형식적 보안인증, 비전문적 보안조직, 정보보호 인식 제고가 현안

정보보호, 단순히 통제가 아닌 조직문화로 정착시켜야

중소기업의 보안수준 향상 위한 제도·정책 지원 필요

[보안뉴스 김태형] 최근 보안위협은 갈수록 증가하고 있다. 특히 사이버 공격으로 인한 피해가 증가하고 있고 국내 주요 기업들의 보안 문제가 지속적으로 대두되고 있는 상황이다.

기업의 정보보호 강화가 결국은 국가 전체의 정보보호 수준을 높이는 것이라고 할 때 현재 기업의 정보보호 현안을 해결하고, 보안을 강화하기 위해서 각 기업의 정보보안책임자 및 CISO가 조직 내에서 최우선적으로 실행해야 할 것은 무엇일까?

▲ 10월 29일 본지는 국내에서 활동하고 있는 정보보안 컨설팅 및 인증심사원 등 전문가 9명과 ‘기업 정보보안 분야 현안과 실천방안 간담회’를 개최했다.

이에 대한 해법을 찾기 위해 지난 10월 29일 본지는 국내에서 활발히 활동하고 있는 정보보안 컨설팅 및 인증심사원 등 대표적인 보안 컨설턴트 9명과 함께 ‘기업 정보보안 분야 현안과 실천방안 간담회’를 개최했다.

[‘기업 정보보안 현안과 실천방안’ 간담회 참석자(성명 가나다순]

– 김민수 삼정KPMG 이사

– 김형준 안랩 컨설팅사업본부장

– 박명훈 이글루시큐리티 수석컨설턴트

– 박억남 한국품질보증원 팀장

– 서정호 영국표준협회(BSI) 선임심사원

– 신현민 인포섹 컨설팅본부 이사

– 이원백 사이버보안전문단원/ISMS심사원

– 전성훈 시큐아이 보안컨설팅팀 부장

– 홍성권 EY한영회계법인 수석컨설턴트

– 사회 : 김태형 기자 / 정리 : 민세아 기자

이 자리에서는 기업 정보보안 분야의 주요 현안과 개선해야 할 사항에 대한 다양한 논의가 진행됐으며 기업 정보보안 강화를 위한 실질적인 가이드를 제시했다.

▲ 삼정KPMG 김민수 이사

먼저 삼정KPMG 김민수 이사는 “일반 기업들을 대상으로 할 경우 컴플라이언스가 요구되는 조직들, 즉 공공이나 IT 서비스 기업 등을 제외한 기업들은 보안 투자가 매우 미흡하다. 아예 예산이 없다는 것이 문제”라고 지적했다.

이어 그는 “유통 분야에도 고객정보가 많이 있다. 고객정보 외에도 이러한 기업들에게는 중요한 정보가 많다. 그러나 해당 분야 기업 대부분의 CEO들은 사고가 나야 보안에 투자하기 시작한다”고 말했다.

특히, 우리나라 기업의 CISO(정보보호최고책임자)는 정보보호 관리체계 및 거버넌스 수립 역할은 물론 회사 경영전략과도 맞물려 있어 포지션이 명확하지 않다. 그래서 CISO가 어떤 문제를 해결하고 싶어도 모두 해결할 수 없다는 것. CEO 입장에서 CISO는 여러 임원 중 하나일 뿐이기 때문이다.

김민수 이사는 기업의 CISO는 기존 보안팀장 업무인 보안관리 이상의 보안 목표와 가치를 찾는 것이 중요하다. 기업 CEO가 어떤 의지를 가지고 회사의 보안수준을 가져갈 것인지를 잘 파악하고, 이에 따른 기업의 보안 목표나 수준을 정확하게 수립하고 실천해야 한다고 강조했다.

행동경제학 이용해 자연스럽게 보안을 지킬 수 있도록 해야

▲ 안랩 컨설팅사업본부 김형준 본부장

 이어서 안랩 김형준 본부장은 “CFO가 그 회사의 재무관계를 꿰고 있어야 하듯, CISO는 그 회사의 보안 전반을 꿰고 있어야 한다. 컨설팅 현장에 가보면 CISO들은 일반 직원의 보안의식 제고방안에 대한 고민이 많다”고 말했다.

