2021-06-12 20:10 (토)
정보보호 전문가에게 던지는 Paradox 3 - 정보시스템 감리와 정보보호
상태바
정보보호 전문가에게 던지는 Paradox 3 - 정보시스템 감리와 정보보호
  • 조희준
  • 승인 2011.08.27 21:25
이 기사를 공유합니다

최근의 핫 이슈 ? 정보시스템 감리에 보안을 추가

 
(2009년도 말의 시점에서 이 글을 작성하였다.)
2009년도의 달력도 12월 1장을 남기고 있다. 2009년도 년 초에 세운 새해결심(new year resolution)이 지금쯤이면 얼마나 달성되었는지 확인해보는 미래지향적인 CISSP 회원이나 독자들이 많을 것이다.
계획대로 다 이룬 것도 있고, 마음만 먹고 손대 못 대본 것도 있으리라. 이룬 것은 이룬 대로 성과 달성을 한 것으로 기분 좋게 표시하고, 그렇지 못한 것은 수정과 교정을 통해서 내년도에 또다시 결심하고 계획을 세우면 끝내 이루리라 생각한다. 주위에, 이른바 성공하였거나 전문가라고 불리는 분들을 보면 계획대로 다 이룬 것은 없다고 한다. 다만 포기하지 않고 계속 수정과 교정을 해 가면서 중단 없는 전진을 할 뿐이라고 말한다.
 
이러한 순환적인 구조형태를 우리는 Deming’s Quality Management Cycle(데밍의 품질관리 사이클) 이라고 한다. PDCA cycle이라고도 한다. 품질 관리는 곧 품질의 지속적인 개선을 의미하는데 이렇게 하기 위해서는 Plan – Do – Check - Act, 즉 계획, 실행, 확인, 교정(수정)활동과 이러한 것들의 피드백(feedback)이라는 선 순환구조를 이루어야 한다는 이론이다. 오늘날 공학과 이론, 경영, 산업계의 표준 등에 두루 쓰이고 있다.
 
배움은 곧 실천이지 않겠는가? 이런 좋은 이론을 책상 속에 파 묻지 말고 독자들의 실 생활에 입혀 보는 것이 곧 산 지식(Live Knowledge)이고 전문가로의 초석이 된다. “부뚜막의 소금도 집어 먹어봐야 짜다”.


   [그림] PDCA 선순환

 
최근의 핫 이슈 정보시스템 감리에 보안을 추가
정보시스템 감리를 위한 “수석 감리원”을 선발하는 정보시스템 감리사 시험이 2010년도에 변화가 있을 예정이다. 아직 확정공고를 내지는 않았지만 지난 3월에 의견수렴 공문에 의하면 4과목에서 마지막 과목인 시스템구조와 보안에서 보안 부문이 독립적 과목으로 분리될 예정이다.
정보보호, 정보시스템 보안이 날이 갈수록 중요성이 대두됨으로 인해 이러한 시대적 흐름이 시험제도에도 영향을 미치게 되는 것은 당연하리라 생각한다.
 
CISSP(국제공인 정보시스템 보호전문가)로서 혹은 정보보호를 직업으로 하고 있거나 연구하는 분들에게 이러한 정보시스템 감리의 변화를 읽어내고 그 변화 안에서 어떻게 준비하고 대처 할지를 같이 고민하기를 계기를 마련하고자 한다.
 
IT 감사(IT Audit)
IT 감사(정보기술 감사)와 IS감사(정보시스템 감사)라는 용어는 차이가 있지만 이를 논의하는 시간이 아니기에 통상적으로 전 세계가 공통적으로 쓰는 IT 감사의 시각으로 얘기를 해 보겠다.
감사(Audit)이라는 용어는 독자들도 짐작 하듯이 회계감사라는 말이 먼저 떠 오르게 될 것이다. 기업의 수익활동을 볼 수 있는 회계정보의 공시를 위해 기업은 회계감사를 의무적으로 하고 있으며 회계활동이 대부분 전산의 도움으로 이루어 지기에 IT 감사가 병행 하게 된다.
또한 기업 내에서는 기업경영을 위한 비즈니스 영역에 IT를 적용하게 된다. 조금 더 구체적으로 애기하자면 비즈니스 프로세스가 IT의 도움이나 지원을 많이 요구하게 된다. 이른바 자동화, 혹은 전산화라고 하는 것이다.
각 현업부서 업무는 업무의 자동화나 전산화를 위해서 자동화된 응용 소프트웨어 개발을 하거나 인프라스트럭처에 투자를 하게 된다. 대부분 프로젝트의 형태로 진행되곤 한다. 이러한 IT 프로젝트가 합목적으로 성공리에 마치기 위해 제 3자의 객관적인 시각이 필요하며 그러기에 IT 감사가 진행된다.
대한민국뿐 아니라 전 세계에 IT 감사사가 IT 감사 활동을 하고 있다.
 
