[그림] 새해결심의 지속성
작심삼일
독자들이 올해 세운 결심들은 잘 이행해 왔는지 궁금하다. 작심삼일이라는 말이 있다. 마음먹고 결심한 것이 3일도 못 간다는 말이다. 이러한 작심삼일은 보통 우리 같은 사람들에게 흔히 생기는 일이기에 고사성어가 되었을 것이다. 이러한 작심삼일에도 굴하지 않고 년 말까지 계획과 꿈을 실천하는 방법이 있다. 그것은 작심삼일을 100번 반복하면 된다. 3일만에 흔들리는 결심, 또 계획세우고, 3일 만에 흐트러지면 또 바로잡고 이렇게 3일 x 100번을 하면 일년이 될 것이다.
필자가 얘기하고 싶은 것은 일년이라는 긴 시간 동안에 새해에 세운 계획을 달성하기 위해서는 지속적인 수정 계획과 실천을 반복하면 “반드시” 뜻을 이룬다는 것이다.
정보보호 프로그램
작심삼일이 작심 365일이 되는 간단한 진리를 얘기 하였듯이 정보보호에 있어서도 작심 365일이 필요하다. 정보보호 또한 여러 가지 이유로 해서 목적달성이 어렵다면 작심 365일을 적용해 보자는 얘기이다. 이런 궤변을 설명하기 위해서는 정보보호 관리체계와 정보보호 프로그램을 먼저 설명해야 하겠다.
정보보호(안), 즉 정보자산을 보호하고 정보를 보호하는 정보보호 관리체계를 수립하는 것은 정보보호의 시작이다. 정보보호 관리체계의 수립 이후에 정보보호의 프로그램을 구현하게 된다.
정보보호 프로그램이란 정보보호(안)을 위한 일련의 활동이다.
정보보호 프로그램은 보안정책의 수립과 정보보호 관리를 위한 조직과 역할의 정립이 뒤따르게 된다. 다음으로는 어떤 정보자산을 보호하고 보안 할 것인가를 식별하게 된다. 즉 정보자산에 대한 범위와 정보자산의 식별을 데이터 오너(data owner)에 의해 진행하게 된다. 데이터 오너, 즉 각 부서의 부서장을 중심으로 선별된 정보자산은 그 정보자신이 갖는 취약성과 위협을 바탕으로 위험관리를 거치게 된다.
위험관리를 하는 이유는 중요하고 민감하여 부정정인 영향과 그럴 수 있는 가능성이 큰 정보자산을 우선순위 하고자 하는 것이다. 그렇지 않은 정보자산은 아쉽게도 보안대책을 마련하기 어려울 수 있다. 모든 정보자산을 다 보호할 수는 없기 때문이다. 한정된 자원은 기업과 공공기관의 영원한 명제이므로,,,,이러한 위험관리에 의해 정보보호의 대책이 세워지게 된다.
지금까지의 순서는 정보보호 프로그램의 계획에 해당되며 계획 수립 후 이를 구현하게 된다. 당연히 정보자산이 갖고 있는 가치보다는 상대적으로 적은 대책계획으로 구현을 해야 됨은 말할 나위가 없다.
또한 구현과정에서 반드시 실현되어야 하는 활동은 인식교육과 훈련이다. 정보보호는 임직원 모두의 책임이며 실천강령으로서 이를 주지시키는 방법은 인식교육과 훈련이 바탕이 되어야 한다. 인식교육과 훈련은 선택사항이거나 회사의 워크샵에 끼워 넣는 깍두기 식 아젠다가 아니라는 얘기이다.
구현을 거치기 까지는 웬만한 기업에서는 잘 수행하고 있다. 문제는 구현 이후의 모니터링과 감시, 내부감사와 지속적인 검토와 개선점 발굴에 있다. 많은 기업과 공공기관들이 놓치고 있는 것이 구현 이후의 검토단계이다. 정보보호가 성공적으로 가기 위해서는 정책 수립이라는 계획도 중요하고 구현도 중요하지만 검토 단계가 실효를 거둘 수 있는 핵심부분이다.
