정보보호 분야에서도 동일한 얘기를 적용할 수 있다고 본다.
정보보호를 잘하도록 직접 고기를 잡아주는 것이 법률을 통한 규제나 컨설팅 분야라고 한다면, 고기 잡는 법을 알려주고 직접 고기를 잡을 수 있는 기반을 마련해 주는 것은 정보보호관리체계(ISMS)라고 할 수 있을 것이다.
조직의 여건이 된다면 많은 리소스(예산과 인력 등)를 투입하여 고기를 항상 사오기만 해도 해당 조직의 보안 수준을 높이고 유지할 수 있을 것이다.
하지만 대 다수의 조직은 항상 고기를 다른 사람의 손에 의해 잡아오는 방식으로 유지할 수도 없을 것이고 본인이 원하는 고기를 얻기도 어렵다.
그래서 직접 고기를 잡을 수 있는 교육 방식이 필요하고 그에 대한 가장 효과적인 교육 방법이 정보보호관리체계를 수립하여 운영하도록 하는 것이다.
고기 잡는 법이 그렇듯 정보보호관리체계를 처음 수립하기 위한 노력과 시간은 투입될 수 밖에 없다. 또한 고기를 잡아야 하는 인력도 필요한 것은 당연하다.
이러한 인력과 시간의 투입을 통해 정보보호관리체계가 수립이 되고 지속적인 유지관리가 가능한 수준이 된다면 조직은 스스로 원하는 보안 수준을 정할 수 있고, 그 수준을 도달하기 위한 적절한 대응 방안까지 수립하여 운영할 수 있게 될 것이다.
현재 ISMS는 조직의 판단에 따라 스스로 취득하는 방법과 법에 의해 의무화 한 부분으로 구분하고 있고, 법률에서는 다양한 분야(의료와 교육 등)에 대해서도 의무화를 넓혀가고 있다.
이는 정보보호 분야가 고기를 잡아주는 방식(법률, 규제, 일시적 컨설팅 등)에서 고기 잡는 방법을 보급하는 방식으로 변화하고 있다고 볼 수 있다.
지금의 네트워크 구조는 한 회사, 한 조직만의 자산과 리스크가 아닌 국가적인, 또는 글로벌한 차원에 영향을 미칠 수밖에 없는 상황이 되었다. 이는 네트워크의 확장과 더불어 그 영향력이 확대될 전망이다. IoT(사물인터넷)로 연결된 세상과 IT기술로 통제되는 자동차, 클라우드에 저장된 수많은 개인 데이터들은 이제 조직 스스로 통제하기 어려운 세상이라는 반증일 것이다.
그 만큼 정보보호 분야 또한 전문적이면서도 보편적인 서비스로 고민해야 하고 스스로 본인의 약점을 확인하고 대응할 수 있는 자생력을 기를 수 있도록 고기 잡는 방법을 적극적으로 교육시켜 줘야 할 시점이다.
아직까지 그에 대한 가장 효과적인 방법은 관리체계를 수립하여 운영하는 것이고, 그에 대한 교육 방법 중에 하나로 ISMS제도가 제 역할을 다 해야 할 것이다.
[글. 박나룡 보안전략연구소 소장]
★정보보안 대표 미디어 데일리시큐!★