전사적 정보보호 체계 구축 방법론

사람부터 기술까지, 다층적 균형 방어체제 구축하라

85호 (2011년 7월 Issue 2)

 


2200
여 년 전 한니발은 로마를 벌벌 떨게 했던 카르타고의 명장이었습니다. 알프스산맥을 넘어 이탈리아로 진격한 한니발군의 습격에 로마군은 속수무책으로 당했습니다. 하지만 로마 시민들은 강력한 적 앞에서도 마지막까지 무너지지 않았습니다. 그들은한니발이 문 밖에 와 있다며 경계를 늦추지 않았고 서로를 격려하고 보듬었습니다. 로마는 결국 한니발의 공격을 막아내고 카르타고마저 무너뜨려 대제국의 기틀을 다졌습니다.

성벽을 아무리 높이 쌓아도 적을 완벽하게 막을 수 없습니다. 전문가들은 모든 사이버 공격을 막아내는 방패인이지스는 없다고 강조합니다. 공격을 당한 뒤에는 이미 늦습니다. 아무나 쉽게 넘볼 수 없도록 조직 구성원의 굳은 의지와 강한 억지력을 갖추는 게 더 큰 재앙을 피하는 현명한 길일 것입니다. 2200년 전 로마 시민들이 그랬던 것처럼 말입니다. DBR이 국내 정보보호 전문가들과 함께 기업들이 지능화, 조직화, 고도화되는 사이버 공격에서 기업과 고객 자산을 보호하기 위한 정보보호 방법론을 정리했습니다.

 

“글로벌 기업의 정보시스템 관리자인 A씨는 트위터와 페이스북 등을 통해 정보기술(IT) 전문가들과 정기적으로 정보를 나눈다. 그는 이 사이트를 통해 최신 기술과 업계 동향 등을 얻어왔다. 그가 이름만 대면 알 만한 대기업에서 일하고 있다는 것을 알게 된 사람들은 그에게 기술적 조언을 요청하기도 하고, 새로운 일자리를 제안하기도 했다. 그는 소셜미디어 활동을 통해 전문가 집단에서 자신의 능력을 인정받고 있다는 느낌을 받았다.
 
어느 날 A씨에게 ‘2011년 채용계획’이라는 제목의 e메일이 날아들었다. 회사 전략에 대해 궁금했던 그는 메일을 열고 엑셀 첨부파일을 열었다. 단순한 호기심은 A씨의 경력과 회사의 미래를 송두리째 흔든 재앙이 됐다. 이 e메일에 악성코드가 숨겨져 있었던 것. 악성코드는 A씨의 시스템 접근 기록과 로그인 아이디, 패스워드를 외부의 공격자에게 전송했다. 외부의 공격자는 이를 활용해 시스템에 접근해 중요한 기밀 정보를 빼냈다. 이때부터 악몽이 시작됐다. 정체를 알 수 없는 공격자는 A씨에게 정보 유출을 미끼로 거액을 요구하는 협박 메일을 보내기 시작했다. 공격자가 교묘하게 악성코드를 심어놓고 흔적을 말끔하게 지우는 바람에 회사 기밀정보가 어떻게 유출됐는지를 알아내는 데도 한참이 걸렸다. 회사의 대책도 당연히 느릴 수밖에 없었다.”
 
기업 대상 사이버 공격의 패러다임이 바뀌고 있다. A씨의 가상사례는 최근 국내외에서 벌어지고 있거나 벌어질 수 있는 기업 대상 사이버공격의 전형적인 유형이다. 과거처럼 시스템의 취약점을 알아내 해킹을 하고 자신의 실력을 과시하거나 항의와 불만의 표시로 웹사이트를 공격하는 정도는 애교에 불과하다. 공격자들은 경제적 이익 등을 노리고 특정 기업을 골라 장기적인 표적 공격을 조직적으로 감행하고 있다. 보안 관계자들조차 “공격자들이 마음만 먹으면 뚫리지 않을 기관이 거의 없다”고 할 정도로 위협의 강도가 세졌다. 반면 IT의존도가 높아진 기업의 약점은 더 커졌다. 국내에서 현대캐피탈, 농협 등의 금융기관이 사이버 공격을 받았고, 해외에서는 글로벌 보안기업인 RSA와 구글, 소니 등의 대기업은 물론 국제통화기금(IMF)과 같은 공신력이 있는 단체까지 사이버 공격의 제물이 됐다. 환경이 달라지면 새로운 경영 패러다임이 필요하다. 이제는 새로운 사이버 위협을 효과적으로 예방하고 대응하는 역량이 기업의 지속가능한 경쟁우위로 인식되고 있다. 이 글에서는 기업을 대상으로 한 사이버 공격에 효과적으로 대처하기 위한 전사적 정보보호 체계 구축 방법론을 제시한다.
 
현대 기업의 보안 사각지대
현대 사회에서 컴퓨터가 없는 사무실, 인터넷 연결이 안 되는 컴퓨터, 스마트폰을 쓰지 않는 직원들이 일하는 회사를 상상할 수 있을까? 현대 기업과 사람들은 컴퓨터 등 정보기술 기기와 네트워크를 통해 촘촘히 연결돼 있다. 앞으로 이런 연결은 더 강화될 것이다. 기술도 이를 지원하는 방향으로 발전하고 있다.
 

