관리적 보안의 중요성 증가
관리적 보안, 선택 아닌 필수
최근 우리 사회에서는 사회적 이슈가 될 수 있는 큰 사고들이 발생하고 있다. 그리고 현재 진행 중인 보안 사고들은 기업 내에서 해결 가능한 사고의 범위를 훨씬 뛰어 넘어서 범죄로 연결되고 있다. 불과 5년 전에는 이와 같이 범죄와 직결되는 보안사고가 사회적으로 큰 위협이 되지 않았음을 상기해 볼 때, 현재 우리가 살고 있는 환경의 어떠한 변화로 인해 사회적 문제로 인식되는 보안 사고가 발생하고 있는 것이며, 나아가서 변화된 환경에서 정보보안을 위해 준비할 수 있는 대응 방안이 무엇인지를 심각하게 고민해 볼 때이다.
지난 2월 15일 스페인 바르셀로나에서는 '편리성과 고성능'을 기조로 한 '세계 스마트 대전'이 개최되었다. 이 행사에는 세계 굴지의 모바일, 정보통신 기기 생산업체는 물론 우리나라의 여러 기업들도 참여했다.
필자는 이날 개최된 세계 스마트 대전을 바라보면서 스마트폰, Social Network 등을 매개로 하여 전 세계가 하나의 Network로 연결되고 있음을 느낄 수가 있었다. 즉, 우리가 살고 있는 환경이 조직이나 국가의 경계가 무의미할 정도의 스마트 환경이 구축되고 있다는 것이다.
정보통신을 기반으로 하여 고도로 발전한 기술에 모바일 기기의 경량화를 접목하는 개념으로 시작된 현재의 스마트 환경이 주는 최대의 장점은 첫째로 인간에게 이동의 자유를 주었고, 둘째로 스마트 환경에 접목 가능한 새로운 형태의 서비스를 등장시켰으며, 셋째로 정보 이용을 위한 가용성을 크게 확장시킨 것이라고 할 수 있다.
뿐만 아니라 손 안의 PC라 불리는 고성능 스마트폰의 출시, 추적기술과 물체 인식기술을 결합한 증강현실(Augmented Reality), 가상화와 분산처리를 통해 대규모의 IT 자원 Pool을 구축하여 언제 어디서나 자료와 정보의 이용 및 공유가 가능한 클라우드 컴퓨팅 서비스, IT 기술과 전력 공급망을 결합한 스마트 그리드 및 개방형 SCADA 시스템, 사람과 사람 간의 통신 개념을 뛰어 넘어 사람(Men)과 사물(Machine) 또는 사물(Machine)과 사물(Machine) 간의 통신을 가능하게 한 사물지능(M2M)통신 등은 스마트 환경으로 인해 구축된 편리성의 측면이라고 할 수 있다.
이처럼 우리가 살고 있는 환경은 과거와는 분명히 다르게 변화하고 있다. 이러한 변화의 가장 큰 장점은 인간이 누릴 수 있는 편리성의 확장과 이 편리성을 최대한 이용할 수 있도록 생산된 정보통신 기기의 고성능화일 것이다. 그러나 이렇게 구축된 스마트 환경에서 예상치 못한 대형 보안 사고와 사이버 범죄가 발생하고 있는 현 시점에서 우리가 간과하고 있는 것이 없었는지를 한 번 생각해 볼 필요가 있다.
급속도로 발전한 IT(Information Technology)에 기반을 두고 성장한 현재의 스마트 환경은 '사용자의 편리성'에는 상당히 큰 비중을 둔 반면 '보안성'에 관한 관리적 고려에는 상대적으로 미흡했던 부분이 초래한 부작용 내지 결과들이 현재 사회적인 문제로 대두되고 있다. 다르게 표현한다면 스마트 환경으로 구축된 편리성의 이면이 바로 조직과 기업을 위험에 빠뜨릴 수 있는 중대한 위협 사항으로 떠오르고 있다는 의미다. 현재 보안 위협사항으로 나타나고 있는 것은 SNS 자체의 취약성, 개인정보 유출과 사생활 침해, 국가 기간망 및 금융망을 목표로 하는 DDoS, 국가 간 사이버 공격, 기업 비밀 유출, 업무용으로 배포된 스마트폰으로 인한 보안 위협, SNS에서 수집한 정보를 악용한 국가 기관망 또는 개인망 침투 위협 등이 있다.
