정보보호 및 개인정보보호 관리체계 인증심사원(ISMS-P)에 대한 관심이 점점 더 높아지고 있다.
ISMS-P 인증 유지 건수가 1,032건으로 늘어났고, 인증 심사원 시험에 응시하는 인원도 매년 큰 폭으로 증가하고 있다.
ISMS-P 인증심사원은 4년제 대학 졸업 이상 또는 이와 동등 학력을 보유한 자로 정보보호 및 개인정보보호 경력을 각각 1년 이상 필수로 보유해야 하고, 정보보호, 개인정보보호 또는 정보기술 경력을 합하여 6년 이상의 경력이 있어야 응시 기회가 주어진다.
이런 조건에도 수천 명이 넘게 지원한다는 것은 심사원에 대한 관심이 그만큼 높다는 반증이며, 국가 차원의 전문가 인력 양성과 정보보호 산업 전반에 고무적인 일이 아닐 수 없다.
최종 합격률 10퍼센트 미만을 뚫고 어렵게 선발된 심사원과 다양한 환경에 대한 심사 경력을 보유한 기존의 심사원들이 사회의 전반적인 보안 수준 향상과 사이버 세상의 신뢰성 확보 활동을 적절하게 수행하기 위한 몇 가지 고려 사항을 정리해 봤다.
◇사회에 봉사하는 마음
심사원은 해당 분야 전문가로서 안전하고 신뢰할 수 있는 사이버 세상을 만드는데 기여하고, 재능을 기부한다는 마음가짐이 필요하다.
심사 수당이 재능 기부에 대한 필요 경비 이상의 높은 수준도 아니고, 수익을 목적으로 접근한다면 다른 직업에 비해 만족도가 크지 않을 수 있다. (이 부분은 좋은 전문가를 유인하지 못하는 장애요인이 되기도 한다.)
대상 조직의 정보보호 수준을 높이고, 나아가 사회와 국가 전반적인 정보보호 수준을 높이는데 도움을 줄 수 있는 기회가 주어진다는 점에 의미를 둬야 한다.
◇듣고 이해하기
정보보호 심사는 한정된 기간에 한정된 인원(심사원)이 대상 조직에 대해 인증 기준과 법률, 사회적 기대 요구사항 등을 기준으로 정보보호 수준을 높이기 위한 적절한 의견을 주는 활동이다.
제한된 기간과 인원이 대상 조직을 충분하게 이해하고 심사를 통해 좋은 의견을 주기는 생각보다 어렵다.
그래서 심사원의 전문성과 경험이 중요하고, 이를 바탕으로 조직의 상황(비지니스, 인프라, 중요도 등)을 빠르게 이해하고, 도움이 될 수 있는 적절한 판단을 할 수 있어야 한다.
그러기 위해서는 질문을 명확하게 할 수 있어야 하고, 설명을 충분하게 들어서 팩트를 이해할 수 있어야 한다.
심사(Audit)의 어원이 듣기(Audio)인 의미를 항상 되새겨야 한다.
◇근본적 해결에 집중
심사에서 비교적 쉬운 것은, 눈에 보이는 명확한 문제점을 지적하는 것이다.
어려운 부분은 눈에 쉽게 보이지 않지만, 문제의 원인을 찾아 근본적인 문제점을 개선할 수 있는 의견을 주는 것이다.
근본적인 문제점에 대한 관점도 조직의 상황과 특성에 따라 심사원과 상대방이 다르게 이해할 수 있기에 눈높이를 맞추는 기술이 필요하다.
눈에 보이지 않는 근본적인 문제점을 파악하려는 노력은 계속 연습할 필요가 있다.
◇설명과 설득
심사는 설득의 미학이다.
심사원이 전문성을 기반으로 의미 있는 개선 의견을 전달하고, 이에 대해 대상 조직이 받아들인다면 그것으로 심사원의 역할은 충분하다.
전문가로서 권위를 통해 설득을 할 수도 있고, 본인의 경험과 지식을 활용해서 설명할 수도 있다.
보통은 인증 요구사항이나 관련 법률을 근거로 얘기하는 것이 가장 쉬운 설득의 방법이다.
중요한 것은 심사원이 주는 의견이 조직에 꼭 필요한 부분이라는 점을 설명하고, 이해시킬 수 있어야 한다는 점이다.
심사가 수사나 조사와 다른 가장 큰 차이점이다.
◇전문가적 권위
심사원이 정보보호의 모든 분야를 전문가 수준으로 이해하지 못할 수 있다.
IT 환경과 그에 따른 정보보호 관련 분야가 점점 더 확대되고 있고, 고민해야 할 부분도 그 만큼 커지고 있기 때문이다.
