[이찬우 더존정보보호서비스 대표] 기업의 정보보호를 위해 많은 방법과 도구들이 도입되고 있지만 실제 적은 보안 인력으로 많은 사업장과 임직원에 대한 보안업무를 수행하다 보니 시스템에 의존적인 보안이 이루어 지고, IT자산 및 정보자산 보호에 관점을 둔 업무 권한 및 책임으로 인해 정보감사의 역할 수행의 한계가 발행한다.
 
또 보안 시스템의 취약성 및 제한, 업무 효율성 저하에 따른 보안 영역 설정의 문제로 인해 통제의 한계가 드러나기 마련이다. 이로 인해 전/현직 임직원에 의한 정보 유출, 협력업체 임직원에 의한 정보유출, 보안 투자 확대에도 불구하고 발생하는 정보 유출 등이 지속적으로 끊임 없이 발행하고 있으며, 점차 증가하는 추세이다.
 
이렇듯 최근의 정보 유출은 APT나 해킹과 같은 기술적 보안 취약점 보다는 조직과 사람, 정보 관리 등의 관리적 조치 문제가 대부분이다. 그렇다면 이런 관리적 문제점에 대한 조치를 위해 우리는 무엇을 준비할 수 있을까? 기존 보안 시스템의 문제점을 보완하여 정보보호의 수준을 향상할 수 있는 방법은 없을까? 바로 정보감사를 통해 문제점을 보완, 해결할 수 있다. 정보감사는 기업이나 조직내의 정보를 대상으로 한 정보보호 프로세스 및 시스템이 적절하게 운영되고 실효적인 통제가 되고 있는지 감독하고 검증하는 활동으로 정보의 보호, 관리, 유출에 대해 정보취급자, 보안시스템, 보안 규정에 대한 종합 적인 감사를 진행하는 것이다.
 
기존에 기업 정보보호를 위해 자료를 암호화하고 유출을 통제하고, 보안 정책 등을 마련하는 등 정보를 통제하는 체계의 구축이 주를 이뤘다면, 지금은 정보 자산을 파악하고 정보를 관리(자료 파기, 리스크 검사), 감사 정책을 통해 정보를 관리하는 방법을 모색해야 한다. 결국 정보의 “통제”에서 정보의 ”관리”로 보안의 패러다임 확장과, 보안과 감사가 병행되는 정보보호체계 구축이 필요한 것이다.
 
이러한 정보감사는 정보 취급 활동에 대한 진단과 분석을 통한 사전 예방적인 차원에서의 접근 필요한데, 감사를 하는 대상, 범위, 목적에 따라 감사의 형태는 다양화 될 수 있다. 특히 수많은 정보의 관리가 필요한 대기업이나 중견기업의 경우 감사 수행대상이 많아지고, 시간/비용/인력에 대한 소모가 증가하기 때문에 정보감사업무를 자동화하여 누구나 손쉽게 수행할 수 있는 체계의 구축이 필요하다. 
 
이렇게 기업을 대상으로 하는 정보감사는 체계적 관리가 용이하고, 기업별 조건이 적용가능 하도록 유연성이 확보되어야 하며, 정보감사 항목을 다양화 해야 한다. 특히 인력/장비에 대한 추가 비용 없이, 다수의 컴퓨터를 동시에 신속히 조사가 가능하도록 효율성이 있어야 하며, 정보감사 프로세스를 활용해 누구나 손쉽게 활용하여 결과를 비교분석 할 수 있는 편리성 측면에서 활용도가 높아야 할 것이다.
 
특히 해외, 지점 등 지역과 상관없이 필요에 따라 감사 수행이 가능하며, 감사대상자가 증가하더라도 언제든지 정보의 흐름을 관리할 수 있도록 기업의 특성을 고려하여 각 기업에 맞는 정보감사 체계가 구축된다면, 정기적인 감사로 인해 내부 정보 유출 사고 발생을 미연에 방지라고, 사전 감사(정기/특수/수시)를 통한 기업의 리스크를 최소화할 수 있을 것이다.
 
정보감사는 결국 기업의 정보 흐름을 파악하여 정보를 보호하고, 정보보호를 위한 투자 비용과 인력을 효과적으로 사용하고 관리함에 따라 효율적인 감사 업무가 가능하도록 지원하여 기업의 부담을 줄여줌과 동시에 정보보호 수준을 향상시키는 효과를 가져오게 된다. 또 이런 일상적인 감사행위로 인해 개인의 보안의식을 제고하는 효과까지도 기대해 볼 수 있지 않을까 한다.
 
글. 이찬우 더존정보보호서비스 대표이사