스마트 환경에서 보안 위협 사항으로 떠오르고 있는 구체적인 예를 들어 보면, SNS의 경우에 단연 편리성을 빼 놓고는 말을 할 수가 없을 정도로 스마트 환경을 대변하고 있다. 게다가 전 세계적으로 많은 이용자를 보유하고 있어서 정보의 원천이 다양해졌다는 장점이 있을 뿐만 아니라 네트워크를 통한 신속한 정보 전파가 가능함은 물론 짧은 URL 등 변형 주소 사용이 용이하다는 장점이 있다. SNS가 가지고 있는 장점은 실로 매력적이다.
그러나 이러한 장점이 있는 SNS는 상대방을 검증할 수 있는 수단이 없다(2011년 2월 15일 영국 언론 중재위원회에서는 "트위터 메시지는 사적(私的)이지 않다"는 결정을 내렸다. 즉, 트위터 등에 기재된 내용에 대해서는 그 내용이 설령 민감한 정보라고 하더라도 보호의 대상이 아니라는 의미다. 이런 결정이 내려질 수 밖에 없는 이유는 SNS 자체에 자기정보 공개결정 기능이 없기 때문이며 모든 정보는 공개됨을 전제로 작성된다는 사실을 작성자가 알고 있는 상태에서 작성했기 때문이다. 이 결정을 반대로 해석하면 만일 SNS에 프라이버시 기능이 있다면 이 기능을 이용하여 작성된 내용에 한해서는 사적 보호를 받을 수 있다는 의미다). 때문에 사회공학(Social Engineering) 공격에 상당히 취약한 구조를 가지고 있으며 SNS의 정보 공개성이란 특성을 고려해 볼 때 공개적으로 공유된 정보가 사이버 범죄에 악용될 우려가 상당히 높다. 게다가 전 세계적으로 많은 이용자를 보유 하고 있고 사진이나 동영상 등으로 쉽게 클릭을 유도할 수 있는 특성은 DDoS 공격을 위한 사전 행위로서의 Trojan 유포에 최적의 경로로 악용될 가능성이 높다.
다른 예를 들어 보면 스마트 그리드 구현을 위한 스카다 시스템의 개방을 들 수 있다. 스마트 그리드(Smart Grid)란 기존의 전력 공급망에 IT 기술을 접목하여 전력 공급자와 전력 소비자가 양방향으로 실시간 정보를 교환함으로써 전력 에너지의 효율성을 높이는 차세대 전력망이다. 이러한 개념을 실현하기 위해서 기존에는 폐쇄형으로 운영되어 오던 SCADA(Supervisory Control And Data Acquisition) 시스템을 개방형 SCADA 시스템으로 운영해야하는 것이다.
물론 전력 공급량을 조절하여 에너지 효율을 극대화하는 시도는 에너지 부족 국가로서 당연히 추구해야 하는 미래 전략이다. 그러나 SCADA 시스템은 보안 상의 안전을 고려하여 해당 조직의 네트워크와는 단절된 폐쇄형 시스템으로 운영하는 데에는 그만한 이유가 있다. 그런데 스마트 그리드에서는 전력 공급자와 전력 소비자가 양방향 통신을 해야 하므로 SCADA 시스템을 개방형으로 전환해야 한다. 극단의 관리적 보안 체계 수립이 없는 SCADA 시스템의 개방 자체로 상당히 큰 위협이 될 수 있다. 왜냐하면 SCADA 시스템은 조직 생존과 직결된 핵심망이거나 국가와 사회의 기간망인 경우가 대부분이기 때문이다.
