|
지난 10년 간 우리 기업들은 끊임없이 새롭게 등장하는 보안 사고에 신속하게 대응해야 했다. 이에 새롭게 보안 조직을 구성하고 다양한 보안활동을 개발해내고 앞다투어 보안솔루션을 도입해왔다. 특히 학계 및 기업경영에서도 정보보안에 대한 새로운 관심이 매우 커지고 있다. 하지만 급격하게 성장한 정보보안은 다음과 같은 문제점도 함께 가지게 되었다.
-
첫째, 정보보안의 부분적인 문제에 즉각적으로 대응하다보니, 거시적인 측면에서 정보보안 업무 성과에 대한 가시성 확보 어렵고, 정보보안 전략과 비지니스 전략의 연계가 분명하지 않다.
-
둘째, 정보보안 업무 수행의 복잡하고 업무의 연계성 확보가 어렵다. 즉, 보안성검토, 위험관리, 감사, 모니터링, 모의해킹, 변화관리, 보안솔루션 운영 등의 다양한 업무가 분산되어 연계성을 잃은 경우가 많다.
-
셋째, 최종 보호대상인 정보 자체에 관심을 가지고 라이프사이클 상에서 구체적인 위험관리가 이루어지고 있지 않다. 대부분은 기술적 자산(서버, 장비 등)에만 치중된 보안관리가 이루어지고 있다.
-
넷째, People 측면에서 정보보안 전문 인력 확보의 어려우며, 임직원의 정보보안 관련 변화관리가 어렵다.
생소한 개념일 수 있지만, ESP(Enterprise Security Planning)는 “비즈니스 핵심가치에 기여할 수 있도록 정보보안 프로세스를 통합한 전사적 정보보안 계획”으로 정의될 수 있다. 보다 쉽게 표현하면 “정보보호 Global Best Practice를 Implement 하기 위한 수단으로서의 실용적 프레임워크” 라고도 할 수 있을 것이다.
이제 정보보안은 더 이상 특정 조직의 전유물이 아니다. 단순한 정보보안 담당자의 전유물이었던 정보보안이 기업 비지니스의 핵심 가치에 이바지하는 모습으로 보여줄 수 있어야 한다는 것이 ESP의 가장 큰 취지이다. 이런 측면에서 ESP는 결코 정보보호 거버넌스와 ISO27001과 같은 GBP와 배타적인 관계가 아니다. ESP는 조금은 이론적이어서 이해하기 쉽지 않은 GBP를 기업에 효과적으로 적용할 수 있는 편리한 대안이라고 할 수 있겠다.
ESP의 추구하는 가치는 다음과 같다.
1. 정보보안을 통한 Business Value 추구
- Business와 정보보안의 전략적 연계
- 효율적인 정보보안 투자 (중복 방지 및 ROI 추구)
- 전사 차원의 정보보안 전략 실행
- 정보보안의 비즈니스 기여에 대한 투명성 확보
2.정보보안 Process 통합 및 체계화
- 개인정보 등 비즈니스의 핵심 정보의 Life Cycle 관리
- P-D-C-A 프로세스 단계별 보안활동에 대한 연속성 확보
- 정보보안 활동의 자동화 및 이력관리
- 체계적인 외부 규제 대응
- GBP의 효과적인 implementation 수단
3. 효과적인 정보보안 Resource의 활용
- 정보보안 자원의 효과적인 현황관리
- 정보보안 전략에 따른 우선순위에 맞게 자원의 효율적 투입 및 활용
- 비즈니스 자산의 효과적인 보안관리 및 통제
4. 지속적인 정보보안
- Risk 및 정보보안 성과에 대한 지속적인 모니터링
- 정보보안 서비스에 대한 가용성 확보
- KRI 지표 중심의 정보보안 위험 조기 경보
ESP의 특징은 다음과 같다.
1. 보안의 최종 목적물인 개인정보, 회사기밀 등 정보 자체에 보안의 중점을 둠. (프라이버시에 대한 컴플라이언스가 특히 강화되는 추세를 반영)
2. 전사 관점의 보안 거버넌스와 아키텍처에 중점을 두고 비즈니스 프로세스 개선이나 보안 투자 효과 분석 강화
3. 정보보안에서 ‘정보 리스크 관리’로 패러다임 변화. 특히, KRI를 기반으로 한 정보보안 경영지표를 중심으로 상시 위험모니터링 강화
ESP는 전사관점의 Framework을 가지는데, 크게는 정보보안 Value Chain과 정보보안 Value Management로 구성되며, 이 두 부문을 연결해주는 정보보안 Value Delivery가 있다.
정보보안 Value Chain은 ESP의 핵심으로써, 경영진에게 제공하는 비즈니스에 대한 정보보안 Risk를 가시화한 지도(MAP)이자, 비즈니스 전략과 정보보안이 커뮤니케이션 할 수 있는 Tool이다. 정보보안 Value Chain에서는 비즈니스와 공유될 수 있는 정보보안 비전, 전략, 목표 및 관련 Risk와 KRI가 계층적인 구조로 그려지며, 내용상으로 비즈니스 기여, 학습 및 역량 강화, 고객만족, 보안운영 강화와 같은 4개의 Domain으로 구성될 수 있다.
정보보안 Value Management는 정보보안 활동 전반을 지원하며, Process, Information, Monitoring 영역으로 구성되어 정보보안 Value Chain을 구성할 수 있는 기초 정보 생성한다. 정보보안 Value Chain으로 경영진과 커뮤니케이션하기 위해서 필요한 정보가 정해졌다면 이를 구성하기 위하여 구체화된 수치가 필요하며 이는 다양한 보안관리활동을 통하여 만들어 질 수 있다. 이러한 보안관리 활동이 상호간의 연계관계를 가지고 조직의 R&R에 맞게 구체화된 것이 정보보안 Value Management이다.
지금까지 전사적 통합보안관리를 돕는 ESP의 개념을 개괄적으로 알아보았다. 이러한 ESP를 성공적으로 기업에 도입하기 위해서 기업은 다음과 같은 노력을 해야 한다.
1. 먼저 외형보다는 본질에 집중하자 !! 전략적인 정보보안 통제를 위해서는 누가(Who), 어떤 (What) 정보를 알아야 하는가에 가장 큰 관심을 가져야 한다.
2. 단순한 운영ㆍ지원으로써의 정보보안이 아닌 비즈니스의 핵심가치에 이바지하는 정보보안이 되어야 한다.
3. 비즈니스의 규모, 산업특성, 보안위협의 강약 등을 고려한 차별적 ESP 설계가 필요하다.
4. 기존 정보보호 인프라를 최대한 활용하여 효율성을 극대화하여야 한다. ESP 전체가 새롭게 구성되어 시스템화까지 될 수 있지만, 기존 보안솔루션 등을 적극적으로 활용하여 체계화 시킬 수 있다면 더욱 좋을 것이다.
* 본 기고글은 지난 2009년 9월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임. | 