그래서 기업들은 보안의식 향상을 위해 보안의 목표와 전략을 세우고 키워드를 정해 교육·홍보나 이벤트를 수행하는 등의 변화관리 프로세스를 적용하게 된다. 그러나 보안이 강화될수록 불편함을 주는 만큼 이러한 방법들은 효과가 적다는 것.

이보다는 행동경제학을 이용해 자연스럽게 보안을 지킬 수 있는 방법들을 적용하는 것이 바람직하다는 게 김 본부장의 의견이다.

그는 “비용이 들지 않으면서도 조금만 더 생각하면 할 수 있는 것들이 많다. 예를 들면, ‘CISO가 캘린더에 언제 무엇을 점검하겠다’는 내용을 공개하면 보안담당자들은 그것을 보고 계속 신경을 쓰고 점검하게 된다”면서 “본인에게 손해가 가는 구체적인 사항을 명확히 인식시키커나 시각화하는 방법, 그리고 강제화하는 방법도 있다”고 말했다.

일례로 고객센터내 PC 앞에 ‘보안을 철저히 하자’는 문구 대신 ‘업무 이외에 고객정보를 조회하면 안된다. 이를 어기면 관련 법에 의해 벌금 5000만원 이하에 처할 수 있다’ 등의 문구가 넣을 경우 더 효과적이라는 얘기다. 이처럼 보안은 업무와 관련지어 설명하면서 자연스럽게 따라가도록 하는 방법이 중요하다는 점을 강조했다.

▲ 이글루시큐리티 컨설팅사업본부 박명훈 수석컨설턴트

 이글루시큐리티의 박명훈 수석컨설턴트는 정보보호 컨설팅 업무 15년차이지만 초창기 때 봤던 기업의 보안취약점이 아직도 보안취약점으로 발견되거나 10년 전의 체크리스트와 현재의 그것이 큰 차이 없다는 점을 지적했다.

그는 “정보보호의 핵심은 투자인데, 기업 CEO 입장에서는 보안 투자를 왜 해야 하는지를 모른다. 이는 공감대가 형성되지 않았기 때문이다. 예전에는 비즈니스가 IT를 이끌었으나. 지금은 정보보안과 IT가 비즈니스를 리드하는 시대이므로 관련 업무의 협조 없이는 경영이 불가능하다”고 말했다.

현재의 개인정보보호법과 정보통신망법 등과 같은 보안 컴플라이언스는 위에서부터 탑다운 식으로 내려오다 보니 지킬 수 밖에 없다. 자사 위주의 보안이라면 프로세스에 종속되어 있는 보안에 신경을 쓰기 마련이다. 이로 인해 CIO, CFO 등 임원들은 개인정보보호만큼은 지켜야 한다는 인식에 이미 공감하고 있다는 것.

문제는 엔드포인트단의 직원들이 이를 모른다는 것이다. 이를 위해서 프로세스 혁신이 필요하다는 게 그의 주장이다. CISO가 정보보호나 개인정보보호를 업무 프로세스 혁신 차원에서 받아들여 본인이 업무 프로세스 사이에 정보보안, 개인정보보호 통제 절차를 이식시키는 방법을 의미한다.

박명훈 수석컨설턴트는 “CIO와 CPO를 굳이 분리할 필요가 없다는 생각이다. 정보보호, 개인정보보호 관리는 업무스킬이다. 보안침해 사고시 정보보호 담당자, CISO 또는 CPO에게 법적 책임까지 물어서는 안된다고 생각한다. 이를 업무 실패로 받아들이기 성과 측면에서 평가하는 것이 중요하다”고 덧붙였다.

▲ 한국품질보증원 박억남 팀장

 이어서 한국품질보증원 박억남 팀장은 국내 정보보호관련 인증 및 제도에 관한 문제점을 지적했다. 그는 “지난 2002년 국내에서 ISMS 인증제도 시행 이후 2014년 정보보호 준비도 평가까지 13개의 정보보호관련 인증 및 제도가 생겼다”고 말했다.