스마트 환경으로 변화된 사항들은 조직이나 기업 차원에서 단순히 위협이라고 정의할 수 없는 범죄 유형의 변화와도 직결되어 있다. 즉 스마트 환경으로 인해 구축된 여러 연결 경로를 악용하는 범죄가 증가하고 있으며, 이러한 범죄로 인해 어마어마한 사회적 비용을 지불해야 하는 상황에 이르렀다.
과거의 사이버 범죄의 경우에는 단순히 능력 과시(Ability show-off)를 하기 위해 이루어졌기 때문에 해킹을 당한 조직은 해킹을 당했다는 사실을 모르는 경우도 있었다. 그러나 현재의 사이버 범죄는 명확한 금전적 이득(Clear monetary goal)을 목적으로 이루어지기 때문에 해킹을 당한 회사는 가장 먼저 해킹 사실을 인지하고 있다. 또한 사이버 범죄의 대상을 보면 과거에는 시스템을 대상으로 공격이 이루어졌는데, 현재는 시스템 내에 존재하는 고객 정보나 기업 정보를 대상으로 이뤄지고 있다. 왜냐하면 공격자의 입장에서는 시스템 자체를 공격하는 것보다 시스템 내에 존재하는 고객 정보나 기업 정보를 확보하는 것이 금전적 이득에 가치가 있기 때문이다.
뿐만 아니라 그 방법도 달라졌다. 과거에는 직접 공격(Attacking Directly)이 이루어졌다면 현재는 우회 경로(Use a roundabout path)를 이용하고 있다. 과거 사이버 범죄의 경우에는 자신의 능력을 과시하는 것이 목적이었고 또 범죄성에 관한 인식이 부족했으나, 현재에는 해킹의 목적이 금전적 이득이며 이러한 행위가 범죄임을 알고 있기 때문에 추적 가능성을 최소화하기 위해서 우회 경로를 사용하는 것이다.
지난 4월 미국에서는 RSA 사의 OTP(One Time Password) 생성기가 해킹을 당하는 사건이 발생했다. One-Factor로서 사전공격(Dictionary Attack), 재생공격, 스니핑 등에 가장 안전하다고 여겨진 지식 기반의 Password 인증 기법인 OTP마저도 해킹을 당한 것은 충격이 아닐 수 없다. 다른 나라의 일이라고 쉽게 받아 들일 문제가 아니다. 왜냐하면 우리 나라의 여러 조직과 기업에서 RSA 사의 OTP 발생기를 사용하고 있기 때문이다.
반면에 국내에서는 올해 들어서만 금융기관을 목표로 한 두 건의 대형 보안사고가 발생했다. 이러한 유형의 보안 사고는 단순히 사고의 범위를 뛰어넘어 범죄의 수준이며, 현재 수사가 진행 중이다. 그리고 작년부터 이용자가 폭발적으로 증가한 SNS(Social Network Service)를 악용한 악성코드 유포 사례도 발생하고 있다. 뿐만 아니라 트로이목마도 과거에는 PC를 대상으로 전파되었으나 현재는 스마트폰(또는 모바일)을 대상으로 전파되면서 스마트폰 자체가 좀비폰으로 악용되기 시작했다. 그렇다고 해서 지금까지 조직과 기업에서 이러한 위협에 대해서 대응 방안을 준비하지 않은 것은 분명히 아닐 것이다. 즉, 조직의 특성에 맞게 위험을 식별하고 이에 대한 대응 방안으로서 여러 가지 보안 대책을 강구하였을 것이다. 그럼에도 불구하고 조직과 기업을 노리는 위협은 증가하고 있고 이러한 위협이 실제로 조직에서 발생될 경우 그 위험의 수치가 보안 대책으로는 감당할 수 없는 정도의 수치로 발생되는 이유에 대해 심각한 고민을 해 보아야 한다.
