국내 최대 개인정보보호 컨퍼런스 ‘G-Privacy 2016’이 지난 4월 6일 양재동 더케이호텔서울 가야금홀에서 정부, 공공, 금융, 교육, 일반기업 개인정보보호 실무자 850여 명이 참석한 가운데 성황리에 개최됐다.
 
이 자리에서 IT외주관리 솔루션 시장을 리딩하고 있는 기업 ‘좋을’(대표 오주형)의 김영혁 상무는 ‘변화를 요구하는 IT외주관리와 손쉬운 보안강화 방안’을 주제로 세션발표를 진행했다.

 
김영혁 상무(사진)는 “2012년 본격적인 논의가 시작된 ITO관리, 즉 IT외주관리에 대한 공공과 금융업 분야의 입장이 2015년 구체화되고 방향이 확정되었다. 그 방향은 금감원의 보도자료를 보면 CEO 책임하에 민간이 중심이 되어 자체점검을 하라는 것이고, 공공에서는 현장점검을 정기, 비정기 실시할 예정이고 이는 배포한 자율점검표에 의한 자체점검을 하여 온라인으로 제출하라는 것”이라며 “결국 보안 컴플라이언스라는 명제에 가장 앞서있는 두 분야가 같은 입장을 취하고 있는 것으로 자율점검을 통해 보안을 강화하라는 의미다. 이는 ‘실질적 보안역량 강화’를 유도하는 것이다. 법적으로는 이미 확정되어 정보유출과 관계없는 관리체계를 강조하고 있는 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2016년 9월 23일 시행)의 제도적 장치도 강화되어 있다”고 설명했다.
 
이제는 가깝게는 감사를 대비하고 멀게는 법적 증거로서 상당한 주의와 감독 의무 이행을 증명하는데 한계가 있다. 이것을 대비하기 위해서는 이제 ‘자율적, 실질적 보안역량 강화’ 시스템을 구축해야 한다는 의미다. 이는 기존 방식으로 즉, 몇몇 솔루션의 도입을 통해 해결될 문제가 아니라는 것을 의미하는 것이다. 이제 달리 생각하고(Think Different) 준비해야 하는 시기가 된 것이라고 강조했다.
 
무엇을 다시 시작해야 할까. 김영혁 상무는 3가지 방안을 제시했다.
첫번째로 문서로서의 의미가 강했던 보안지표의 도출과 확정이 그것이다. 둘째로는 이 지표를 바탕으로 현실적인 수행 또는 실행이 가능한가를 확인하고 방안을 찾아야 한다. 이때 중요한 것은 협업이다. 절대적으로 보안팀이 단독으로 수행할 수 없는 내용이 대부분이기 때문이다. 내부 타 부서의 협업을 고민해야 하고, ITO 업체들과의 긴밀한 논의와 협조가 필요하다. 이를 통해 R&R을 확정해야 한다. 그동안의 이성과 경험으로 관리되던 것들을 체계화 해야 한다는 것.
 
또 마지막 세번째는 모니터링 해야 한다. 문제 발생을 예측해 차단했고, 문제 발생한 후 추적하던 노력과 더불어 ‘현재 상황’에 집중해야 한다. 이 모니터링이 우리에게 ‘실질적 보안역량 강화’를 가져다 줄 것이라고 강조했다.
 
김 상무는 이어 “간격이 짧아진 주기적 보고, 불시 감사 이는 상시 관리체계 구축을 강조하는 것이고 이는 현재 상황의 파악을 전제로 가능한 것이다. 이를 위해서 또다른 면에서 달리 생각해야 한다”며 “길게는 20년 짧게는 10년 공들여 투자한 현재 인프라에 대한 재조명이다. 우리가 나아가야 할 방향에 맞는가? 또 즉시 우리가 원하는 모니터링 체계 구축을 지원하는가? 어렵다고 판단한다. 우리 인프라는 계획, 구축, 운영, 평가, 반영이라는 순환구조에 따라 차분히 발전했다고 보기 어렵기 때문이다. 이제 다시 평가하고 계획하고 구축하는데 필요한 시간이 절대적으로 부족하다. 왜냐하면 자율적 점검체계 운영을 당장 시작해야만 하기 때문”이라고 말했다.
 
그는 우선 ITO를 잘 관리하는 것만으로도 상당부분을 해결할 수 있다고 강조한다. 복잡해지고 커져버린 우리 시스템은 거의 대부분이 ITO에 의해 개발, 설치, 운영, 유지보수 되고 있고 관리자는 진정한 의미의 관리만 해도 시간이 부족한 상황이기 때문이다.
 
‘실질적 보안역량 강화’라는 의미의 대부분은 이제 ITO관리를 의미한다고 해도 과언이 아니다. 이는 금감원에서 요구하는 점검표나 행자부가 요구하는 자율점검표의 항목을 보고 어떤 데이터가 이를 증명하는지 확인하면 바로 알 수 있다는 것이다.
 
김영혁 상무는 “좋을은 ITO에 집중해 관리체계를 구축하고 이를 쉽고 간단하게 구축하고 관리할 수 있는 방안으로 시스템 접속의 접점인 단말기와 스위치의 정책관리를 강조하고 있다”며 “현상황에 대한 보안지수 모니터링시스템과 위협모니터링을 통해 상시관리체계를 갖추고 보안팀의 실질직인 활동인 정책의 배포와 운영을 모니터링해 OS, WAS, DB 등의 취약점에 더해 관리의 취약점을 바로 확인하고 점검해 개선을 유도하는 더 어려운 보안관리 취약점 모니터링 시스템이 구축되어야 한다”고 강조했다.
 
좋을의 ‘J.O.M.S’는 IT외주관리시스템으로 ITO 현황을 한눈에 확인해주는 시스템이다. 우리회사, 우리 기관에 외주인력이 몇 명인지? 몇 명이 접속했는지? 작업 대기, 작업중, 종료 상황을 모니터링하며 작업 행위를 탐지해 주는 시스템이다. 이 시스템으로 적은 관리자가 여러 곳에 다수의 인원이 다른 환경에서 작업하더라도 작업 상황을 쉽게 확인할 수 있다. 특히 관제실을 운영하는 상황이면 더욱 효과적으로 운영할 수 있다.
 
좋을 김영혁 상무의 상세 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
한편 데일리시큐는 오는 5월 17일 의료기관 개인정보보호-정보보안 컨퍼런스 MPIS 2016을 개최한다. 올해 3회째를 맞는 MPIS 2016은 국내 최대 의료 정보보호 컨퍼런스로 전국 국공립, 대학병원, 대중소 병원 개인정보보호 및 정보보호 실무자 400여 명이 참석한 가운데 최신 보안정보를 공유하는 자리다. 현재 참가를 희망하는 국내외 보안기업을 모집중에 있다. 참가 문의는 데일리시큐 길민권 기자에게 하면 된다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com