check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

[기고] IT 외주관리는 정보보안담당자 책임이다

길민권 기자 mkgil@dailysecu.com 2018년 03월 14일 수요일

spyware-2319403_640.jpg
정보보안 담당자는 조직내에서 발생되는 모든 보안 관련 업무에 대한 관리 책임을 갖고 있다.

직원들에 대한 보안 교육, 네트워크 접근 통제, 데이터에 대한 유출 방지, 망 분리, 망 연계, 신규 도입되는 정보화 시스템에 대한 보안 적합성 평가 처리, IT 외주인력 보안관리 등 그 업무는 다양한 형태와 내용을 갖고 있다.

반면 정보보안 담당자는 조직 규모에 따라 차이가 존재하지만 평균적으로 1~2명의 전담인원이 전체 조직에 대한 업무를 수행하고 있어 업무량에 비해 인원이 부족하며 더욱이 지속적으로 관련 업무의 업무량이 증가하는 경향이 크다.

공공 기관의 경우 해마다 반복되는 감사를 대비해서 2~3 개월 동안 준비하고 있는 것도 현실이다. 이렇게 준비한 감사도 내부직원, 외주인력, 산하기관 등 준비 범위가 극히 넓어서 일부 자료의 준비 부족이 발생되곤 하며 이 때문에 감사 결과에 아쉬움을 남기는 경우가 많다.

특히 IT 외주 개발사업(용역 사업, 유지보수 사업 포함)의 경우 사업 담당자가정보보안 부서가 아닌 별도의 부서에서 주관하는 경우가 많아서 강화되는 보안관리 절차에 맞는 필요한 모든 관리 절차를 준수하기 위해서는 많은 관심과 노력이 필요하다. 용역 업체의 경우 정해진 계약 기간에 상주하거나 방문하여 개발 업무를 준수하고 있고, 용역 업체 개별 직원들은 변경되는 경우가 자주 발생되고 있어 관리 상 어려움이 있다.

더욱이 사업 기간이 종료되면 사내 사업 담당자와 용역 업체 직원들은 사업 종료에 관심이 많아서 필요한 업무 지원을 받기에 어려움이 많다. 공공 기관의 경우 전체 감사 업무에서 외주 개발사업에 대한 업무 비중은 점점 증가하고 있고, 감사 대상 기관들의 규모와 수도 지속적으로 확대되고 있다.

IT 외주 개발사업에 대한 감사 수검은 용역 사업 기간과 관계없이 시행되기 때문에 용역 사업 종료 이후에 수검 준비를 하게 되고, 많은 자료의 부족을 확인하고 사후에 보완하는 노력이 필요하게 된다. 가끔은 사업 종료와 인원 교체로 인해 보완할 수 없는 현실적인 상황을 맞이하기도 해서 정보보안담당자를 좌절하게 하기도 한다. 그래서, 모 기관에서는 용역사업 관리 항목에 대해서는 감사 자료에 관련 내용을 작성하지 않고 포기하는 경향도 발견되고 있다.

IT 외주 개발사업에 대한 보안관리 업무를 완벽하게 수행하기 위해서는 체계적인 보안관리 시스템의 도움을 받는 것이 필요한 상황이다.

사업 단위로 사업담당자와 PM, 외주작업자를 관리하고 전사 보안정책과 사업별 개별 보안 정책을 정의하고 사업담당자에게 필요한 범위 내에서 적절한 권한과 책임을 위임함으로써 효율적이고 안정적인 보안관리 업무를 수행할 수 있도록 지원할 수 있다.

위임이 필요한 보안관리 업무는 보안서약서 징구, 작업자 정보 관리, 보안교육 관리, 보안 평가, 보안 점검 등의 업무가 있으며 시스템화를 통해 실질적인 효과를 얻을 수 있다. 사업 단위에서 진행된 상기 업무를 보안담당자는 정기적인 모니터링을 통해 확인하고 부족 부분에 대해 지원을 적시에 요청함으로써 업무 효율성을 높일 수 있다. 감사 시점과 사업 수행 시점이 차이가 있는 경우에도 시스템화 되어 있기 때문에 필요한 데이터를 확보해 유지할 수 있어 관리의 편의성을 극대화시킬 수 있다. 장기적으로 시스템화 되어 있는 일일보안 점검을 통해 사업 담당자와 PM의 업무 편의를 지원할 수 있다.

지금까지 IT 외주 개발사업에 대한 정보보안담당자들의 업무 부담에 대해 살펴보고, 시스템화를 통해 부담을 경감시킬 수 있는 방안과 효과에 대해 살펴보았다.

다음으로는 IT 외주 작업자에게 설치되는 다양한 보안 유틸리티간의 비교를 통해 수행 업무와 연관성을 검증해 보고 효율적인 보안 솔루션 도입에 대해 고민하고자 한다.

[필자. 안병현 좋을 연구소장/  J-TOPS 개발]

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록