그리고 불과 5년 전까지만 하더라고 생각할 수 없었던 위협 사항이 현재 나타나고 있다는 사실로 추정해 보건대, 향후 몇 년 후에 지금 생각하지 못하는 위협 사항이 나타나지 않는다고 보장할 수 없는 상황이다. 따라서 가까운 미래에 발생 가능한 위협에 대해 현재 시점에서 선택할 수 있는 보안 대책은 어떤 것이 있는지 특히 자산이 가지고 있는 보안 취약성을 완화하기 위한 방법은 어떤 것이 있는지에 대한 전문가적으로 고려해야 할 시점에 이르렀다고 본다.
일반적으로 위험(Risk)을 산출하기 위해서는 먼저 조직이 보유하고 있는 핵심 자산(Assets)을 식별하고 이 자산이 가지고 있는 취약점(Vulnerability)을 파악하며 이러한 취약점을 노리고 있는 내부 혹은 외부의 위협(Threats)을 확인해야 한다. 이러한 공식으로 위험을 산출하는 이유는 조직의 입장에서 위협이 되는 사항은 조직이 보유하고 있는 핵심 자산의 취약점을 노리는 사항이기 때문이다. 위험이 산출되면 위험을 낮추기 위해서 이 세 가지 속성의 가치 내지는 발생 가능성을 낮추어야 하는데, 기업의 목적상 핵심 자산의 경우에는 그 가치를 낮추는 것보다는 오히려 가치를 높여야 할 것이므로, 결국에는 나머지 두 속성인 내부 취약점과 위협을 낮추는 방식으로 위험이 관리되며 보안대책이 수립되고 있다.
먼저 조직이 보유하고 있는 자산(Asset)은 대표적으로 직원, 정보, 시스템 등이 있고, 이러한 핵심 자산이 가지고 있는 취약점을 파악한 후에 이에 대한 공격이 발생했을 때 적용할 수 있는 대응방법을 미리 강구하는 것이 현재까지의 보안 대책이다. 그 속을 좀 더 들여다 보면 보안 대책의 대부분은 기술적 보안에 초점이 맞추어져 있으며 가용 예산이 허용되는 범위 내에서 여러 가지 보안 장비를 구축하였고 이를 운용하기 위한 실무자를 확보하는 방식으로 이루어져 왔다.
이러한 방식이 나쁜 방식이라는 것은 아니다. 다만, 과거에는 이러한 기술적 보안 방식으로 조직 내부에 존재하는 취약점을 식별하고 발생 가능한 위협에 대응하는 데 효과가 있었지만, 지금은 기술적 보안 만으로는 조직이 원하는 수준으로 내부 취약성을 낮추고 발생 가능한 위협에 대응할 수 없다는 한계가 있다. 만약 기존의 기술적 보안 방식이 적절한 효과를 발휘하고 있었다면 현재 우리 사회에서 진통을 겪고 있는 여러 보안 사고나 사이버 범죄는 발생하지 않았어야 했다.
더욱이 기존의 위험 관리 방법에서 수행된 핵심 자산의 식별 과정에서 내부 직원이 수행하는 업무상의 취약점을 간과하였고 이러한 부분을 현재 침입자나 사이버 범죄자가 가장 많이 악용하고 있다. 조직에서 생산한 정보(Information)나 조직 운영에 필요한 시스템이 조직의 핵심 자산임에는 틀림이 없다. 그래서인지 기존의 위험관리는 대부분이 기술적 보안 대책 수립으로 이루어졌다.
그러나 조직이 보유하고 있는 여러 핵심 자산 중에 가장 중요한 자산은 바로 '내부 직원'임을 상기할 필요가 있다. 기술적 보안 대책 수립으로 인해 조직이 얻을 수 있는 최대의 이점은 보안 위협 사항의 '식별과 탐지'일 것이다. 그러나 보안 위협 사항의 식별과 탐지만으로는 조직의 위험관리 목적을 충족할 수는 없고 식별 및 탐지된 보안 위협 사항에 대한 '판단과 검토'가 이루어져야만 위험 관리의 목적을 충족할 수 있다. 판단과 검토는 기술적 보안으로 하는 것이 아니라 내부 직원들의 일상 업무와 비상 업무를 통한 관리적 보안으로 진행된다.