기술 발전은 기업이 수집 보유 활용하는 정보량을 폭발적으로 증가시켰다. 고객 분석을 위해 고객 개인정보, 고객의 구매 패턴 등 다양한 정보를 수집하고 분석해 고객 친화적인 상품과 서비스를 개발을 지원하는 비즈니스 인텔리전스(Business Intelligence)가 각광을 받고 있는 게 대표적인 사례다. 기술은 사람들이 서로 연결되는 방식과 기업이 다른 기업과 협업하는 방식을 바꿔놓고 있다. 사람들은 트위터, 페이스북 등 다양한 소셜네트워킹 서비스를 통해 연결돼 정보를 공유하고 있다. 이는 사람들이 교류하고 소통하는 방식에 변화를 가져왔다. 기업 간 협업도 클라우드 컴퓨팅을 통해 개방된 환경에서 자원을 공유하고 공동 작업을 하는 방향으로 발전하고 있다.
 
사람과 사람, 사람과 기업, 기업과 기업 간의 연대와 협업을 촉진하는 지원 기술도 빠르게 발전하고 있다. 모바일 기술을 통해 원격 재택근무가 가능해졌다. 정보기술은 USB나 노트북 컴퓨터만 있으면 어디서나 업무를 볼 수 있는 환경을 지원한다. 심지어 자동차와 같은 사물과 통신하고 연결하는 기술까지 개발되고 있다. 사이버 공격자들은 이런 환경 변화를 새로운 기회로 인식하고 있다. 기술 발전과 환경 변화로 외부의 침입자에게 노출된 기업의 빈틈은 늘었는데 이에 대한 인식과 대비는 허술하기 때문이다. 사이버공격자들이 이 보안 사각지대에서 암약하고 있는 것이다.
 
기업을 노리는 사이버 범죄자들
사이버 공격의 주체, 동기, 수법 등은 과거와 비교할 수 없을 정도로 정교해지고 대담해지고 있다. 사이버 공격의 칼끝이 금전적 이익을 위해 기업을 겨누고 있는 게 최근 두드러진 특징이다. 전사적 정보보호 체계를 구축하기 위해서는 누가, 어떤 목적으로, 어떻게 기업을 공격하고 있는지를 파악하는 게 중요하다.
 
1)공격자 과거의 해커(Hacker)는 자신들의 실력 과시를 위해 시스템에 무단 침입하는 악동과 같은 존재였다. 시스템 개발자나 기업 정보시스템 관리자에게는 골칫거리 같은 존재였지만 기술적 취약점을 찾아내 시스템을 개선하는 데 도움을 주는 역할도 했다. 1990년대 들어 해커들은 시스템을 파괴하거나 금전적 이득을 위해 해킹을 하는 ‘크래커(Cracker)’로 변질됐다. 보안 전문가들은 최근 사이버 공격자들이 각자 역할을 나눠 사이버 공격을 감행하는 조직화, 분업화, 전문화된 모습을 보이고 있다고 우려한다. 특정 기업을 공격하기 위해 자금을 대는 사람과 해킹 툴 등 기술적 부분을 전문적으로 다루는 기술 전문가, 은행계좌 등 금융 시스템 정보에 밝은 금융 전문가 등이 결합한 조직범죄의 양상을 띠고 있기 때문이다. 이들은 온라인에서 공격을 사전 모의하고, 사이버 범죄에 대한 규제가 취약한 제3국을 무대로 활동하기 때문에 추적하기가 쉽지 않다. 최근 국제사회가 사이버 범죄에 공동 대처하고 공격자들에 대한 처벌 수위를 높이려는 움직임을 보이는 것도 이 때문이다.
 
2)공격대상 이전까지 사이버 공격의 대표적인 사례는 분산서비스거부(DDoS) 공격과 같은 방식으로 특정 기업, 특정 기관의 웹사이트를 공격해 정치적 사회적 목적을 선전하거나 협박하는 형태다. 금전적 이득을 위해 보안이 허술한 개인을 대상으로 금융정보를 빼내는 사이버 공격도 많았다. 하지만 금융기관들이 온라인뱅킹의 보안을 강화하면서 공격자들은 개인에서 기업으로 눈길을 돌리고 있다. 금융정보 등 민감한 고객 개인정보를 보유한 금융기관이 주요 타깃이다. 최근 현대캐피탈, 농협, 리딩투자증권 등이 사이버 공격의 대상이 된 게 대표적이다. 최근에는 공격 대상이 더 확대되고 있다. 금융권은 물론 일반 대기업으로 공격 대상이 넓어졌다. 글로벌 기업인 일본 소니는 지난 4월 이후 20여 차례나 해킹 공격을 받고 있다. 특히 인수합병 등 기업의 주요 경영 현안이나 신기술 개발 등 기밀 정보에 대한 해킹이 적지 않은 것으로 추산되고 있다.
 
