해본 후에야 성과관리가 가능해지지 않을까” - 이근교 동부화재 정보혁신팀 상무

그동안 정보보호 활동이 개인정보보호법이나 5.5.7규준 등 컴플라이언스 이슈 대응을 위한 단발적인 투자에 치중됐다면 이제는 전체적인 정보보호 프레임워크를 들여다봐한다는 필요성에서 성과관리에 대한 요구가 출발하고 있으며 일부 대기업을 중심으로 이러한 작업이 이뤄지고 있다.
그러나 정보보호의 특수성으로 인해 대부분의 기업들은 명확한 성과관리 체계 마련에 어려움을 느끼고 있는 것이 사실이다.
업계에 따르면 아직까지 우리나라는 정보보호 성과관리란 것이 성숙되지 않은 단계다. 한 금융사 보안팀장은 “성과관리 도입을 위해 타 회사 사례를 벤치마킹하고자 했지만 아직까지 보안에 관해서는 KPI를 명확히 규정한 곳조차 찾기가 어렵다”면서 “할 수 없이 현재 하고 있는 업무를 바탕으로 KPI를 하나하나 직접 만들어가고 있다”고 이야기했다.
정보보호 성과관리를 하려면 보호해야 하는 대상이 정의가 돼있어야 그 대상이 제대로 보호되고 있는가에 대한 측정이 이뤄질 수 있는데, 실제 기업들에서 명확하게 이러한 정의를 한 곳이 별로 없다는 이야기도 있다. 전체적인 보안에 대한 거버넌스 체제에 입각해서 하부사항에 대한 점검에서부터 상위레벨의 성과에 대한 지표 등 전체적인 체계 안에서 여러 보안이 이뤄져야 보안의 성과관리가 이뤄질 수 있는데 아직은 그런 체계를 갖춘 곳이 많지 않다는 것이다.
국내에 보안이 크게 이슈화된 것이 겨우 2년 여가 안됐기 때문에 아직까지는 비어있는 보안 홀을 막는 식으로 보안활동들이 치중돼 온 것이 사실이다. 그러나 이제는 보안의 프레임워크와 거버넌스에 입각해 보안 정책을 수립하고, 보안 활동들이 제대로 이뤄졌는지 경영진들이 볼 수 있는 지표들로 관리를 해야 할 필요성이 있다.

투자 우선순위·경영진 보고 위해 필수적
어떤 분야든 마찬가지겠지만 보안도 목표 관리가 필요하기 때문에 성과관리는 필수적이다. 조직의 현 수준을 판단할 수 있어야 개선점이 나올 수 있기 때문이다.
이는 관리체계 내에서 CISO가 예산 편성을 할 때 어디에 우선수위를 두고 보안활동을 할 것인지 어떤 부분을 강화시켜야 보안 리스크를 줄일 수 있을 것인지를 판단할 수 있도록 한다.
또한 CEO 및 경영층에게 계량화시켜서 보안리스크가 얼마 정도 되는지를 보고할 수 있다.
CISO 또는 보안팀장들이 가장 난감한 경우는, 경영진들이 ‘우리 회사의 보안수준은 어느 정도인가?’라고 물어볼 때이다. CISO는 경영진들이 쉽게 인지할 수 있도록 가시화된 지표로 보여줄 필요가 있다.
더불어 성과관리는 보안활동을 지표화 하고 이를 기록으로 남기는 활동 자체로 차후 사고 발생 시 중요한 무기가 될 수 있다. 즉 사고가 발생했을 시 보안에 성실한 주의의무를 다했음을 실제적인 데이터를 통해 증명하는 증거자료로 활용될 수 있는 것이다. 구태언 테크앤로법률사무소 변호사는 “보안사고가 발생해 검찰 출두 명령을 받았을 때 빈손으로 가느냐, (자료를 담은) 손수레를 끌고 들어가느냐에 따라 형량이 달라질 수 있다”고 조언한다. 단적인 예로 해킹사고로 개인정보가 대량 유출된 A쇼핑몰의 경우 평소 보안에 대한 대비를 열심히 해왔다는 증거자료를 제출함으로써 무죄판결을 받을 수 있었다.

