▲ 한호현(rhhan@nahs.or.kr)한국해킹보안협회 전무
서울대학교를 졸업하고, 서강대학교에서 MBA를 받았다. 한국사이베이스 컨설턴트, 현대정보기술 상무를 역임하였으며 정보통신부에서 정보보호업무를 담당했다.
정보통신기술사, 전자계산조직응용기술사, 정보관리기술사 등 정보통신 3대 분야의 기술사 자격증을 보유하고 있다. RFID HANDBOOK 등 3편의 역서가 있다.
들어가는 말
최근 들어 정보보안책임자, 즉 CISO(Chief Information Security Officer)의 중요성이 한층 높아지고 있다. 기업이나 기관에서 정보보안에 대한 전반적인 업무를 책임지는 위치를 말하는 것이 정보보안책임자이다. 이번 호에서는 정보보안책임자의 역할이 무엇이며 그 역할을 수행하기 위하여 정보보안책임자가 갖추어야 할 지식과 식견 등에 대하여 논하여보고자 한다. 아울러 정보보안책임자가 반드시 필요한 이유 등도 알아본다.
1990년대 초만 해도 정보보안이라는 용어는 그 중요성이 그다지 큰 편이 아니었다. 또한 정보보안의 의미가 지금의 정보보안이라는 것과 사뭇 달랐다.
정보보안이라는 용어가 현재와 같은 의미를 갖고 본격적으로 정보통신 분야에서 회자되기 시작한 것은 1990년대 후반이다. 단순히 컴퓨터 접근을 통제하는 것이 컴퓨터 보안으로 정의 되던 시절인 1990년대 초만 해도 컴퓨터 접근을 위한 계정과 접근 암호를 어떻게 체계적으로 관리할 것인가가 컴퓨터 보안의 전부였을 정도이다. 컴퓨터 사용자들이 계정이나 접근 암호를 다른 사람들이 추정하기 쉬운 단어나 숫자를 사용하지 않도록 통제하거나 주기적으로 접근 암호를 변경토록 관리하는 것이 컴퓨터 보안 업무의 핵심이었다. 아울러 인증과 데이터 암호화, 접근 권한 등을 어떻게 적용하고 활용할 것인가 등이 논의되기 시작했다. 1900년대의 정보보안의 가장 큰 핵심은 정보통신시스템을 접근이 허락되지 않은 사용자로부터 어떻게 보호할 것인가에 있었다.
그런데 최근 들어 기업이나 기관에서 정보보안이라는 업무가 정보보안책임자의 필요성까지 언급될 정도로 중요한 업무로 부상하고 있다.
기업의 정보보안과 관련된 비전의 수립은 물론 전략, 집행, 관리 등을 수행하여야 하며 다른 중요한 의사 결정에 있어서도 정보보안책임자의 의견이 중요한 비중을 차지하게 되었다.
정보보안의 업무뿐만 아니라 기업의 다른 보안 업무까지를 책임지는 위치인 보안책임자인 CSO(Chief Security Officer)를 두는 기업도 생겨나고 있는 실정이다. 그러나 기술적인 시각에서 살펴보면 1990년대 초와 지금의 정보보안과 비교해 보면 큰 차이를 보이지 않고 있다.
그럼에도 불구하고 최근의 정보보안에 대한 중요성이 부각되는 이유는 바로 경제적인 이유이다. 또한 최근에는 각국이 기업에 정보보호에 대한 일정 수준의 의무를 부여하는 법이나 제도를 도입하고 있다는 점도 한 몫하고 있다.
경제적 관점
정보보안이 중요한 의미를 갖게 된 것은 무엇보다도 기업의 정보통신 의존도가 커진데 기인한다. 정보통신 시스템의 정지나 오작동은 기업의 경영활동에 치명적인 영향을 주게 된다. 또한 기업의 정보통신시스템에 저장된 정보의 손실이나 변형 또한 기업의 경영에 큰 영향을 준다.
특히 기업이 보유하고 있는 개인정보나 영업기밀 등이 외부로 유출될 경우에는 기업의 신뢰도 하락 등으로 인해 기업의 생존문제에까지 영향을 주게 된다.
이러한 시각이 정보보안에 대한 중요성을 인식하는 계기가 된 것이다. 또한 해킹 등 인터넷 침해의 주된 목적이 과거 단순한 호기심 등에서 경제적 이득을 취하려는 목적으로 변하고 있다는 점도 정보보안에 기업이 큰 관심을 갖게 하고 있다.
