2019-08-18 01:45 (일)
[정경섭 이지시큐 대표] 'SKY캐슬'을 통해 본 'ISMS 인증'에 대해
상태바
[정경섭 이지시큐 대표] 'SKY캐슬'을 통해 본 'ISMS 인증'에 대해
  • 길민권 기자
  • 승인 2019.02.07 14:42
이 기사를 공유합니다

올바른 보안컨설팅과 고객의 자세 그리고 바람직한 정보보호 활동에 대해...

key-2114046_640.jpg
최근 인기를 끌며 사회적 공감 이슈를 만들었던 드라마 'SKY캐슬'을 당신도 애청했는가? 드라마가 인기였던 만큼 여러 가지 유행어가 만들어졌다.

“전적으로 저를 믿으셔야 합니다”, “감당하실 수 있겠습니까?” 등등... 드라마의 핵심인물 이었던 ‘입시 코디네이터(이하 코디)’가 했던 말들이다. ‘입시 코디’란 고액을 받으며 학생의 성적부터 마인드 관리까지 책임지는 사교육의 종착점이라 볼 수 있겠다.

물론 드라마는 가상의 스토리이지만 이는 비슷한 모양으로 정보보호의 현실에서도 나타나고 경험할 수 있다.

드라마 SKY캐슬에서 코디가 지도한 '예서'라는 학생은 분명 노력하는 학생이었지만 목표를 달성하기 위해 수단과 방법을 가리지 않는 코디의 해서는 안될 코칭으로 결국 자퇴에 이르고, 라이벌이었던 '혜나'는 스스로 노력했음에도 부정한 방법을 이기지 못하고 피해자가 된다.

코디는 우리에게 누구의 모습일까. 그리고 올바른 코디와 학생의 역할은 무엇일까.

자, 여러분은 CISO, 보안담당자, 관리자 등 정보보호 업무에 종사, 헌신하면서 드라마 속 코디와 비슷한 사람을 언제 어디선가 만나본 적이 있지 않은가.

정보보호 인증 혹은 평가 그리고 점검 모두 조직의 성패 혹은 법률적 요건 충족을 위해 정보보호 관련 사업 진행을 하고자 전문가 집단인 정보보호 컨설팅의 지원을 경험했던 적이 있었을 것이다.

정보보호 업무에 종사하며 업으로 삼고 살아가는 사람들은 매일 급박하게 변하는 여러 컴플라이언스 기준과 유관 법률 및 시행령, 시행규칙 그리고 신종 기술적, 사회공학적 보안 위협들에 항상 마주하며 긴장할 수밖에 없다. 이것을 민첩하고 예민하게 인식하고 대응하는 것이 여러분에게 '정보보호 담당'이라는 '직'을 맡긴 기업 또는 조직이 기대하는 역할이자 발휘해야 할 핵심 역량일 것이다.

이러한 중책을 코디, 즉 컨설팅에 전적으로 맡길 수 있는가? 또는 의존성을 어느 정도까지 허용해야 하는가에 대해 생각해봐야 한다.

컨설팅이란 사전적으로 전문적인 지식을 가진 사람이 고객에게 상세하게 상담하고 도와주는 것이다. 즉 컨설턴트는 도움을 주는 사람이지 대리인은 아니라는 것이다. 컨설턴트는 일부 과제를 위탁받아 수행할 수는 있어도 결국 큰 틀에서의 정보보호는 고객 스스로 하는 것이어야 한다.

기업이든 공공기관이든 정보보호 사업이 필요한 조직은 매년 같은 점검 사업, 같은 인증을 위해 매번 컨설팅 사업자를 비교 선정하고 같은 과제를 반복적으로 수행하며 비슷한 결과물을 제공받는다. 그 이후 고객이 할 수 있는 것은 다만 추가 재정을 마련해 보완하는 것이다.

이것은 마치 학생이 코디의 코칭을 받아 학습하고 훈련하며 스스로 성과를 낼 수 있는 컨디션으로 이끌어주는 것이 아닌, 코디가 직접 수험 준비를 하고 과제물을 작성해 학생에게 전달해 주는 모양과 비슷해 보인다. 실제로 정보보호 인증 사업을 발주하는 소수의 기관들을 보면 인증이나 점검기간 동안 상시 대기하거나 대리 수검까지도 요청하는 사례가 있다.

◇자주적이고 지속적인 정보보호 관리체계 자리 잡아야

그렇다면 올바른 컨설팅과 고객의 자세와 바람직한 정보보호 활동은 어떤 것일까.

컨설팅은 컨설턴트의 본분을 다해 정확하고 효과적인 조력자의 역할을 하고 고객이 그 도움을 재료로 삼아 지속적이고 자기주도적인 정보보호 업무와 활동을 할 수 있도록 이끌어 낼 수 있어야 한다.

