경영진이 관심갖지않는 정보보호정책은 역효과
아래 글은 보안뉴스에 게재된 글의 일부를 소개한 것입니다. 기업에서 어떻게 해야 효과적인 정보보호 정책을 구현할 수있나를 고민하는 분들에게 좋은 내용인 것 같아서 일부를 발췌해서 소개합니다. 자세한 내용은 아래의 원문에서 확인해주시기 바랍니다. 원래는 보안정책에 대한 대담형식으로 되어 있는 글이랍니다.
=================================================================
찰스 우드 (前 뱅크오브어메리카 수석 네트워크 보안 컨설턴트) <<홈페이지 가기>>
Secureworld Expo keynote 링크
원문참조: http://www.boannews.com/media/view.asp?idx=17336&kind=18
▶ 효과적인 정보보호 정책 구현을 위해 필수적인 것 ?
조직들은 단순히 다른 조직의 정보보안 정책을 모방한 후 조직의 이름만 바꿔 결과 문서를 발표하고는 한다. 이는 보안 정책의 수립 및 공표 여부 확인만을 우선적인 목표를 두고 있는 일부 감사원들은 만족시킬 수는 있을 것이다. 그러나 장기적인 측면에서 이것은 결코 제 역할을 할 수가 없다. 이것은 결국 보안의 겉치레일 뿐, 실제가 아니기 때문이다. 이보다는 공식적인 위험 관리의 일환으로써 규칙적인 위험 사정을 수행해야 한다.
위험 평가(risk assessment)은 조직이 직면하고 있는 고유의 위험들을 명확히 드러내준다. 이후 이러한 고유의 위험들을 문제의 조직에 효과적인 조건들로 맞춰진 정보보안 정책으로 해결해야만 할 것이다. 나는 지금 조직이 종속된 법률이나 규제 사항에 대한 단순한 반응 이상의 것을 말하고 있는 것이다. 즉, 정보보안에 어떤 일이 벌어지고 있는지에 관해 명백한 그림을 경영진에게 제공해주는 규칙적인(이상적으로는 연간) 프로세스에 관해 말하고 있는 것이다. 위험 평가 리포트에 나타나는 이 명백한 그림을 통해 경영진은 리소스들이 어디로 가야하는지, 어떤 문제에 좀 더 관심을 기울여야 하는지, 어떤 프로젝트가 수립되는지 등에 관해 가장 훌륭한 결정을 내릴 수 있게 될 것이다. 따라서 위험 평가야말로 최적화된 정보보안 정책 작성에 길잡이가 될 수 있다 할 것이다.
▶ 기업의 정보보호에 가장 심각한 위협이 되는 것은 ?
우리가 직면하고 있는 가장 심각한 위협은 바로 정보보호에 대한 경영진의 인식 부족이다. 경영진과 결정권자로서의 그들의 위치는 종종 위험을 실제적으로 이해하지 못하게 하기 때문에 그들은 정보보호에 충분한 관심과 리소스를 쏟지 않는다. 결과적으로 심각한 문제들이 계속해서 발생하고 이러한 문제들은 현재 취해놓은 대응책들의 결함을 계속해서 강조하게 된다. 정책은 인식의 수준을 높이는 가장 중요한 방법 중 하나다. 정보보호 정책은 모든 직원들이 참여해야하는 인식 프로그램의 요건 사항을 정의할 뿐만 아니라 경영진이 선택한 위험 수준을 명백히 설명한다. 특히 이러한 명백함은 경영진이 처음부터 어느 정도의 위험을 수용하는 것에 대한 찬반양론을 이해하기 위해 시간을 가졌을 경우에만 필연적으로 확보할 수 있다.
▶ 기업 보안 정책과 관련해 경영진의 역할은 ?
언스트앤영(Ernst & Young)의 연구 결과에 따르면 정책의 명료화와 기타 정보보호 컴플라이언스에 대한 투자는 100%에서 1,000%의 ROI(return on investment)를 가져오는 것으로 나타났다. 낭비할만한 자금의 여유가 없는 요즘, 기업의 정보보호 정책 구축은 정보보호 비용 감소 등 많은 이익을 가져온다. 그러나 최고 경영진은 너무 바쁘기 때문에 정보보안 정책을 작성하기 어렵다. 경영진의 역할은 적합하게 훈련되고 자격을 갖춘 사람들이 이러한 문제를 처리하고 있는지 확인하는 것이다. 이어 이들의 작업에 대한 지원 또한 최고 경영진들의 몫이다. 정보 자산을 포함한 자산을 보호하는 책임은 궁극적으로 최고 경영진의 몫이다. 그러나 수많은 기업들이 아직까지 정보보호와 관련해 최고 경영진이 무엇을 해야 하는지 파악하지 못하고 있다.
▶ 안전한 정책(Sound policy)의 기본은 ?
좋은 시스템 설계의 가장 기본적인 측면들 중 하나는 요건 사항을 분명히 하는 것이다. 정보보호 정책과 관련해 오늘날 많은 업체들은 여전히 그들이 무엇을 하고 있어야만 하는지에 대해 뚜렷하게 알지 못하고 있다. 또한 무엇을 하고 있어야만 하는지 모르는 것과 마찬가지로 자신의 조직을 적절히 보호하지 못하는 시스템을 만든다. 이 외에도 감사와 컴플라이언스 체크 등과 같은 기본들도 잘 지켜지지 않고 있다. 또한 경영진이 강요하지 않는, 또는 관심을 기울이지 않는 정책은 오히려 역효과를 가져온다.
▶ 정보보호 정책이 실제 조직에 적용되는데 있어 가장 큰 어려움은?
개인적인 생각도 그렇지만 여러 조사의 결과들에 따르면 필요한 것을 하기 위해 충분한 투자를 하는 것이 가장 어려운 점으로 드러났다. 특히 현재의 경제적 어려움이 이 분야를 더욱 악화시키고 있다. 경기 침체 상황이라고 해서 인터넷상의 맬웨어 프로그램이 감소한다거나 인터넷 기반 신용카드 사기에 관련된 범죄 조직의 활동 등이 감소하는 것은 아니다.
▶ 한국 기업 내에는 아직 기업의 정보보호 정책에 대한 제언
무언가를 얻으려면 다른 것을 포기해야만 한다. 만일 세계 최대 금융 업체들 중 하나의 증권거래인이 되고 싶다면, 그것을 직업으로 삼고 싶다면 마지못해서라도 어느 정도의 감시를 수용하게 될 것이다. 이러한 감시는 온당한 것이다. 특권과 권한에는 대가가 있기 마련이며 감시와 어느 정도의 프라이버시 침해가 바로 그러한 대가인 것이다. 보안과 프라이버시는 때로는 상충되기도 하고 때로는 조화를 이루기도 한다. 이러한 점을 비롯해 여러 가지 충돌을 해결하고 적절한 균형을 잡아 특정한 조직의 요구(need)를 고유의 방법으로 반영하는 것이 바로 CISO(chief information security officer : 정보보안 담당이사)의 역할이다.