이미 정보보안에 대해 체계적으로 관리하지 않아 발생한 피해 사례는 곳곳에서 살펴 볼 수 있다. 우리나라의 경우도 개인정보의 유출로 이미 수백억 원의 피해배상을 고객들에게 한 사례가 있다. 외국의 경우에도 신용카드 정보의 유출로 인해 수십억 원이 불법 인출되는 사례도 있다.
미국에서 내부 직원이 4억 달러에 달하는 기업의 기밀을 몰래 빼돌린 사례도 보도된 바 있다. 이와 같이 최근 기업의 정보 유출은 외부에서 내부 직원으로까지 확산되고 있는 상황이다.
이 같은 상황에서 정보보안책임자는 누구이며 무엇을 하는 지위인가를 살펴 볼 필요가 있다. 일반적인 인식으로는 정보보안책임자는 정보통신 업무와 보안 업무를 두루 잘 알고 있는 전문가가 맡아야 한다는 것이 기업의 보편적인 생각이다. 그러나 정보보안책임자의 궁극적인 역할을 이해한다면 이러한 생각이 잘못되었음을 알 수 있다. 정보보안책임자의 가장 큰 역할은 기업의 지적 자산을 보호하고 그 자산이 내부자의 유출이나 외부의 침해 등으로 인해 기업에 큰 손실이 나지 않도록 모든 방법과 수단을 강구하는 것이다.
기업의 지적 자산의 가치를 파악하여 평가하고 유출이나 침해 등으로 사고가 발생하더라도 그 피해를 최소화하여 기업의 생존이 유지되도록 할 책임도 갖고 있다. 정보통신 기술을 이용한 보안 방법은 정보보안의 일부분에 불과하다는 사실을 인식할 필요가 있다.
따라서 정보보안책임자는 기업의 최고경영자(CEO)나 최고재무관리책임자(CFO)가 맡아야 된다. 정보보안책임자는 최고정보관리책임자(CIO)와 긴밀한 협조를 통해 기업의 정보보안과 관련된 제반 업무를 처리하여야 한다.
정보보안책임자의 역할
정보보안책임자의 역할은 다음과 같이 크게 4가지로 요약해볼 수 있다. 먼저 지적 자산 가치 평가자로서의 역할이다. 정보보안책임자는 기업의 지적 자산의 종류 및 그 가치를 평가할 수 있는 능력을 갖추어야 한다. 이를 토대로 기업의 지적 자산이 내부 유출이나 침해로 기업에 어떠한 손해를 끼칠 것인가를 예측 하여야 한다. 예측된 자료를 기반으로 피해가 발생하였을 경우 이를 최소화할 수 있는 방안을 강구하여야 한다.
기업의 서비스가 중지된다면 이를 가장 빠른 시간 내에 복구할 수 있는 시스템을 구축하여야 한다. 고객에게 손해를 끼쳤다면 이를 보상할 수 있도록 보험에 가입을 하여 피해보상을 위한 재원을 미리 확보해 두어야 한다.
① 지적 자산 가치 평가
② 정보통신 인프라의 전략적 활용 촉진
③ 정보보안 전략, 정책, 표준, 기술 확보
④ 변화 관리자
정보보안책임자의 정보통신 인프라의 전략적 활용 촉진 역할은 정보보안이라는 관점에서 정보통신 인프라의 사용을 제한할 개연성을 미리 제거하는 기능이다. 이미 현재는 정보기술 인프라 시대에서 지적자산인프라가 경제활동의 중심이 되어버린 시대에서 경제활동을 영위하고 있다.
정보보안의 의미는 과거의 정보보호라는 소극적인 개념에서 이를 전략적으로 기업의 경영활동에 활용한다는 의미를 담고 있다. 자칫 정보보안이라는 이유를 들어 정보통신 인프라의 사용을 경영 활동에 제약을 가하게 된다면 기업의 경쟁력은 약화될 것이고, 이는 곧 기업의 장기 생존에 악영향을 줄 것이기 때문이다.
정보보안책임자는 기업의 정보보안 전략, 정책, 표준, 기술 등과 관련된 제반 사항을 준비하고 계획하고 실천하고 그 결과를 끊임없이 평가하는 역할을 수행하여야 한다. 기업의 비전에 맞게 정보보안 전략을 수립하여야 한다.
정보보안 전략은 기업이 처한 환경이나 법제도의 틀 속에서 기업의 비전을 구현하기 위한 틀이다. 인력과 자원을 적절하게 동원하여 최대의 효과를 얻을 수 있는 전략 마련이 필요하다. 위험을 파악하고 이를 체계적으로 방어할 수 있는 방안을 강구하여야 한다.