새로운 환경으로 변화하고 있는 현 시점에서 발생하고 있는 위협들을 기술적 보안만으로는 대응할 수 없다는 점은 이미 사회적인 공감대가 형성되고 있다. 그렇다면 조직과 기업의 입장에서는 새롭게 등장하고 있는 위협에 대응하기 위해 어떤 대응책을 선택할 수 있을까? 현재 상황에서 필자가 생각하는 위험 관리 방안은 내부 직원의 일상 업무와 비상 업무 프로세스 내에 존재하고 있는 취약점을 식별하여 이에 대한 관리적 보안을 강화하는 것이다. 이를 위해서 내부 직원이 가지고 있는 업무상의 취약점을 낮추기 위해 어떠한 인식을 하였고 어떠한 조치를 취했는지 생각해 볼 필요가 있다.
앞에서 살펴 본 스마트 환경에서 새롭게 등장하고 있는 보안 위협은 위협 그 자체를 완화시킬 수는 없기 때문에 위협이 노리고 있는 자산의 취약점을 낮추는 방법으로 위험이 관리되어야 한다. 이러한 위험관리에 있어서 직원들이 평상시 수행하고 있는 위험관리 프로세스에 공백이 있는지에 관한 위험 평가가 실행되어야 한다. 또한 비상시 내지 보안 사고 발생 시 수행하는 업무 프로세스에서 관리되지 못하고 있는 취약점이 존재하는지에 대한 재평가도 병행되어야 한다.
스마트 환경에 걸맞게 현재 우리가 누리? 생각해보면 조직과 기업에 해를 가하려는 공격자가 사용하는 기술도 고도화된 기술이라는 점을 쉽게 파악할 수 있다. 공격 기술의 고도화로 인해 예방적 통제로써 기술 보안에 추가적인 통제가 수반되어야 하고 이런 상황은 앞으로도 계속될 것이다. 결국 기술적 위협을 기술적 보안으로 대응하는 격이다. 또한 IT를 기반으로 하는 기술의 발전은 인간이 소화하기 힘든 수준으로 빠르게 발전하고 있는데 선 공격 후 방어의 매커니즘으로 이뤄지는 기술적 보안으로는 스마트 환경에서 나타날 수 있는 위협에 적절하게 대응할 수 없다는 사실도 간과해서는 안 된다. 그렇기 때문에 관리적 보안이 거듭 강조되는 것이다.
앞서 살펴본 것처럼 기술적 보안에 초점이 맞춰진 위험관리와 보안 대책에는 결국 기술적인 한계가 발생한다. 그리고 기술의 발전 속도에 비해 사람이 기술적 위협을 인식하는 속도는 훨씬 느리다는 점을 고려해 볼 때 기술적 위협을 기술적 보안으로 대응하는 것도 이제는 부족하다. 그래서인지 정보 보안의 관점에서는 관리적 보안의 중요성이 점점 더 커지고 있다. 특히 고도화된 기술 사회에서는 기술적 운영이나 기술 기반 시스템의 보호를 위한 관리적 보안의 강화가 필수적으로 선행되어야 함이 강조되고 있다. 관리적 보안은 조직과 기업에서 구현할 수 있는 예방적 통제로서 정보 보안의 시작임과 동시에 마무리이기 때문이다.
관리적 보안의 시작은 조직에 적용될 '보안 정책'을 수립하는 것이다. 보안 정책을 수립해야 할 책임(Due Care)은 조직의 경영진이 할 일이며, 경영진이 보안 정책 수립을 하지 않아서 발생한 보안사고에 대해서는 전적으로 경영진이 법률적 책임을 진다. 조직의 모든 직원들은 경영진이 수립한 보안 정책을 준수해야 할 책임(Due Diligence)이 있으며, 보안 정책을 위반하는 경우에는 도덕적 비난을 받게 된다.