심사원 초기에는 본인의 주력 분야에 대한 전문적인 지식을 적극적으로 활용하고, 지속적으로 지식과 경험을 쌓으면서 다른 정보보호 도메인에 대해서도 경험하고 공부하면서 전문가적 식견을 늘려나가야 한다.
심사원이라는 이유만으로 전문가적 권위가 생기지 않는다.
◇매너리즘 경계
심사를 자주 참여하는 심사원과 심사팀장은 매너리즘을 경계해야 한다.
심사 경력이 많아질수록 심사 기술에 익숙해지고, 익숙해지는 만큼 새로운 관점에 소홀해질 수 있다.
새로운 관점에 소홀해지고 심사원 본인이 익숙한 부분에만 매몰되면 정보보호를 위한 다양한 관점에서 좋은 의견을 주기보다, 편리한 심사 관점으로만 접근하면서 매너리즘에 빠질 가능성이 높아진다.
이를 경계해야 하고, 스스로 교육이나 새로운 소식들에 항상 열려 있어야 한다.
◇소신과 고집(아집)의 구분
개인의 경험과 지식만으로 인증 요구사항과 조직의 정보보호 수준을 판단하려는 욕심을 버려야 한다.
기존 조직에서 경험과 전문적인 지식이 약이 되기 위해서는 오픈마인드를 기반으로 대상 조직에 대한 충분한 이해가 선행되어야 한다.
또한, 심사를 받는 조직에게 요구하는 정보보호 수준을 최상위 정보기관이나 금융권과 비교해서 판단해야 한다고 고집을 부리면 과도한 요구사항으로 인해 현실성이 부족한 반쪽 심사가 될 수 있다.
심사원의 고집이 의미를 갖는 경우는, 대상 조직에서 그 의견에 대해 이해하고, 설득되어 개선의 의지를 보이는 경우다.
심사에서 인증 기준이나 법률적 이슈, 대상 조직의 중요도 대비 부적합 의견의 적절성 등 다양한 의견 대립이 있을 수 있지만, 과도한 고집은 불필요한 감정적 대응으로 변질될 수 있다.
사회에 기여하고 조직의 정보보호 수준을 높이고자 진행되는 심사의 취지를 무색하게 만들 수 있는 가장 경계해야 할 태도라고 할 수 있다.
본인의 고집이 소신이자 신념으로 오해하고 있는 건 아닌지 스스로 돌아보고, 다른 심사원과 충분히 소통하며 확인하는 것이 필요하다.
참고로, 경영시스템 심사 가이드라인 (KS Q ISO 19011:2018)에는 7.2.2 개인적 태도(personal behaviour)에 심사 활동 수행 시 필요한 바람직한 전문가적 태도를 아래와 같이 기술하고 있다.
a) 윤리적(ethical), 즉 공정, 정직, 진실, 솔직 및 분별
b) 개방적(open-minded), 즉 대안적 방법이나 관점을 고려하려는 의지
c) 외교적(diplomatic), 즉 사람을 대하는 솜씨
d) 관찰력(observant), 즉 물리적인 주위 상황 및 활동을 적극적으로 관찰
e) 통찰력(perceptive), 즉 상황을 인지하고 이해
f) 적응성(versatile), 즉 상이한 상황에 쉽게 적응
g) 끈기(tenacious), 즉 목표달성에 꾸준하게 집중
h) 결단력(decisive), 즉 논리적 이유 및 분석에 근거하여 시의적절한 결론에 도달
i) 자립적(self-reliant), 즉 다른 사람들과 효과적으로 상호작용을 하면서 독립적으로 활동하고 역할 수행
j) 의연하게 행동함(able to act with fortitude), 즉 심사 활동이 인기가 없고 때때로 의견불일치 또는 대립을 초래할지라도 책임감 있고 윤리적으로 활동
k) 개선 수용력(open to improvement), 즉 상황으로부터 배우려는 의지
l) 문화적 민감성(culturally sensitive), 즉 피 심사 조직의 문화에 유의하고 존중
m) 협력적(collaborative), 즉 심사팀원 및 피 심사 조직의 인원을 포함한 다른 사람들과 효과적으로 상호작용
이런 요건들을 모두 만족하기란 쉽지 않겠지만, 심사원으로서 필요한 기본적인 자질이라는 관점에서, 의식하고, 행동의 변화를 만들어 가야 한다.
앞으로도 새로운 사이버 세상과 사회의 신뢰 확보를 위해 필요한 정보보호 전문가는 계속해서 필요할 것으로 보이고, 그 역할을 충분히 수행해나갈 수 있는 역량 있는 심사원이 계속 배출되길 기대해 본다.
[글. 박나룡 보안전략연구소 소장 / isssi@daum.net]
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★