정량화, 수치화 어려워…성과관리 방법 모색해야
“측정할 수 없는 것은 관리할 수 없다.”
경영의 대가인 피터 드러커(Peter Ferdinand Drucker)는 이와 같이 말했다. 그만큼 기업경영에 있어서 성과의 측정과 관리는 필수적인 요소라 할 수 있다.
그러나 정보보호에 있어서만큼은 이를 그대로 적용하기에 무리가 있는 것이 사실이다. 정보보호는 수치로 측정하기가 어려운 개념이기 때문이다.
시장점유율이나 판매율, 영업목표 등 여러 성과목표들은 정확하게 정량화하고 수치화할 수 있지만 보안은 어렵다.
대표적인 IT 성과 지표인 ROI나 TCO는 정보보호에 있어서는 의미가 크지 않다. 보안 투자를 한 후 개선사항이 눈으로 나타나지 않는 경우가 많고 보안활동 자체가 특정 목표의 수치를 키워가는 게 목적이 아니라 보안 홀이 생기지 않도록 예방하는 내부통제 성격의 활동이기 때문이다.
또한 수치화 하더라도 몇 % 이상이 건강한 수준이고 몇 % 이하는 위험수준인지 판단하는 기준 또한 상당히 모호하다.
정보보호에는 100% 성과달성이라는 것 자체가 없다고 한다. ‘All or Nothing’인 것이다. 아무리 열심히 보안 관리를 해왔어도 사고가 한 번 터지면 모두 무너지는 것이다. 반면 아무 준비나 대비를 하지 않아도 사고가 터지지 않으면 100% 달성이라는 극단적인 성과지표가 나올 수밖에 없다. 따라서 정보보호라는 특성에 맞는 성과관리 방법론이 개발돼야 하는 것이 옳다.

KPI, ISMS, ISO27001 등 활용
아직까지는 정보보호에 최적화되고 표준화된 성과관리 툴이 나오지 않은 상황이다. 각 기업들마다 상황에 맞는 방법을 도입해 사용하고 있다.

▲ “정보보호는 내부통제에 대한 부분이기 때문에 정량화하기가 상당히 어렵다. 개선률, 과제수행률 등으로 하는 방법들도 있는데 완전하진 않다. 게다가 측정된 수치로 보안 수준을 판단하기도 어렵다. 보안은 All or Nothing이기 때문이다” - 김병섭 하나SK카드 정보보안팀장

그 중 가장 보편적으로 많이 사용되는 도구가 바로 KPI(Key Performance Indicator)일 것이다. 각각의 보안활동들을 지표화 된 KPI로 만들어 관리할 수 있으며 그 결과를 통해 개선점을 도출해내고 이를 통해 투자 우선순위를 정할 수 있다.
그러나 KPI의 항목을 객관적이고 체계적으로 설정하는 것도 쉽지 않은 일이다. 아직까지 국내기업들의 정보보호 활동에는 DB암호화나 망분리 등 프로젝트 성격이 강한데, 이 경우 특정 과제를 수행한 후에는 그 활동은 완료되는 것이기 때문에 더 이상의 성과관리가 필요 없기 때문이다. 따라서 많은 기업들의 경우 대부분 컴플라이언스 위주로 KPI를 진행하고 있다.
한 정보보호 담당자는 “정보보호의 활동 목표는 네거티브한 목표, 즉 금감원 감사에 걸리지 말아야 한다거나, 사고가 터지지 말아야 한다는 식의 컴플라이언스와 관계된 것이므로 정량화하기 힘든 부분이 있다”며 “어떤 CIO나 CISO도 전산사고 난 것에 대해서는 KPI로 가져가려 하지 않을 것이다. 누가 그러고 싶겠는가?”라고 토로한다.
또한 금융사들의 경우 연 2회 취약점 점검을 하도록 법제화 돼있다. 이 취약점 점검을 통해 도출된 취약점을 보완했는지 여부를 KPI로 설정하는 방법도 있다. 정보보호 교육 이수율을 KPI로 가져가기도 한다.
그 외에는 일반화하고 표준화할 만한 KPI가 크게 없다는 것이 보안 담당자들이 토로하는 애로사항이다. 또 다른 정보보호 성과관리의 도구로 각종 인증을 활용하는 기업들도 있다. ISMS(Information Security Management System, 정보보호 관리체계), BS10012(데이터보호-개인정보경영정보 시스템에 대한 표준), ISO27001(정보보호 국제표준), PIMS(Persnal Infomation Management System, 개인정보보호 관리체계) 등이 이에 해당된다.
특히 ISMS는 공공기관에, PIMS는 정보통신망법에 저촉되는 사업체들 대상으로 의무화된 인증이지만, 이를 적극적으로 더 활용하고자 하는 움직임들이 최근 포착되고 있다.
카드사인 A기업은 BS10012 인증을 받아 이를 계속 유지하려는 목표를 성과관리 일부로 잡고 있다. 더불어 PIMS 인증까지 추가하려는 준비 중에 있다. 철강회사인 C사도 ISMS의 항목들을 성과관리 항목으로 활용하고 있으며 핵심부서의 경우 인증 획득까지 추진하고 있다.
이러한 현상은 인증 자체가 목적이라기보다 인증 절차를 통해 회사에서 개인정보가 흘러가는 경로를 파악하고 관리 통제하는 부분에서 활용할 수 있기 때문이라고 담당자들은 이야기한다.