기술적 보안에만 의존하기 보다는 정보 보안을 구현하기 위하여 먼저 관리적 보안을 적절하게 수립한다면 조직의 내부 직원들에게는 '나에게 보안 정책 준수에 대한 책임이 있구나'라는 정서적 반응을 일으킬 수 있으며, 조직의 소속원으로서 정보 보안에 대한 동기 부여를 할 수 있다. 이처럼 보안 정책 수립으로 나타나는 내부 직원의 정서적 반응과 동기 부여는 조직의 가장 중요한 자산인 내부 직원이 스스로 업무상의 보안 취약점을 낮출 수 있게 만드는 최고의 방법이 될 수 있다.
한편 국내에서 금융기관을 목표로 하여 발생한 보안 사고 및 사이버 범죄의 사례를 보면 내부감사 및 수사 과정에서 보안 사고에 대응하기 위한 기술적 수단의 적절성보다는 보안 사고나 사이버 범죄를 예방하기 위한 관리적 보안으로서의 보안 정책 수립과 그 시행 여부를 주의 깊게 파악하고 있다. 즉, 경영진에게 부여된 관리적 보안에 과실이 없었는지 그리고 내부 직원에게 부여된 정보 보안 업무에 관리적 과실이 없었는지를 중요하게 판단하고 있다는 의미다. 이를 다르게 표현한다면 기술적 보안 대책을 아무리 많이 구현한다고 해도 보안 사고는 발생할 수밖에 없을 것이고, 이런 상황에서 조직의 경영진과 내부 직원이 수행한 관리적 보안의 적절성에 따라 그 책임의 유무 또는 책임의 가감이 결정될 수도 있다는 의미가 된다. 그리고 예방적 통제로 대응하지 못한 보안 사고나 사이버 범죄는 예방의 범위를 넘어선 것이기 때문에 탐지 및 교정 통제로서 사이버포렌식 기법이 적용되는데, 이 단계에서 조직의 관리적 보안 미비점이 발생된다면 조직에 해를 가한 당사자를 징계하거나 처벌하는 것은 물론 관리적 보안에 과실이 있는 자도 책임을 진다.
인류의 경험으로 볼 때 대형 사고 직전에는 항상 작은 전조 징후가 존재했음을 알 수 있다. 이러한 경험을 토대로 현재의 보안 취약점을 식별하고 이에 대한 보안 대책을 수립해야 하는 것이다. 대형 사고 직전에 나타나는 전조 징후의 식별 내지 탐지는 기술적 보안으로 가능하므로, 이러한 징후와 연관된 관리적 보안의 공백이 있는지를 내부 직원이 재검토함으로써 위험의 발생 손실을 최소화할 수 있고, 설령 위험이 발생하지 않는다고 하더라도 관리적 보안의 재검토로 인해 보안 대책에 투입될 자원의 누수를 방지할 수 있을 것이다. 기술적 보안과 비교하면 조직과 기업에서 실천할 수 있는 관리적 보안 강화 방법은 복잡하지 않으면서도 비용도 낮다. 그럼에도 조직 내에 존재하는 핵심 자산의 취약성을 낮추는 데에는 기술적 보안보다 관리적 보안이 더욱 효과적이며, 법률의 강제사항이나 컴플라이언스 준수에도 도움이 된다. 이처럼 효율적인 보안 대책인 관리적 보안을 조직 내에서 좀 더 강화할 수 있는 방법을 알아보자.
● Top-Down Approach
조직 내에서 효과적인 보안 대책을 수립하는 과정에서 가장 큰 장애물은 최고 경영진의 지원 부족이다. 따라서 조직과 기업에서 성공적인 관리적 보안을 수립하기 위해서는 최고 경영자의 적극적인 도움과 실천의지가 있어야 한다. 즉, 조직 내에서 정보 보호를 위한 최우선 사항인 보안 정책 수립을 통해 조직 내 모든 직원들에게 정보 보호에 관한 경영진의 목소리를 듣게 하고 정보 보호에 관한 경영진의 의지를 정책에 반영하여야 한다. 이렇게 수립된 조직 보안 정책은 조직의 모든 직원과 공유돼야 하며, 조직의 소속원으로서 보안 관리에 대한 책임도 공유되어야 한다.
