[그림] 정보보호에 대한 오해
 
오해와 진실
모든 일에는 진실이 먼저 생겨났고, 그 진실을 왜곡하는 오해는 나중에 생겼다. 오해는 풀어야 한다. 항상 진실을 추구해야 하기 때문이다.
정보보호(안)에 대한 오해 중에서 필자가 바라보는 가장 큰 오해는 정보보호의 주체세력에 관한 얘기이다. 정보보호(안), Information Security 라는 영어단어에 기인해서 인지 정보와 가장 관련이 있는 IT 부서나 정보보호 부서를 정보보호의 주체라고 인식들을 하고 있다. 이 부분이 정보보호의 가장 큰 오해라고 생각한다. 이것이 오해라면 진실은 무엇인가? 이제 그 얘기를 해 보고자 한다.
 
기업의 전략과 정보자산
독자들이 속해있는 많은 조직들이 있는데 그 중에서도 일반 기업만을 한정해서 얘기해 보도록 한다. 일반기업이라고 하면 주주의 이익을 최대한으로 보장하는 주식회사를 말한다. 많은 기업들이 전략과 목표를 만들어 내고 주창하지만 그 속내를 들여다 보면 그 내용은 한결같이 주주의 이익을 극대화하여 지속적인 시장 점유율을 유지하는 것이다.
이러한 전략과 목적을 달성하기 위한 방안과 그 결과로의 기업매출은 중요하다. 매출 증대만 이루면 기업이 발전하는가? 꼭 그렇지만은 않다. 지식사회의 가장 큰 특징 중에 하나는 기업을 둘러싼 위험이며 이를 관리하지 않으면 매출이 극대화되어도 하루 아침에 문 닫기가 일쑤이다.
위험관리의 대상은 참으로 많기도 하겠지만 정보와 연관된 위험은 지식정보화시대의 핵심적인 내용이라 하겠다. 그래서 오늘날의 기업은 정보를 자산으로 등극시켜서 정보자산(Information Asset)으로 분류하고 이를 관리하게 되었다. 정보자산은 각 부서가 만들어 낸, “의미 있는, 즉 돈으로써 가치가 있는 자산”인 것이다. 매출액에 직접 연관되는 재고자산도 아니다. 하지만 정보자산을 잘 관리 못하게 되면 위험이 닥치게 되는 것이다. 위험은 불확실성이 강하므로 얼마나 피해가 심한지 아무도 모르는 경우가 대부분이다.
 

[그림] 정보자산
 
정보자산의 보호는 모든 부서의 책임
이러한 정보자산을 보호하기 위해 정보보호(안) 부서를 만들어 내고 책임자를 선정함으로써 위험에 대비했다고 생각하는 기업이 많다. 경영주의 이러한 오해도 문제이지만, 정보보호 부서의 오해가 더 크다. 정보보호부서가 갖는 더 큰 오해는 정보보호를 정보보호 부서가 책임지고 있다는 생각하는 것이다. 그들은 나름대로 정책을 만들고 보안을 강제하게 된다. 당연히 타 부서의 반발이 심하게 되고 정보보호 부서의 입지는 약해진다. 왜 그런지 이유도 모르면서 ‘보안에 대해 우리회사는 아직 분위기가 안되었어” 라고 스스로 위안을 삼을 뿐이다.
서두에서 얘기하였듯이 정보자산은 모든 부서가 만들어 내고 지켜야 할 자산이다. 정보보호 부서의 소유가 아닌 것이다. 그러므로 모든 부서의 합의를 이끌어내고 모든 부서가 정보자산을 보호하기 위한 수행활동 등에 주역이 되어야 한다. 정보보호 부서는 도우미의 역할이고 정보보호를 잘 홍보해야 하는 영업사원의 역할을 하여야 한다.
 
현장의 목소리와 풍경
정보보호 진단이나 정보보호 수립체계 심사를 나가보면 정보보호 부서가책임자로 나와서 응대를 하게 된다. 인터뷰를 해보면 정보보호 부서는 “정보보호 부서 때문에 이 회사가 존재한다”라는 엄청난 오해를 갖고 있다. 일반부서 사용자와 인터뷰를 해보면 “보안은 그쪽 부서가 알아서 하는 것 아닌가요? 그쪽 부서는 그리 바빠 보이지도 않던데, 바쁜건 우리 현업부서가 바쁘지”라는 더 큰 오해를 갖고 있다.
이제 오해를 풀자. 정보자산은 모든 부서의 책임이며 정보자산을 보호하기 위해서는 전사적으로 노력하여야 하며, 정보보호 부서는 정보보호(안)을 주제로 합의를 이끌어내고 동참을 유도하자
정보보호의 기술자 마인드로는 힘들다고 생각한다. 비즈니스 마인드를 갖고 있어야 한다. 더불어 정보보호를 크게 아우 룰 수 있는 경영과 정보보호마인드를 갖춘 정보보호관리자가 시급하다. 비즈니스 마인드와 연관돼서 한 달에 4권 정도의 책을 읽는다면 CISSP들이여, 인문과 철학 책을 3권정도 읽어보라. 비즈니스 마인드의 정보보호 관리자가 탄생될 것이다.
 
이 글로 CISSP로서 (ISC)2 국제본부와 CISSP Korea Chapter를 위해 활동하시는 회장님, 부회장님, 여러 이사님들과 간사님들, 연구회원 분들의 신년도 활동에 박수를 보내며, 대한민국 CISSP들의 경력개발에 도움이 되길 바라며 이 글을 마치고자 한다.
(이 글은 한국CISSP협회 뉴스레터에서 저자의 글을 재 구성 한 것입니다. www.cisspkorea.or.kr)
 


-----------------------------------------------------
조 희 준 josephc@chol.com      CISSP, CSSLP, ISO 27001(P.A), CISM, CCFP,
CGEIT, CISA, COBIT, CRISC, IT-EAP, CIA,
ITIL v3 Intermediate, IT-PMP, PMP, ISO 20000(P.A), PMS(P.A)
G-ISMS 심사원, BS10012(P.A)
(ISC)2 CISSP 공인강사, 정보시스템감리원
한국정보화진흥원 사이버범죄예방교화 전문강사
행안부 개인정보보호 전문강사
 
IT거버넌스/컨설팅/감리법인 ㈜씨에이에스 컨설팅 이사, 강원대학교 겸임교수, (ISC)2 CISSP Korea 한국지부에서, (사)한국 정보시스템 감사통제협회에서, 한국 포렌식조사 전문가협회에서, 한국 정보기술 프로젝트관리에서 활동 하고 있다. IT감사, 내부감사, IT거버넌스와 정보보호 거버넌스, 내부통제가 관심분야이다, 이와 관련해서 기고, 강의, 강연을 활발하게 하고 있다. 용기란 무엇인가?”에 대한 답을 2011년에 꼭 찾으려 한다. 2010년 두 번째 단행본인 “IT거버넌스 프레임워크 코빗”의 출간 후, 최근 2011년에 “정보보호 전문가의 CISSP 노트”발간되었다.
-----------------------------------------------------------