코디가 족집게 참고문서들을 찾아 주더라도 학생이 그 문서를 거들떠보지도 않거나 그 내용을 이해하지 못하고 답만 외워서 좋은 결과를 내는 것이 가능할까.

컨설팅을 통해 수천만원 가치의 보고서를 받더라도 이것이 정보보호 담당자에게 머리 아픈 종이 뭉치에 불과하다면 정보보호의 실마리는 어디서 찾아야 하는가.

인증이나 점검 기간이 끝나면 다음회차 시기가 되어 새로운 컨설팅 업체를 불러들이기 전까지 멈춰있는 정보보호 관리체계는, 학생이 시험 전 벼락치기 공부 후 시험이 끝나면 꾸준한 공부를 멈추는 것과 같다.

안타까운 것은 학생이 졸업이라도 하면 그 굴레에서 벗어날 수 있지만 정보보호 관리체계는 완성이나 졸업이 없다.

정리하자면, 정보보호는 매년 많은 비용을 들여 섭외한 컨설팅 회사가 매년 대신하는 것이 아니라 정보보호 관리체계가 진정 필요한 고객이 직접 운영하는 것이 되어야 하고, 자주적이고 지속적인 정보보호 관리체계가 자리잡아야 한다.

이것은 필자의 단순 주장이 아니라 국내외 정보보호 인증의 대전제이며 이미 ISMS 인증 항목에도 포함되어 ISMS 인증 성공의 필수 조건으로 최근에는 더욱 강화되고 있는 요건이다.

그런데 정보보호 업무를 원활히 수행할 수 있는 경험 많은 유능한 인력을 보유하고 정보보호팀과 같은 조직을 독립 구성할 수 있는 대기업, 금융사 등 일부를 제외하면 절대 다수의 ISMS 인증 의무기관들은 이러한 여유가 없다.

안타까운 것은 ISMS 인증 기준이 이러한 현실적 차이를 고려해주지 않는다는 점이다. 여기서 인식과 현실의 부조화가 일어난다. 그래서 최소한의 요건을 맞추기 위해 상대적으로 영세한 ISMS 인증 의무 대상 기관들은 마지못해 비전문가 또는 초급 수준의 정보보호 담당자를 두거나 이 마저도 선뜻 의사 결정하지 못하고 다른 업무 담당자가 인증 대응 기간 동안만 지원하는 등의 대안을 찾게 된다.

◇저비용으로 스스로 지속 가능한 정보보호 관리체계 유지할 수 있도록

여기에 바른 답을 제시해줄 수 있는 정보보호 컨설팅 회사는 과연 있는가.

필자는 말하고 싶다. 정보보호 담당자는 유능한 경력자만 할 수 있는 것이 아니고 상당수의 관리적 부분은 컨설팅의 1차 코칭 및 가이드로 누구나 지속 유지가 가능한 부분이며 기술적 취약점 진단, 위험 평가 및 관리 또한 일부 또는 전체를 자동화해 기능적인 수준으로 전문성을 낮춤으로써 고객 담당자가 스스로 할 수 있도록 제공해 줄 수 있다. 컨설팅의 핵심 역량과 퀄리티는 지식 집약적인 부분에서 발휘된다. 기능적인 부분은 솔루션으로 대체 가능한 영역이라는 것이다.

컨설팅 업계의 누군가는 필자를 비난할지도 모른다. 대다수의 컨설팅 회사가 지식이 아닌 노동집약적인 컨설팅이 원가와 수익의 대부분을 차지하는 것을 감추고 싶을지도 모르겠다.

하지만 필자와 이지시큐는 적용 가능한 혁신 가능성을 덮어두고 과거 방식을 유지하며 기득권을 지키기보다는 저비용으로 스스로 지속 가능한 정보보호 관리체계가 절실하게 필요한 다수의 실수요 기관에게 솔루션을 제공하고 자생력을 키워주는 것이 올바른 컨설팅의 자세라고 믿는다.

매년 반복적이고 계속적인 컨설팅 고정 비용 발생을 덜어주는 정보보호 인증 통합솔루션 아테나를 도입한다면 전문 컨설턴트의 도움이 꼭 필요한 영역의 자문, 기술적인 진단, 보안감사 등의 활동들만 컨설팅에 위탁해 도움을 받을 수 있다.

컨설팅에서 매년 준비해주는 산출물을 받아 들고 올해도 무사통과를 기원하는 정보보호 담당자에게 드라마속 ‘입시코디’가 했던 대사를 인용해 본다.

”절대 너 자신을 믿지마. 너 자신을 의심하고 또 의심해.”

★정보보안 대표 미디어 데일리시큐!★