● 최고 위험관리자(CRO)와 최고 정보보안관리자(CISO)의 협업 체계 구축
금융권이나 증권사 등에는 최고 위험관리자(CRO, Chief Risk Officer)를 통해 조직에 악영향을 끼칠 수 있는 위험을 관리하고 있으나, 정보 시스템에 대한 지식이 부족하거나, 일상적인 정보보호 프로세스에 관심이 적을 수 있다. 따라서 위험 관리 부서에서는 업무상 관리되지 못하는 공백을 최소화하기 위하여 최고 CRO와 최고 정보보안관리자(CISO, Chief Information Security Officer)의 정보보안 업무의 협업 체계를 구축하여 발생 가능한 위험을 전사적으로 사전 관리해야 한다.
● 보고 체계 재정립
대부분의 조직에서는 정보 보안의 문제를 정보 관리 관점으로만 이해하고 있어 조직에 악영향을 끼칠 수 있는 보안 관련 사항을 운영 관리자에게 보고하지 않는다. 즉, 정보 보안의 문제를 IT의 문제로만 인식한다는 것이다. 그러나 모든 업무의 과정에서 IT 의존도가 더욱 높아지고 스마트 환경으로 인해 보안 취약점이 증가된 상황에서는 정보 보안 문제는 기업 존폐의 중요한 문제로 연결되므로 정보보안을 기업 운영의 차원에서 다루어야 한다. 이를 위해서는 발생 가능한 위협 및 위험의 정도에 따라 조직 내에서 상황을 보고하고 적절한 지시를 수령할 수 있는 보고 체계가 정립되어야 한다. 예를 들면 위험 평가의 결과에 따라 보안 대책을 구현하는 데 상당한 비용이 따를 경우 보안 관리자는 최고 경영자는 물론 이사회에도 직접 보고하여 보안 대책 및 필요 예산의 정당성을 보고할 수 있는 체계가 마련돼야 한다. 반면에 정보 보안 사항을 보안 관리자가 조직의 최고 경영진에게 직접 보고를 하게 되면 이러한 보고를 근거로 보안 정책이 수립될 것이므로 정보 보안의 민감성과 중요성을 조직 전체에 인식시킬 수 있을 것이다.
● 인적 보안 관리
이미 조직 내에서 가장 중요한 자산은 단연 내부 직원이라 강조했다. 직원 관리는 단순히 인사 관리의 개념을 넘어서 이뤄져야 한다. 즉, 채용 전 단계에서부터 입사 지원자의 배경을 조사하고 교육 기록을 검증해야 하며, 특히 직원 채용 결정 시에는 반드시 기밀유지동의서(NDA, Nom-Disclosure Agreement)에 해당 직원의 서명을 받아야 한다. 이 기밀유지동의서는 직원의 행동을 제한하려는 목적이 아니라 직원으로서 준수해야 할 보안 책임을 공식적으로 인정받기 위해 작성되고 서명되는 것이다. 따라서 기밀유지동의서를 통해서 조직은 조직 전체의 보안 책임을 공식적이며 절차적으로 부여할 수 있으며, 직?에 관해서는 보안 책임이 없어 그 부분에서는 보안 책임으로부터 업무상의 자유를 향유할 수 있다.