각 사 정보보호 성과관리 현황

A 카드사 - 정보보안팀 KPI만으로 정보보호 성과관리

A사는 회사 정책상 모든 것들을 정량화해 평가하도록 돼있어 전사 KPI 정책에 따라 보안 KPI를 실행하고 있다. 지난해 5월 정보보안팀이 구성된 후 초기에는 과제 수행율, 적기처리율, 고객정보수 등으로 성과관리를 진행해오다 올해 2월 KPI를 설정하고 조금씩 업그레이드시켜 비즈니스와 연계한 모니터링 부분이 성과관리의 중심축으로 이동하고 있다.
그러나 전사적으로 KPI를 갖고 가고 있지는 못하며 정보보안팀과 팀원들에 대한 KPI로만 제한돼 있기 때문에 아직은 성숙한 단계에 도달하지는 못했다는 자평이다. 인식교육 이수율도 본래는 해당 현업팀의 KPI로 가져가는 것이 맞지만 정보보안팀의 성과목표로 가져가고 있다.
A사는 계정점검, 패스워드 점검, 보안정책 준수 등 내부규정 및 금감원 감독규정을 KPI에 녹여냈다. 정보보안팀 내 각 팀원별로도 각각의 역할에 따라 팀 목표를 달성하기 위한 활동 중심으로 KPI가 설정돼 있다.
이러한 성과관리는 임원진에 보고하도록 돼있으며 각 팀원들의 연봉제와도 연결이 돼있어 강한 실행동기를 부여하고 있다.
A사는 향후에는 통제에 대한 성과관리뿐 아니라 보안의 효율성 부분도 숙제로 고민하고 있다. 보안은 효율을 따지지 말라고 하지만 수익창출이 기업의 최우선 목적인 만큼 전혀 무시할 수는 없다는 것이 보안담당자의 이야기다. 이에 A사는 개인정보보호 취급자의 수를 줄이는 것을 KPI로 가져가려고 구상 중에 있다.
A사 정보보안팀장은 “이제까지 현업의 보안활동을 모니터링 하면서 느낀 것이 너무나 많은 사람들이 너무나 많은 개인정보를 취급하고 있다는 것이었다”면서 “이를 줄여서 보안의 효율성을 높이고자 하고 있다”고 말했다. 또 그는 “이를 목표로 가져가려면 내부 프로세스 및 시스템을 변경해야 하는 부분들이 있다. 예를 들면 금융상품이 출시되면 백 오피스(Back Office)에서 상당부분 수작업을 해야 하는 부분들이 많은데 이 과정에서 고객정보가 유출될 위험성이 높아지는 것”이라며 “이를 자동화 시켜놓으면 사람 손을 탈 일이 없으니 위험성은 훨씬 줄어든다”고 덧붙였다.
 

B 보험사 - 체크리스트 토대로 도출된 보안 사업 성과 관리

B사는 정보보호 관련 과제의 완수율을 중심으로 정보보호 성과관리를 해오고 있다. B사의 정보보호를 담당하는 시스템기획파트는 올해 초 1박2일 워크샵을 통해 보안에 대한 체크리스트를 모조리 점검하는 시간을 가졌다. 개인정보보호법, 전자금융거래법, 정보통신망법 등 보안 관련법들을 모두 열거해놓고, 각각의 조항들이 의미하는 바와 현재 자사가 실행하고 있는지 여부 등을 꼼꼼히 따져봤다.
그 결과 총 587개의 체크리스트가 도출됐고 이를 토대로 28개의 사업이 시작돼 월별, 연별, 분기별로 계획을 수립해 실행해 나가고 있다.
그 중 하나가 올해 안으로 보안 프레임워크 및 보안 거버넌스를 수립하는 것이다. B사는 수립된 거버넌스대로 2013년 한 해 동안 한 사이클을 돌리고 나면 자사 조직에 적합한 보안 체계를 세울 수 있을 것으로 기대하고 있다. 체계적인 성과관리는 그 이후에나 가능할 것이라는 이야기다.

