"IT 일부라는 고정관념 깨야 보안이 산다"

국내의 경우 기업들 IT예산에서 보안이 차지하는 비중은 글로벌 평균 이하다. 금융정보유출 사고를 낸 카드사 3사만 봐도 IT예산 중 보안예산은 금융감독권 권고안인 5%에 못미치는 3% 수준에 불과한 실정이다.

보안에 대한 투자를 늘려야 한다는 얘기가 계속나오고 있지만 현장 상황이 크게 바뀌고 있는 것 같지는 않다.

그래서일까? 보안을 IT라는 테두리에만 가둬서는 더이상 답이 없다는 얘기가 들린다. 보안을 IT의 일부로 바라보는 시각에서 벗어나, 비즈니스로 바라봐야 한다는 것이다.

글로벌 기업들 사이에선 이 같은 인식이 이미 퍼지기 시작했다. IT를 넘어 마케팅, 영업 등 현업부서들도 비즈니스를 위해 위험관리 차원에서 보안을 다루고 있다는 얘기다. 핵심은 최고경영자(CEO)가 보안을 IT에서 해방시켜 비즈니스 이슈로 여기고 필요한 거버넌스 이행, 위험관리, 컴플라이언스 준수를 위한 프로세스를 만들어 가야 한다는 것이다.

이런 가운데 국내서도 보안에 대한 인식의 전환이 필요하다는 목소리가 점점 커지고 있어 주목된다.

30일 서울 송파구 인근 사무실에서 만난 중앙대 경영학부 김정덕 교수는 우리나라 보안 환경은 여전히 컴플라이언스 준수 수준에 머물고 있다며 앞으로는 보안이 비즈니스를 돕는 위험관리라는 점을 인식하고, 필요한 프로세스를 갖춰나가도록 해야 한다고 말했다.

김 교수는 이를 위해 3년 전부터 '인포섹 GRC 포럼'을 꾸려 거버넌스, 위험관리, 컴플라이언스(GRC) 이슈를 연구하고 개발하는 활동을 벌이고 있다. 여기에는 기업, 보안담당자, 교수 등을 포함해 약 20여명 전문가 그룹이 정기적으로 보안을 비즈니스에 녹여내기 위한 방법을 모색 중이다. 그는 국내 정보보안관리체계(ISMS)를 만드는데 참여했으며, ISO에서 국제표준 활동을 하면서 정보보안 거버넌스 관련 국제 표준(ISO27014)을 고안하기도 했다.

한국형 ISMS를 만드는 작업에 참여했음에도 불구하고 김 교수는 컴플라이언스는 보안이 아니다라고 잘라말했다. 컴플라이언스는 정부기관이 정책적으로 지키라고 요구하는 최소 규제다. 정보통신망법상 매출 100억원 이상 혹은 100만명 이상 사용자들에게 서비스를 하고 있는 기업들은 ISMS 인증을 반드시 받아야 한다.

그러나 이 인증을 받았다고 해서 보안을 다했다고 말하는 것은 어불설성이라고 그는 주장했다. 금융감독원, 방송통신위원회 등에서는 각종 보안사고가 발생할 때마다 컴플라이언스를 마련하고, 이를 지키도록 강제하고 있다. 대표적인 것이 DB암호화, 망분리 의무화 등이다.

김 교수는 보안 성숙도를 4단계로 나눠서 설명했다. 먼저 보안 초창기 방화벽, 백신 등을 도입하는 것으로 그치는 솔루션 기반 보안이다. 두번째가 컴플라이언스 기반 보안으로 법에서 정하는 규정만 지키는 단계다. 세번째는 IT리스크에 기반한 보안이다. 네트워크 상 취약점이 없는지 등을 확인하고, 이에 대한 대책을 마련하는 방법이다. 마지막 단계가 바로 비즈니스 기반 보안이다. 비즈니스 과정에서 업무상 어떤 위험이 있는지를 파악하고 이를 효과적으로 관리할 수 있는 방안을 적절한 프로세스를 통해 마련해야 한다는 주장이다.

김 교수는 국내 기업/기관들은 대개 1, 2단계에 머물고 있는 실정이라고 지적했다. 웬만한 보안 솔루션은 모두 도입했고, 필요한 최소한의 규정도 지키고 있지만 정작 실제 보안을 위한 노력은 하지 않고 있다는 것이다. 3단계는 일부 대기업에서 도입하고 있으나 이 역시 소수에 불과하다. 국내에서 4단계는 아예 없다는 것이 그의 설명이다.