● 직무기술서를 통한 변화관리 프로세스 유지
조직이 보유하고 있는 자산의 형태는 상당히 많을 것이다. 그 중에서도 가장 많은 변화를 하는 자산이 바로 내부 직원이다(예: 입사, 승진, 휴가, 파견, 업무변경, 이직 등). 따라서 일상적인 업무뿐만 아니라 보안 책임에 관한 사항이 체계적으로 유지되도록 하고 설령 담당 직원이 변경되더라도 보안 책임이 시기 적절하게 인계될 수 있도록 변화관리 프로세스를 관리하여야 한다. 인적 보안과 관련하여 가장 좋은 변화관리 프로세스는 직무기술서(Job Description)를 활용하는 것이다. 즉 직무기술서에 일상적인 업무와 함께 비상 시 또는 보안 사고 발생 시 수행해야 하는 보안 관리 업무를 명확하게 기재해 둔다면, 직원이 교체되더라도 일상업무와 비상업무에서의 보안관리는 지속적으로 연계될 수 있다.
● 주기적인 보안 인식 교육을 통한 태도 개선
정보보안에 있어서는 사람이 가장 중요한 요소이다. 즉, 조직에서 가장 중요한 자산이면서도 가장 취약한 부분이 바로 내부직원이며, 정보보안을 전사적으로 구현하는 데 가장 중요한 연결점이 고위 경영진이므로 결국 정보보안은 사람으로 귀결되는 것이다. 따라서 조직 구성원에 대한 주기적인 보안 인식 교육이 실시되어야 하며 이러한 교육의 대상자는 관리자보다는 실무자나 보안의 최전선에 있는 물리 보안 담당자, 청소 용역자, 전화 상담원 등에 초점이 맞추어져 한다. 한편 보안 실무자가 위탁교육이나 파견의 형식으로 보안 인식 훈련에 참여한다면 해당 직원의 부서에는 이 직원이 보안 인식 훈련에 전념할 수 있는 지원이 필수다. 보안 인식 훈련으로 습득한 지식은 일상 업무나 비상업무 중에서 발생 가능한 보안 사고의 상황에서 보안에 대한 직원의 태도를 개선하는 데 상당한 효과가 있으며, 이러한 직원의 태도 개선은 결과적으로 조직의 보안 구현에 결정적인 동인(Driver)으로 활용된다.
현재의 스마트 환경이 아우르는 분야에서 기술의 발전은 사람이 다 소화하지 못할 정도로 발전하고 있다. 특히 스마트 환경으로 시간과 장소의 구애를 받지 않고 정보 접근 및 정보 이용이 가능해 졌으며 소속 조직이나 한 국가 단위를 뛰어 넘어 전 세계가 하나의 네트워크로 연결되어 정보의 원천도 방대해졌다. 유비쿼터스 시대를 상징하는 촘촘한 네트워크가 세계적으로 형성되어 있고, 여기에 고성능 PC, 스마트폰, 태블릿 PC의 보급 속도도 점점 빨라지고 있다. 그러나 앞서 살펴 본 보안 위협 사항들과 보안 취약점을 완화하는 것은 사용자나 내부직원 개인의 입장에서 해결 가능한 것이 아니다. 조직과 기업에서 먼저 보안 취약점을 낮추기 위한 보안 대책으로서의 관리적 보안이 선행하여야 한다. 그렇지 않다면 보안 사고 발생 시 판단 기준이 없게 될 것이며 사고에 대한 피해 구제를 위한 더 많은 비용을 지불하게 될 것이다.
기술의 발전으로 누릴 수 있는 장점이 있는 반면 역기능도 존재한다는 것을 잊어서는 안 된다. 정보통신기술이 주는 편리성의 이면에는 이 편리성과 관련된 보안 취약점들이 마치 동전의 양면처럼 공존하고 있는 것이다. 편리함을 버릴 수도 없고 보안성을 버릴 수도 없지만, 중요한 것은 이 두 속성 중에 한 가지 속성에만 심취해 있어서는 안 된다는 것이다. 이제 우리가 살아가는 환경의 구조가 변화되었다. 한 기업이나 한 국가 단위의 경계가 무의미할 정도로 정보가 흐르는 경로가 전 세계로 통합되었다. 이러한 스마트 환경에서 내가 소속된 조직과 나의 국가에서 필요한 대책이 무엇인지를 고민해 볼 수 있는 계기가 되기를 바란다.