이 글은 IDG의 아티클을 전재하여 제공합니다.
[원문보기]: https://www.ciokorea.com/column/
지난 2월 오징어 게임의 주연 이정재, 정호연 배우가 비영어권 드라마 최초로 미국 배우조합(SAG)에서 주는 남녀 주연 배우상을 받은 것이 세계적인 화제다. 15만 명의 미국 배우 중 다수가 한국 드라마의 한국 주연 배우에 투표한 것은 정말 놀라운 일이 아닐 수 없다.
로마가 하루아침에 이뤄지지 않았듯 우리나라 영화와 문화의 세계적 위상 변화 역시 기생충, BTS 등 오랫동안 쌓여온 노력과 성과가 전 세계가 맞이한 코로나19 위기에서 세계적 모범이 된 K-방역, 한국 경제의 탁월한 회복, 세계에 대한 인류애적 지원으로 한국에 대한 글로벌 인식이 근본적으로 바뀌면서 발생하고 있는 것이 아닐까 싶다.
(강은성, “코로나19, 국가브랜드, 기업활동”, 2020.4.7)
특히 코로나19 초기에 질병관리본부의 ‘위험 평가'는 인상적이었다. 2020년 2월 중국에 이어 이탈리아 등 유럽에서 코로나19 확진자가 급증하면서 해당 국가 국민의 국내 입국 제한 주장에 대해 정부에서는 질병관리본부와 감염병 전문가들이 ‘위험 평가'를 하고 있다고 설명하면서 기업의 임직원 등 ‘필수 인력’의 왕래를 허용하면서도 입국장부터 숙소까지 철저한 방역 관리로 초기 코로나19 대응의 세계적인 모범 사례를 만들었다.
(강은성, “코로나19와 개인정보 위기관리", 2020.3.16)
보안에서는 ‘보안 위험 평가’를 한다. ‘보안 위험 관리'는 보안 위험 식별(자산 식별 → 보안위협 식별 → 보안취약점 식별) → 보안 위험 분석 및 평가 → 보안대책 수립 → 보안대책 이행 관리로 이뤄진다. 보안 위험 평가는 보안 위험 관리의 일부로서 보안 위협에 대응하기 위한 전사 보안정책의 수립, 보안솔루션의 도입과 운영, 보안관제 등 각종 보안대책의 토대가 된다.
정부에서 시행하는 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증이나 국제 표준인 정보보안 경영시스템(ISO27001) 인증 역시 이러한 위험 관리가 중심에 있다. 코로나19 초기에 질병관리본부에서 시행한 ‘대책’ 역시 국내 감염병 유입과 확산에 대한 위협과 위험을 분석, 평가한 결과였을 것이다.
하지만 대다수 기업에서는 기업의 보유 자산 관리에 대한 분석부터 보안대책의 수립까지의 보안 위험 분석과 평가 과정을 시행하지 않는다. 보안담당자 입장에서는 그런 과정을 거치는 것보다는 법규를 준수하기 위해 보안 정책과 보안 솔루션을 도입해야 한다고 하는 것이 경영진에게 훨씬 잘 먹히기도 하고, 실제 그런 업무를 수행할 인력이나 경영진 및 각 부서의 지원이 부족하기 때문이다.
이를 조장하는 주요 요인 중 하나가 ‘체크리스트’다. 예를 들어 기업에서는 개인정보 보호 관련해서 ‘개인정보의 기술적·관리적 보호조치 기준’ 고시와 ‘개인정보의 안전성 확보조치 기준’ 고시를 체크리스트로 만들어서 각 점검항목을 준수하는지 여부를 확인한다. 체크리스트에는 ‘O’와 ‘X’가 있을 뿐 세모도, 중간지대도 없다. 체크리스트를 사용하는 보안담당자는 그 체크리스트를 모두 ‘O’로 만들고 그 증빙을 만드는 데 집중해야 한다. 회사 자산의 가치와 관리 방식을 바탕으로 보안 위협과 위험의 분석, 평가를 통해 체크리스트의 각 항목에 대해 더 좋은 보안대책이 있는지 고민해 봐야 소용이 없다.
체크리스트는 적용 대상의 특성과 별 관계없이 동일하게 적용된다는 점에서 법규와 비슷하다. 법규 준수 여부를 자체 점검할 때 체크리스트가 많이 사용되는 이유다. 법규는 수범자(기업)가 준수해야 할 최소한의 기준이다. 체크리스트 역시 그래야 바람직하다. 그래서 보안 수준이 많이 떨어지는 기업에 적절한 보안 체크리스트를 통해 최소한의 보안 수준을 갖추도록 지원하는 것은 의미가 있다.
하지만 인증 대상 기업이 일정 수준 이상의 정보보호 관리체계를 운용하는지 평가하는 ISMS(또는 ISMS-P) 인증에서조차 수많은 체크리스트로 인증 여부를 판단하는 것은 무리가 있다. 개별 기업의 입장에서 위험 분석과 평가를 통해 다른 보안대책을 구현하더라도 체크리스트를 충족하지 못하면 인증을 받지 못한다.
위험 평가 결과 적절한 보안 대책이라고 주장하는 보안담당자와 중요한 건 체크리스트 충족 여부라는 인증심사원이 실랑이를 벌이는 모습은 ISMS 인증 심사 현장에서 드물지 않게 발생한다. 체크리스트가 ‘기준선 접근법’(baseline approach)이라는 위험 관리 방법론의 외피를 썼으나 실질적인 위험 관리를 제약하는 요인으로 작동하는 현장이다.
ISMS 인증을 취득한 뒤 정보보호 관리체계가 유지되고 있는지 매년 검증하는 ‘사후 심사’나 3년에 한 번 인증의 유효기간 연장 여부를 판단하는 ‘갱신 심사’에서도 체크리스트는 바뀌지 않는다. 인증 대상 기업은 해가 지날수록 보안이 더 발전하고 성숙해졌음을 입증할 필요가 없다. 어떻게든 만들어진 기준선을 충족하면 된다.
기업 보안에서 가장 중요한 보안 위험 관리가 체크리스트 수준에 머무르고 있음으로 인해 투자 여력이 있는 기업조차 자체적으로 보안 위험을 관리하고 보안 수준을 높이기 위한 노력의 동기가 떨어진다는 점, 그에 따라 보안담당자가 기업의 보안 현황을 분석하고 보안 위험 관리를 통해 더 좋은 보안대책을 연구할 동기가 떨어짐으로써 특정 분야를 구현하는 ‘기능인’을 넘어 기업 보안 전반에 대한 이해와 통찰을 가진 보안전문가로 성장하기 어렵다는 점을 인식할 필요가 있다.
보안기업 역시 법규와 인증 기준 체크리스트에 포함되지 않은 새로운 제품을 만들 혁신 동기가 부족해진다. 문제를 인식해야 해결책도 나올 수 있다. 천 리 길도 한 걸음부터다. 쉬운 길도 없다.
▶ 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에게 저작권이 있습니다.
▶ 해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
현재 이화여대 사이버보안학과 산학협력중점교수
국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가로 저서 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있습니다.