검토단계에서 수행하는 내부감사나 모니터링과 감시는 정보보호 프로그램을 완성하게 만드는 작용을 한다. 내부감사는 부서별로 상호 정보보안 점검을 함으로써 강점과 약점을 확인하여 개선점을 찾게 도와준다. 모니터링과 감시는 지속적으로 작용하여 느슨한 정보보안의 허점을 메워 주는 역할을 한다.
정보보호 프로그램은 수립과 구현, 검토까지가 하나의 원을 이루고 있으며 시작과 끝으로 이어지는 일련의 활동이다.
수립과 구현이 완벽할 수 없기에 검토단계가 있어서
보완과 완충작용을 하여 주는 것이다.
만약 수립과 구현이 완전하다 할지라도 하루가 다르게 변화하는 기업의 환경에 따라 수립과 구현은 수정 되어야 하며, 검토단계가 있기에 이를 대신해 줄 수 있다.
[그림] 정보보호 프로그램
지속적 개선
CISSP로서 검토단계에서 지속적 개선이 정보보호 프로그램의 성공적 열쇠임을 알아 보았다. 작심삼일이 100번 수립되는 것으로서 일년을 채울 수 있고 목표한 바를 거둘 수 있다고 했다. 결국은 검토단계의 지속적 개선이 작심삼일이 100번 반복되는 것과 같다고 할 수 있다. 정보보호의 지속적 개선 노력이 필요하다는 말이다.
한국 CISSP Korea 협회 활동을 하면서 느낀 것은 매년 연초가 되면 정보보호에 관심이 많은 분들이 협회활동 하기를 희망 하시고 또한 계획도 세우시곤 한다. 하지만 1월, 2월이 가면서 연초에 세운 계획의 실천은 고사하고 얼굴 보기 힘든 회원님들이 많아지게 된다.
그럴 수 있다. 생업이라는 직업이 따로 있기에 전문가의 열정만으로는 협회활동을 지속적으로 하기가 어려울 수 있다. 그때에 필요한 것이 작심삼일 x 100번이 아닌가 싶다. 또 다시 계획세우고 지속적으로 개선하는 것이 필요하지 않을까?
이 글로 CISSP로서 (ISC)2 국제본부와 CISSP Korea Chapter를 위해 활동하시는 회장님, 부회장님, 여러 이사님들과 간사님들, 연구회원 분들의 올해 활동에 박수를 보내며, 대한민국 CISSP들의 경력개발에 도움이 되길 바란다. (이 글은 한국CISSP협회 뉴스레터에서 저자의 글을 재 구성 한 것입니다. www.cisspkorea.or.kr)
-----------------------------------------------------
조 희 준 josephc@chol.com CISSP, CSSLP, ISO 27001(P.A), CISM, CCFP,
CGEIT, CISA, COBIT, CRISC, IT-EAP, CIA,
ITIL v3 Intermediate, IT-PMP, PMP, ISO 20000(P.A), PMS(P.A)
(ISC)2 CISSP 공인강사, 정보시스템감리원
한국정보화진흥원 사이버범죄예방교화 전문강사
IT거버넌스/컨설팅/감리법인 ㈜씨에이에스 컨설팅 이사, 강원대학교 겸임교수, (ISC)2 CISSP Korea 한국지부에서, (사)한국 정보시스템 감사통제협회에서, 한국 포렌식조사 전문가협회에서, 한국 정보기술 프로젝트관리에서 활동 하고 있다. IT감사, 내부감사, IT거버넌스와 정보보호 거버넌스, 내부통제가 관심분야이다, 이와 관련해서 기고, 강의, 강연을 활발하게 하고 있다. 용기란 무엇인가?”에 대한 답을 2011년에 꼭 찾으려 한다. 2010년 두 번째 단행본인 “IT거버넌스 프레임워크 코빗”의 출간 후, 최근 2011년에 “정보보호 전문가의 CISSP 노트”발간되었다.
-----------------------------------------------------------