C 철강사 - ISO27001 토대로 전사적 성과관리

대형철강회사인 C사는 국가보안목표 가급시설인 만큼 기본적으로 보안정책이 매우 강화돼 있다. 이 때문에 관리보안 부분의 활동들을 강화하고 있고 성과관리 또한 전사적이고 체계적으로 이뤄지고 있다.
C사는 ISO27001을 근간으로 정보보호 활동과 정보보호 성과관리를 운영해오고 있다. 글로벌 기업인만큼 외부에서 기업을 평가하기 위해 보안성에 대한 지표를 요구하기 때문에 글로벌 표준이 필요했다.
C사 정보보호그룹 팀장은 “ISO27001은 보안 인프라에 대한 관리와 더불어 각종 제도, 기준 등을 다 아울러 종합평가 하는 것이기 때문에 글로벌 표준으로 적합한 도구라고 생각한다”면서 “아마 다른 글로벌 기업들도 대부분 이 기준을 사용하고 있는 것으로 알고 있다”고 밝혔다.
그러나 각 사마다 상황과 여건이 다르기 때문에 ISO27001을 그대로 일률적으로 적용해 사용하기는 어렵다고 그는 덧붙였다. 이에 C사는 ISO27001을 응용, 40여 개 항목을 추가해 11개 영역, 170여 개의 항목으로 성과관리 체계를 운영하고 있다.
또한 C사는 주요 패밀리사를 중심으로 연간 2번 반기 단위로 보안수준 진단을 실행한다. 이런 보안수준 평가내용은 경영층에 보고되며 이는 CEO의 성과평가에 지표로 활용되어 강력한 실행력의 근거가 된다.
C사는 성과관리의 또 다른 방법 중 하나로 부서별 정보보호 수준평가를 운영하고 있다. 이는 교육을 포함한 변화관리 부분, 생활 준수 부분, 자체 정보보호 활동 부분 등 3개 영역으로 나뉘어 20개 세부항목을 매월 단위로 데이터를 축적해, 연말 종합 환산, 점수화한다.
C사의 정보보호 정책의 특이점은 부서마다 정보보호담당자를 한 명씩 임명한다는 것. 평균 근속 10년 이상 매니저급(과장급)에 전입 1년 이상인 직원을 선정해 본업 외에 보안업무를 30% 이상 겸직하도록 하고 있다. 이들은 자체 부서의 보안관리 업무를 수행하면서 보안부서와 매개체 역할을 하기도 한다. 자체 부서의 보안관리 업무의 성과를 정보보호담당자들만의 커뮤니티에 등록하고, 보안주관부서에서는 그 내용을 평가표에 반영, 누적적으로 총괄 종합해 연말에 환산 적용한다. 상위 5% 부서의 정보보호담당자들에게는 우수부서보안담당자로 포상하고, 하위 10% 부서도 평가수준을 공개하기 때문에 경쟁이 치열하다는 것이 회사 관계자의 이야기다.

전사적, 체계적 성과관리 위해 CEO 스폰서십 요구
아직까지 국내 정보보호 성과관리는 조직적인 한계가 존재한다는 것이 업계의 자평이다. 즉 보안팀만의 제한적인 성과관리에 그치는 경우가 많다는 것이다.

▲ “자체적으로 정보보호 성과관리 체계를 개발, 준비하기 어려운 중소기업 및 대다수 기업들을 위해 정부 또는 협단체 주도로 적극적인 가이드가 필요할 것 같다. 최소한의 정보보호 거버넌스와 성과관리 가이드만이라도 주어진다면 훨씬 국가 정보보호 수준이 높아지지 않을까” - 장영복 포스코 정보기획실 정보보호그룹 팀리더

보안은 전사적인 이슈이므로 분명 전사적인 차원에서 보안활동을 실행하고 성과관리를 끌어가야 함에도 불구하고, 보안팀 내에서만 성과를 측정하고 관리하는 기업들이 대부분이다.
각 부서별, 개인별로 보안활동에 대한 지침을 주고 이에 대한 성과관리가 전사적으로 이뤄지는 것이 옳다.
전사적인 정보보호 성과관리를 위해서는 솔루션 도입 등 지엽적인 방식이 아닌, 전사적인 거버넌스 차원에서의 보안정책이 수립되는 것이 선행돼야 할 것이다.
또한 보안정책 및 성과관리를 주도하는 보안부서 및 CISO의 위상이 필요하고 더 나아가 CEO의 강력한 스폰서십이 필요하다고 업계는 이야기한다.
많은 CISO 및 보안팀장들은 표준화된 정보보호 성과관리 가이드의 필요성에 대해 공통적으로 제기하고 있다.
글로벌 기업 또는 대기업들은 자체적으로 성과관리 방법을 발굴하고 준비해 활용해오고 있지만, 그만큼의 자체적인 역량이 부족한 기업들에 대해서는 적극적인 가이드가 필요하다는 것. 정부 주도까지는 아니더라도 협회 차원에서라도 최소한의 성과관리 가이드가 주어지면 좋겠다는 입장이다. 이를 위해 산·학·관이 함께 연합해서 고민하는 것이 필요할 것으로 보인다.