전략이 수립되면 이에 따른 기업의 정보보안 정책을 수립하여야 한다. 정보보안 정책은 한번 정해지면 변하지 않는 것이 아니다. 최소 분기에 1번 이상은 그 정책을 검토하고 변경하여야 한다. 그 이유는 기업의 일반적인 경영환경이 변하고 있고 여기에 정보통신기술을 이용한 해킹 등 인터넷 침해 유형이 급속도록 바뀌고 있기 때문이다. 이러한 변화에 민감하게 대응하기 위해서 가장 필요한 것이 정보보안 표준 체계의 확보이다. 정보보안은 한마디로 기업 내부 및 외부에 대한 서비스이다.
환경의 변화나 기술의 변화가 심하다고 해서 그 서비스의 방식이 변하여서는 아니 된다. 최소한의 변화를 갖고 그 서비스를 유지하기 위해서 필요한 것이 표준 체계이다.
정보보안 기술의 확보도 중요한 역할이다. 정보보안책임자는 정보보안 기술을 체계적인 서비스로 인식하여야 한다. 해킹 등 인터넷 침해기술은 하루가 다르게 변화하고 있다. 특정 시점에서 완벽한 기술은 그 시점이 지난 어느 순간에 사실상 무용지물이 되기 때문이다. 기술의 확보라는 관점에서 본다면 정보보안 업무는 끝이 없는 업무가 된다. 정보보안기술은 지속적으로 개선되며 이를 기업의 정보통신 업무에 가능한 신속하게 반영 되도록 하여야 한다.
끝으로 정보보안책임자의 가장 큰 역할 중의 하나는 변화 관리자로서의 역할이다. 정보통신기술과 경영환경은 지속적으로 변화를 한다. 이러한 변화를 빠르게 분석하고 기업에 어떻게 적용시킬 것인가를 정보보안책임자는 항시 준비하여야 한다. 정보보안책임자의 변화 관리자로서의 역할이 부각된 것은 2001년에 있었던 미국의 9.11 테러 이후라고 볼 수 있다.
특히 2000년대 초에는 DDoS, Virus, Spyware 등이 급속하게 출현하면서 변화에 신속하게 대응하지 못한 기업의 경우 큰 피해를 보게 된다. 정보보안책임자는 급속하게 변화하는 환경에서 지속적으로 새로운 방법을 생각하여야 하고, 정보보안에 대한 새로운 역할을 찾아내야 한다.
맺음말
정보보안은 수동적인 개념이 아니다. 정보보안은 앞에서 언급하였듯이 능동적이고 공격적인 개념이다. 정보보안이라는 것을 어떻게 활용하느냐에 따라 기업의 활동 속도를 개선할 수 있다. 정보보안이라는 틀 속에 갇혀 버린다면 그 기업의 앞날은 예측하기 어려울 것이다.
정보보안책임자는 그 역할을 성공적으로 수행하기가 힘들다는 평이다. 내부의 문제보다 외부의 침해가 발생할 경우 그대처가 용이하지 않기 때문이다. 이러한 이유가 정보보안 업무가 소홀히 다뤄지는 이유 중의 하나이다.
사소한 침해 사고의 경우 가능한 덮어 두려는 현상도 여기에 기인한다고 할 수 있겠다. 그러하기 때문에 정보보호책임자의 역할은 최고 경영자 수준에서 맡아야 하는 임무이다.
정보보호책임자는 정보보호담당자에 대한 끊임없는 투자를 하여야한다.
결국 싸울 수 있는 군사를 양성해야 나라를 잘 지킬 수 있다는 것과 같은 이치이다. 정보보호 담당자에 대하여 교육과 관련경험을 쌓게 하여야 한다. 외부의 담당자와 지속적인 교류는 관련 경험을 쌓는데 큰 도움이 된다. 정보보안 사고에 대한 책임에 대해 조직적인 역할 정의가 필요하다. 단순히 담당자의 잘못으로 정의하는 것은 문제가 있다. 침해 사고에 대응 및 피해 책임은 조직이 맡도록 해야 한다. 물론 여기에는 담당자가 최대한의 노력을 기울였다는 전제 조건이 따른다.
정보보안책임자는 우리 사회를 건전하게 발전시키는 사명을 갖고 있다. 개개의 기업이 잘 갖추어진 정보보호 체계로 안전하고 건강한 기업 활동을 하게 된다면 그 사회는 내부 정보 유출, 해킹 등으로부터 자유로운 분위기가 된다.
역사적으로 한 사회는 그 사회를 지켜내기 위해 다양한 수단을 강구한다. 훌륭한 무기를 갖추는 것도 하나의 방법이다. 그러나 무엇보다도 중요한 것은 그 사회 전체가 그 사회를 지켜내려는 노력이다. 그 노력 속에 체화된 힘이 가장 큰 무기였다는 사실을 깨달아야한다.