정보시스템 감리(IS Audit)
앞 소절에서 설명한 IT 감사의 영역 중에서 대한민국에만 있는 것이 정보시스템 감리이다. (과거 일본에서 시작되었는데 현재 일본의 IT 감사의 변화는 확인 해봐야 한다.)
정부 및 공공 기관에서 국민들을 위한 대국민 서비스, 즉 행정활동을 하게 된다. 행정기관들이나 일반 기업체나 주체가 다를 뿐이지 비즈니스 기능은 다를 바가 없으므로 IT의 도움을 받아 비즈니스 기능을 이행하게 된다. 이때 사용자가 대부분 국민이기에 최근에는 행정업무가 대부분 웹(web)을 기반으로 하게 된다.
웹 환경이든 아니든 IT를 도입하거나 IT를 개선하기 위해서는 IT서비스 제공을 전문으로 하는 IT 공급업자를 선택하여 예산을 가지고 IT 프로젝트의 형태로 진행한다. 발주자는 정부이거나 공공기관이 될 것이고, 수주자는 IT 전문서비스업체 이른바, SI(System Integration)회사가 될 것이다. 이들 두 이해당사자 사이에 객관적인 시각으로 개선점을 제시해주는 것이 정보시스템 감리이다. 쉽게 표현하자면 아파트를 건설할 때 시공 회사와 감리회사가 별도로 있는 것을 들 수 있다.
 
정보시스템 감리사 검정 과목의 변화 예상
2009년도까지 10회의 정보시스템 감리사 검정과목은 감리 및 사업관리, 소프트웨어 공학, 데이터베이스, 시스템구조 및 보안의 4 과목이었다. 시스템구조와 보안이 하나의 과목으로 묶여 있었다. 여기에서 과목이라고 하는 것은 정보시스템 감리 활동을 수행해본 분들은 알겠지만 정보시스템 감리 수행활동 영역과 감리보고서 항목도 이 4 과목을 주제로 한다.
몇 년 전만 해도 보안(정보보호)는 감리영역에는 있었지만 감리 수행이나 보고서에는 별로 중요시 하지 않았다. 반면에 지금은 보안이 기본 감사 활동영역이며 보고서의 주인공이 되었고 보안(정보보호)만을 주제로 하는 IT 사업도 많아졌다.
이러한 시대적 요구로 인해 올해 3월에 시스템구조 및 보안의 한 과목을 시스템구조 1 과목, 보안 1 과목으로 분리하자는 의견수렴 공문을 주관기관에서 발표하였다. 예상대로라면 2010년도 검정과목이 5과목으로 될 것이다.


   [그림] 정보시스템 감리사의 검정과목 변경

정보시스템 감리와 정보보호
보안은 사업성이 있는가? 즉 정보보호는 돈이 되는가? 이러한 질문은 몇 년 동안 계속 반복되어왔다. 대부분 기업체의 IT 사업 예산의 마지막 우선순위가 정보보호임을 부정하지는 않겠다. IT 예산 중에서 다른 분야에 우선 투자하고 정보보호는 제일 나중에 예산이 허락한다면 진행했던 것이 비일비재했다. 당연히 예산이 적을 수 밖에 없었다.
그러나 정보보호에 대한 법규와 규제가 강화되고 있고 정부의 공공사업 안에 정보시스템 감리에도 보안은 당당히 하나의 감리영역으로 자리매김을 하고 있다.
 
시대는 정보보호 전문가를 찾고 있다. 그러나 정보보호 전문가가 준비가 안되어 있다면 이 또한 얼마나 이율배반적인가? 한국 CISSP Korea 협회 활동을 하면서 협회 세미나에 찾아오시는 많은 분들은 누군가가 자신들을 정보보호전문가로 만들어 주기를 바라고 있었다. 누군가 만들어 준다면 더 이상 전문가라 할 수 없다. 스스로 개척해 나가야 전문가이다.
 
정보보호에 관심과 집중이 필요한 시대이다. 한국 CISSP Korea 협회 활동을 돈벌이와 상관없다는 이유로 가벼운 모임으로 생각할 수 있다. 강제성도 없다. 순수한 전문가의 열정만이 존재할 뿐이다. 필자는 협회활동의 이런 자발성이 바로 독자들을 관심과 집중으로 끌어 들일 수 있다고 확신한다.
 
아는 만큼 보인다. You can see as much as you know. 시작하지 않으면 “0” 이다. 시작하면 “0” 이거나 그 이상일 것이다.
 
이 글로 CISSP로서 (ISC)2 국제본부와 CISSP Korea Chapter를 바라보는 새로운 눈을 가지고, CISSP들의 경력개발에 도움이 되길 바라며 이 글을 마치고자 한다.
(이 글은 한국CISSP협회 뉴스레터에서 저자의 글을 재 구성 한 것입니다. www.cisspkorea.or.kr)


-----------------------------------------------------------
조 희 준 josephc@chol.com      CISSP, CSSLP, ISO 27001(P.A), CISM, CCFP,
CGEIT, CISA, COBIT, CRISC, IT-EAP, CIA,
ITIL v3 Intermediate, IT-PMP, PMP, ISO 20000(P.A), PMS(P.A)
(ISC)2 CISSP 공인강사, 정보시스템감리원
한국정보화진흥원 사이버범죄예방교화 전문강사
 
IT거버넌스/컨설팅/감리법인 ㈜씨에이에스 컨설팅 이사, 강원대학교 겸임교수, (ISC)2 CISSP Korea 한국지부에서, (사)한국 정보시스템 감사통제협회에서, 한국 포렌식조사 전문가협회에서, 한국 정보기술 프로젝트관리에서 활동 하고 있다. IT감사, 내부감사, IT거버넌스와 정보보호 거버넌스, 내부통제가 관심분야이다, 이와 관련해서 기고, 강의, 강연을 활발하게 하고 있다. 용기란 무엇인가?”에 대한 답을 2011년에 꼭 찾으려 한다. 2010년 두 번째 단행본인 “IT거버넌스 프레임워크 코빗”의 출간 후, 최근 2011년에 “정보보호 전문가의 CISSP 노트”발간되어 강연회를 다니는 중이다.
-------------------------------------------------------------------------