지난 13년 동안 1년에 하나씩 정보보호 관련 제도가 미래부, 안행부, 방통위 등 정부부처의 필요에 의해 생겨난 셈인데, 이는 정보보호 관련 인증·평가 제도가 중복해서 양산되는 결과를 낳았다는 것. 기업들도 이러한 정부의 규제환경 속에서 획일적인 보안체계를 구축하고, 사건이 터진 후에 관련 법이나 규제를 개정하게 되면 기업은 따라가는데 급급한 사후약방문 식의 정보보호가 될 수 밖에 없다고 강조했다.

 박억남 팀장은 “이런 문제들을 근본적으로 해결하기 위해서는 정보보호 및 개인정보보호 관련 유사 제도의 통합이나 개선이 필요하며 기업 입장에서는 복잡한 제도 및 컴플라이언스 등의 보안규제 환경에 종속돼 수동적으로 움직이기 보다는 기업 특성에 맞는 자체적인 보안 프로세스를 수립하기 위한 적극적인 활동이 중요하다”고 말했다

 그는 또 획일적인 인증심사 체계도 문제점으로 지적하면서 체크리스트 기반, 위험도 분석을 통해 평가하기 때문에 인증 취득 자체가 완전한 것은 아니라며, 기업들의 경우 인증서 취득을 만병통치약으로 인식하는 경향이 있는데 이는 부적절하다고 덧붙였다.

보안담당자, 법률대응하랴 잡무처리하랴 고민한 시간 없어 문제

▲ 영국표준협회(BSI) 서정호 선임심사원

영국표준협회(BSI코리아) 서정호 선임심사원은 국내 기업의 정보보호 담당자들은 과도한 규제로 인해 처리해야할 업무가 너무 많고, 규제 준수에만 초점을 맞춰 기업 정보보호의 큰 틀에 대해 고민할 시간이 없다는 점을 문제로 지적했다.

또한 정보보호를 통제 솔루션만으로 해결할 수 있을 것이라는 의식이 강하다는 점과 비정형화된 데이터도 많은데 정형화된 정보만을 중요하게 인식하고 있다는 점을 문제점으로 언급했다. 더욱이 대기업 CISO의 비전문성과 함께 책임은 막중한데 비해 권한이 없는 점도 제기했다.

그는 “기업의 정보보호 체계는 중요한 정보가 무엇인지, 어디에 있는지 파악하는 것부터 시작된다. 또 단순 보고나 결재만을 수행하는 CISO보다는 기업 내의 모든 이슈 및 해결방안을 보안담당자와 함께 고민할 수 있어야 한다. 실무 경험이 풍부한 사람들이 관리자의 역할을 담당해야 한다”면서 “정보보호를 단순히 통제가 아닌 조직문화로 정착시켜야 한다. 조직의 정보보호는 정보보안 조직에서만 수행해야 하는 업무라는 생각을 버려야 한다. 현업 부서에서 이슈를 가장 잘 알고 있으므로 모든 조직원들이 정보보호 활동을 수행할 수 있도록 직원들에게 보안업무를 부여해야 한다”고 말했다.

▲ 인포섹 컨설팅본부 신현민 팀장

인포섹 신현민 팀장은 금융, 공공, 대기업 등에서는 보안투자가 어느 정도 이루어지고 있다. 하지만 중소기업이나 중견기업 등은 보안관련 정책, 조직, 투자가 아예 없거나 많이 부족하다고 설명했다.

이러한 이유 중 하나가 IT가 급속도로 발전하면서 보안을 고려하지 않은 투자로 중복투자가 많이 발생했고, 이로 인해 회사 내에서 보안부서는 비용만 쓰는 부서라는 인식이 강하기 때문이라는 설명이다.

 신현민 팀장은 “특히 중소기업의 경우 보안문화 조성을 하고 싶어도 할 수 없는 기업이 대다수다. 이를 위해 정부가 법률 등 제도적 보완을 통해 GRC(Governance, Risk Management, Compliance) 전략을 수립하도록 지원해야 한다”면서 “중소기업에서 보안수준을 높이고 체계적인 정보보호 정책을 수립하기 위해 정보보호 준비도 평가 등을 활용하는 것도 좋은 방법”이라고 설명했다.

