위험관리솔루션을 통한 정보보호 관리체계 운영지난 몇 년 간 많은 조직에서 수행된 ‘정보보호 관리체계 구축’을 위한 프로젝트에 구성원으로, 때론 입회인으로 참여해왔다.

프로젝트 수행하면서 ‘Best Practice’와 실제 기업 환경과의 차이를 접할 때마다 정보보호 관리체계 운영에 대한 의문점을 갖곤 한다. “이게 잘 운영이 될까? 당장 6개월 동안의 운영에는 문제가 없을까? 몇 해 지나면 흐지부지 되는 건 아닐까?”

보통 기업의 보안 담당자는 정보보호 관리체계 구축 프로젝트를 진행하기 위해서 구축의 필요성을 담당 임원, 때로는 최고 경영층에 수시로 보고 하는 것은 물론이고, 프로젝트 예상 비용이나 프로젝트 업체에 대한 시장의 평판을 꾸준히 알아보며, 효과를 극대화시키기 위해 필요한 조직 내부 항목들을 정리하고, 프로젝트 진행을 위한 공간을 마련하는 등 많은 준비작업을 갖는다.

프로젝트가 시작된 후에는 진행 기간 내내 비용에 대한 압박을 받는 동시에, 투입된 예산에 걸맞은 수준으로 프로젝트의 가시적인 성과를 도출하기 위해 전전긍긍 한다. 결국 프로젝트를 통해 조직이 현재 가지고 있는 취약점들을 파악하고, 이를 해결하기 위해 제시된 프로세스들을 수립함으로써 정보보호 관리체계를 구축한다. 필요에 따라서는 많은 홍보가 이루어진다.

“보안은 프로세스다”라는 말에서처럼 정보보호 관리체계의 구축은 구성원들에게 보안 프로세스 준수에 대한 많은 추가 업무들을 요구한다. 이러한 부분들로 인해 처음 기획 때와는 다르게 정보보호 관리체계의 유지가 쉽지 않다. 특히 요즘처럼 본인 직무에 대한 부담이 높은 때에, 추가 업무를 가중시키는 듯한 보안업무에 대한 협조는 쉽지 않다. 그나마 공감대가 잘 형성된 조직에서는 높은 당위성에 호소하여 적극적인 참여를 기대할 수 있지만, 그렇지 못한 경우에는 구성원들의 반발이나 무시가 많고, 정보보호 관리체계 운영을 위한 기본 요건을 맞추려는 보안 담당자들의 노력을 참으로 어렵게 만든다. 이러한 이유들로 인해서, 구성원들의 보안의식을 고취시키기 위한 '변화관리'가 중요한 도구로 새로이 이슈화되는지 모르겠다.

일반적으로 정보보호 관리체계의 가장 근간이 되는 것은 ‘위험 분석’이라고 하는 일련의 프로세스이고, 위험 분석의 기초가 되는 것이 ‘자산 분석’, 즉 자산 목록의 작성이다. 위험 분석 프로세스는 특히나 현업의 참여가 많이 필요한데, 자산 목록의 경우 기본적으로 정보자산의 발생 부서에서 작성을 하도록 하고 있어 현업에 적지 않은 부담이 된다. 따라서 구성원의 자발적 참여가 높지 않은 조직에서는 자산 목록의 갱신이 정보보호 관리체계의 유지를 위한 큰 걸림돌 중 하나이다. 더욱이 자산분석을 개별 전자파일, 개별 보고서와 같이 깊이 있게 실시한 곳에서 자산 목록 갱신은 경영층의 지원 없이는 불가능할 수도 있다.

올해 초 제법 규모가 큰 제조 업종의 모 회사에서 보안 컨설팅을 수행한 적이 있다. 두 곳 이상의 지역에 사업장을 가지고 있는 회사는, 최신 제조 기술에 대한 보안이 중요한 이슈였고, 경영층에서도 보안을 중요한 부분으로 판단을 하여 아낌없이 지원을 해주었다. 당연히 연구소를 대상으로 정보보호 관리체계가 구축 되어 운영에 대한 충분한 노하우가 있었으며, 금번의 컨설팅을 통하여 전 사업장으로 구축 범위를 확대하려고 하였다. 여느 프로젝트에서와 마찬가지로 담당자의 보안운영과 관련한 아이디어를 들을 수 있었는데, 전 사업장으로 확대를 위한 중요 이슈 중 하나가 자산 분석, 위험 분석에 대한 시스템화였다.

담당자는 정보보호 관리체계의 운영에 있어 가장 힘들다고 판단했던 자산 분석, 위험 분석 관련 프로세스를 시스템화 하였다. 그 결과 전국에 걸쳐 있는 사업장에서 각 부문별 보안담당자들은 쉽게 접근하여 표준화된 프로세스로 위험 분석을 실시할 수 있을 것으로 예상된다.

조직 내부의 프로세스적인 통제와 더불어 시스템화 된 솔루션은 체계적인 보안관리에 많은 도움을 준다. 특히 위험관리 솔루션의 구축은 시행착오를 통한 조직의 거부감을 최소화하기 위하여 정보보호관리체계에 대한 지식과 회사의 조직구조 등 경영환경이 충분히 고려된다면, 단순 반복적인 업무를 자동화 하여 회사의 보안 활동에 많은 수고를 덜게 해주는 훌륭한 도구가 될 것이다.

* 글 | A3Security 컨설팅사업본부 이남규 수석 컨설턴트

* 본 기고글은 지난 2009년 5월 에이쓰리시큐리티 뉴스레터를 통해 공개된 자료임.