전 세계가 안전에 대한 문제로 하루도 조용할 날이 없다. 
각종 사건과 사고로 인해 사람들이 물리적, 정신적, 재산적 피해에 노출되어 있다 보니 그에 따른 대책을 마련하느라 부산하다. IT분야도 예외가 아니어서 각종 피싱, 파밍에 이어 이제는 돈을 노린 랜섬크립트가 전 세계적으로 활개를 치고 있고, 기업도 기관도 모두 이에 대한 대책 마련으로 분주하다. IT침해로 인해 크고 작은 피해를 입은 기업들은 지금도 그에 대한 대비로 인적, 물적 자원을 동원하고 있다.
문제는 그럼에도 불구하고 계속 IT침해가 발생하고, 사고로 인한 누군가의 피해로 이어지고 있다는 것이다. 기업들은 매년 예산을 투자하여 보안을 강화하는 작업을 하고 있다고 토로하고, 그럼에도 발생하는 사고는 자신들로서는 어쩔 수 없는 상황이라고 말한다.
정말 그런 것인가? 기업 정보보안에 문제는 정말로 없는 것인가?
필자가 오랫동안 정보보안 분야에서의 경험에 따르면 기업(공공기관도 해당된다) 정보보안에는 아직 해결하지 못한 근본적인 문제가 몇가지 있음을 느껴왔다.
이제부터 그 얘기를 해보려고 한다.
필자는 IT분야에서 20년 이상을 근무해 왔으며, 보안업계에서만 13년 이상을 직장생활을 해오고 있다. 그 중 7년 정도를 많은 기업들에 대해 보안컨설팅을 제공해 왔으며, 그 과정에서 공통적으로 느끼는 점은 대부분의 기업들이 보안을 경영의 차원에서 바라보지 않고 관리적 요소로만 생각하고 있다는 것이다.

임홍철 사이버팀장

이 문제는 비단 기업뿐만 아니라 우리나라 전반적인 보안을 대하는 분위기로도 인식될 수 있는데 그 단적인 예가 미래부가 관장하고 한국인터넷진흥원이 운영하고 있는 ISMS(Information Security Management System, 이하 ISMS) 즉, 정보보호 관리체계라고 하는 인증제도라고 할 수 있다.
ISMS는 기업, 기관 등이 각종 위협으로부터 주요 정보자산을 보호하기 위해 일정한 정보보호수준을 관리․운영하는 종합적인 체계를 갖추었는지 평가해 인증을 부여하는 제도이다. 이와 유사한 해외 인증제도로 ISO 27001을 들수 있는데 역시 ISMS라는 용어를 사용하며, 영어표현도 동일하다.
그러나 두가지 인증제도의 중요한 차이점이 있는데 KISA는 이를 정보보호 관리체계라고 해석하여 사용하고 있는 반면에 ISO 27001에서는 정보보안 경영시스템이라고 표현하고 있다는 것이다. 동일한 단어를 두고 관리와 경영으로 해석이 나뉘는 것이다. 별거 아니라고 치부할 수도 있겠으나 필자는 이것이 정보보호를 바라보는 중요한 인식의 차이에서 비롯된 차이점으로 보고 있다.
필자를 포함한 대다수 우리나라 사람들에게 있어서 관리와 경영이라는 단어는 사뭇 큰 차이점을 가지고 다가온다. 경영이라는 단어가 들어가면 경영진(임원진)도 포함된 주제로 인지되지만, 관리라는 단어로만 접근하면 임원진 이하 중간관리자급의 문제로 보여질 수 있으며, 필자는 실제로 그렇다고 보고 있다.
필자가 경험한 대다수의 기업들에서 정보보안과 관련해 접촉할 수 있는 상대는 대부분 중간관리자들 이었으며, 임원 분들은 직접 참여하는 대상이 아닌 보고의 대상으로만 존재하고 있었다. 정보보호 담당임원을 맡고 있는 분 중에도 많은 분이 IT 및 보안을 경험해 보지 않으신 분들이어서 어찌 보면 당연한 귀결일수도 있다.
경영진의 관심에서 한발 멀어져 있는 기업의 정보보안. 어쩌면 우리나라에서는 보안이 경영진의 주요 관심요소 중 하나로 인정받지 못하고 중간관리자들의 업무로 취급받고 있는 것이 아닐까? 그리고, 그 시작은 영어단어 Management를 경영으로 해석하지 않고 관리로 해석하는 작은 차이에서 비롯된 것은 아닐까?
만약 그렇다면 이제부터라도 관리라는 단어 대신 경영이라는 단어로 교체해 단어 하나의 작은 차이에서 비롯된 인식을 타파하고 정보보안의 영역에 경영진이 참여하도록 지금부터라도 노력해야만 한다. 아직 우리나라 대부분의 기업에서 경영진이 직접 정보보안에 관심을 갖고 챙기는 경우는 흔치 않다.
그러나 분명한 것은 정보보안은 기업에게 있어 때로는 기업 존폐를 좌우하기도 하는 가장 중요한 과제로 대두되고 있다. 보안팀과 같은 특정 부서가 아닌 전사적인 차원에서 관심을 가져야 한다는 것이다. 그렇다면 그 시작은 보안을 관리하는 것이 아닌 경영하는 것에서 시작해야 만 할 것이다.

키워드

#N
저작권자 © 누구나 안심하고 살 수 있는 세상을 만드는 언론 세이프타임즈 무단전재 및 재배포 금지