 그는 또 CISO는 정보보호 전담조직을 구성하고, 기업내 법률이라 할 수 있는 정보보안 규정·지침을 컴플라이언스에 맞게 재정립해야 한다고 말했다.

이원백(사이버보안전문단원)

이원백 ISMS 심사원도 중소기업의 취약점에 대해 언급했다. 그는 “인증심사를 다녀보면 중소기업들은 평가 이후 후속조치가 없는 것이 가장 큰 문제다. 심각한 취약점에 대해서는 신속하게 처리해야 하는데 정보보호 담당자의 코멘트조차 없다. 즉 정보보호 조직이 껍데기만 있는 허수아비에 불과하다. 이런 기업들의 경우 인증심사 관련 인터뷰를 하다 보면 보안에 대해 전혀 모른다는 것을 알 수 있었다”고 말했다.

이젠 기업 보안담당자 수준이 그 회사의 보안수준을 좌우할 수 밖에 없다. 올 초 하트블리드 사건이 있었는지도 모르는 중소기업 보안담당자도 있었다는 점은 중소기업의 정보보안 현실은 그대로 보여주는 현주소인 셈이다.

이원백 심사원은 “중소기업에서 보안을 위해 예산을 투자하는 것을 보면 솔루션 아니면 유지보수 비용으로 다 나간다. 중소기업에서는 솔루션 도입보다는 정보보안 담당자 등 인적자원에 비용을 투자해야 한다”고 강조했다.

보안관련 인증, 라이센스로 전락하면 효과 거둘 수 없어

▲ 시큐아이 보안컨설팅팀 전성훈 부장

시큐아이 전성훈 부장은 “보안도 부익부 빈익빈이 되어 가고 있다. 보안담당자들은 인력이 부족한 가운데서도 인증과 규제준수, 감사 등 해야 할 업무가 많아 본연의 업무 수행이 힘들다. 더욱이 보안인증 획득이 기업의 보안수준을 높이는 방향이 아닌 단순한 보안인증 라이센스를 획득하기 위한 것으로 흘러가고 있다”고 지적했다.

그는 특히 개인정보보호와 정보보호에 너무 치우쳐 있어 기업의 혁신적인 기술을 지키는데 보안 예산을 사용하지 못하고 있다. 이는 결국 자사의 핵심 기술이 많이 빠져나갈 수 있는 취약점으로 나타날 수 있다고 덧붙였다.

▲ EY한영회계법인 홍성권 수석컨설턴트

마지막으로 EY한영회계법인 홍성권 수석컨설턴트는 “기업에서는 우리가 보호해야 할 대상에 대해 잘 모르는 경우가 많다. 정보자산을 식별하는데 반나절이 걸리는 경우도 허다하다”면서 “정형화된 서버를 찾는데도 많은 시간이 걸리는데, 비정형 데이터의 경우는 실제 있는지도, 그리고 어디에 얼마나 있는지조차도 모르는 경우가 많다”고 설명했다.

또한 전문성이 부족한 사람이 보안부서 팀장으로 있어 경영진들에게 보안투자를 왜 해야 하는지 설득하지 못하는 경우가 많다. 그러면 사업 진행이 더 이상 되지 않는 문제가 발생하기도 한다는것. 더구나 CISO는 보안과 더욱 상관없는 사람이 오는 경우가 많아 문제라며, 보안조직 구성원의 전문성 강화를 주문했다.

홍성권 수석은 “CISO에게 가장 중요한 것은 보안예산 확보다. 돈이 없으면 아무리 기발한 아이디어를 내도 보안수준을 높이는데 한계가 있다”면서 “또한 GRC를 고려해야 한다. 기존 재무 리스크나 오퍼레이션 리스크에 대해서는 관리하고 있지만 기업에 실질적인 영향을 미칠 수 있는 보안 리스크 관리는 상대적으로 미흡하다”면서 리스크 관리를 위한 GRC 체계 구축의 필요성을 강조했다.

[김태형 기자(boan@boannews.com)]