2024-03-29 08:30 (금)
[특별기고] 정보보호, 이제는 고기 잡는 방법을 배우자!
상태바
[특별기고] 정보보호, 이제는 고기 잡는 방법을 배우자!
  • 길민권 기자
  • 승인 2017.03.14 13:56
이 기사를 공유합니다

“직접 고기를 잡을 수 있는 기반을 마련해 주는 것은 정보보호관리체계(ISMS)”

▲ 박나룡 보안전략연구소 소장
▲ 박나룡 보안전략연구소 소장
우리는 고기를 한두 마리 잡아서 주기 보다는 고기 잡는 방법을 알려주는 것이 더욱 효과적인 교육 방법이라고 배워왔다.

정보보호 분야에서도 동일한 얘기를 적용할 수 있다고 본다.

정보보호를 잘하도록 직접 고기를 잡아주는 것이 법률을 통한 규제나 컨설팅 분야라고 한다면, 고기 잡는 법을 알려주고 직접 고기를 잡을 수 있는 기반을 마련해 주는 것은 정보보호관리체계(ISMS)라고 할 수 있을 것이다.

조직의 여건이 된다면 많은 리소스(예산과 인력 등)를 투입하여 고기를 항상 사오기만 해도 해당 조직의 보안 수준을 높이고 유지할 수 있을 것이다.

하지만 대 다수의 조직은 항상 고기를 다른 사람의 손에 의해 잡아오는 방식으로 유지할 수도 없을 것이고 본인이 원하는 고기를 얻기도 어렵다.

그래서 직접 고기를 잡을 수 있는 교육 방식이 필요하고 그에 대한 가장 효과적인 교육 방법이 정보보호관리체계를 수립하여 운영하도록 하는 것이다.

고기 잡는 법이 그렇듯 정보보호관리체계를 처음 수립하기 위한 노력과 시간은 투입될 수 밖에 없다. 또한 고기를 잡아야 하는 인력도 필요한 것은 당연하다.

이러한 인력과 시간의 투입을 통해 정보보호관리체계가 수립이 되고 지속적인 유지관리가 가능한 수준이 된다면 조직은 스스로 원하는 보안 수준을 정할 수 있고, 그 수준을 도달하기 위한 적절한 대응 방안까지 수립하여 운영할 수 있게 될 것이다.

현재 ISMS는 조직의 판단에 따라 스스로 취득하는 방법과 법에 의해 의무화 한 부분으로 구분하고 있고, 법률에서는 다양한 분야(의료와 교육 등)에 대해서도 의무화를 넓혀가고 있다.

이는 정보보호 분야가 고기를 잡아주는 방식(법률, 규제, 일시적 컨설팅 등)에서 고기 잡는 방법을 보급하는 방식으로 변화하고 있다고 볼 수 있다.

지금의 네트워크 구조는 한 회사, 한 조직만의 자산과 리스크가 아닌 국가적인, 또는 글로벌한 차원에 영향을 미칠 수밖에 없는 상황이 되었다. 이는 네트워크의 확장과 더불어 그 영향력이 확대될 전망이다. IoT(사물인터넷)로 연결된 세상과 IT기술로 통제되는 자동차, 클라우드에 저장된 수많은 개인 데이터들은 이제 조직 스스로 통제하기 어려운 세상이라는 반증일 것이다.

▲ 보안전략연구소 제공.
▲ 보안전략연구소 제공.
서로 연결된 네트워크는 어느 중소기업 PC를 통해, 또는 어느 대학교의 서버 한 대를 통해 전혀 예상치 못한 부분에 자료가 유출 될 수 있고, 관련 없어 보이는 곳에 DDoS 공격을 수행할 수 있는 세상에 살고 있는 것이다.

그 만큼 정보보호 분야 또한 전문적이면서도 보편적인 서비스로 고민해야 하고 스스로 본인의 약점을 확인하고 대응할 수 있는 자생력을 기를 수 있도록 고기 잡는 방법을 적극적으로 교육시켜 줘야 할 시점이다.

아직까지 그에 대한 가장 효과적인 방법은 관리체계를 수립하여 운영하는 것이고, 그에 대한 교육 방법 중에 하나로 ISMS제도가 제 역할을 다 해야 할 것이다.

[글. 박나룡 보안전략연구소 소장]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★