대기업만 사이버 공격의 먹잇감이 되는 게 아니다. 상대적으로 보안이 취약한 중소기업 등으로 공격 대상이 확대되고 있다. 2010년 미국연방수사국(FBI)은 중소기업, 지방정부, 교회, 개인 등을 대상으로 한 조직화된 사이버 공격의 피해액이 7000만 달러에 이른다고 밝혔다. 이들 중소단체는 대응 역량이 떨어져 공격에 속수무책으로 당할 가능성이 크다. 국가 단위에서도 사이버 테러나 정보전의 수단으로 사이버공격이 이뤄진다.
 
3)공격수법 보안 전문가들은 사이버 공격의 수법도 과거와 비교할 수 없을 정도로 정교해지고 있다고 분석한다. 교묘하게 잠입해 정체를 숨기고 해킹 흔적까지 감추는 정교한 악성코드를 활용한 표적 공격이 벌어지고 있다. 예를 들어 2008년 등장한 컨피커(Win32/Conficker) 웜 바이러스는 보안 전문가들도 놀랄 정도로 교묘하게 제작됐다. 이 웜은 특정 컴퓨터에 침투한 뒤에 보안 도구를 무력화한다. 새로운 지시를 받고 확보한 정보를 유출시키거나 공격자의 지시를 감염된 다른 컴퓨터로 전송하는 커뮤니케이션 기능까지 갖고 있다.
 
지난해 7월 동남아지역에서 발견된 스턱스넷(Stuxnet)은 사이버테러의 우려가 현실화한 신종 악성코드다. 스턱스넷은 발전소 등 산업자동화제어시스템(SCADA)을 공격하기 위해 제작됐다. 원자력 발전소 등 산업기반 시설의 오작동을 일으켜 시스템을 마비시킬 수 있다. 실제로 스턱스넷은 이란 원자력 발전소 관련 컴퓨터 3만대를 감염시켰던 것으로 알려졌다.
 
USB와 노트북 등의 확산도 사이버공격에 악용되고 있다. 조직원들이 자료의 저장과 이동을 위해 USB를 사용하면서 악성코드를 유포하는 매개체가 되는 경우가 적지 않다. 개인이 암호화하지 않고 중요 정보를 USB에 저장해 갖고 다니다가 분실해 정보가 유출되는 일도 벌어지고 있다.
 
사이버 공격이 기술적으로 진일보하고 있다는 점보다 더 위협적인 것은 특정 기업을 목표로 한 장기적인 표적공격(AST·Advanced persistent threat)이 늘고 있다는 점이다. 공격자들은 목표로 삼은 기업을 공격하기 위해 장기간 다양한 공격을 단계적으로 실행에 옮긴다. 교두보를 확보하고 이를 근거지로 삼아 공격시기를 물색한다. 이를 위해 협력업체나 관련 기업, 개인의 소셜네트워킹 사이트까지 공격 대상으로 삼는다. 예를 들어 구글은 최근 일부 가입자의 e메일이 해킹당했다고 밝혔는데 피해자들은 중국 관련 업무를 맡고 있는 미국 정부 관료와 저명 학자들로 알려졌다. 이들을 대상으로 표적 공격을 감행한 것이다. 글로벌 보안기업인 RSA의 경우 일회성 비밀번호 생성기(OTP)인 시큐어 ID 제품의 기술 정보가 해킹을 당했다. 문제는 이 제품이 군수업체에서 폭넓게 쓰여지고 있었다는 점이다. 실제로 이 사건이 일어난 후 이 제품을 사용하는 군수업체들이 해킹 공격을 받았다는 보도가 나왔다. 워낙 은밀하게 장기간에 걸쳐 공격이 진행되기 때문에 피해 기업들은 언제 어떻게 당했는지조차 파악하기 쉽지 않다. 문제는 이런 표적 공격에 대한 인식과 대비가 미약하다는 점이다. 실제로 토마스 라이언이라는 한 보안 컨설턴트는 소셜네트워크 사이트들에서 자신을 로빈 세이지로 등록하고, MIT를 졸업한 후 미 해군에서 일하는 10년 경력의 보안위협 분석가 행세를 했다. 라이언은 이런 방식으로 28일간 소셜네트워크 사이트에서 활동하며 군수업체와 보안업체 전문가들의 연락처를 확보하고 MIT 동문 연락처까지 얻어냈다. 나이가 불과 25세라고 밝혔는데도 그녀가 10년 경력의 보안 전문가라는 신분을 의심하는 사람은 없었다. 심지어 그녀에게 논문 감수를 의뢰하거나 콘퍼런스 발표를 의뢰하는 사람까지 있었다.
 

기업 정보보호와 CSO의 역할 

최근 기업 담당자들은 기업 보안과 위험을 관리하는 문화가 자리를 잡아가고 있다고 입을 모은다. 어떤 사업을 하든지 보안과 위험을 관리해야 한다는 인식이 조직에 확산되고 있다는 것이다. 그렇다고 해서 강박적으로 위험에 집착하며 두려움에 사로 잡혀 일한다는 뜻은 아니다. 회계, 보안, 인력 등에 대한 일정한 기준을 정해놓고 이에 맞춰 업무를 추진하는 것이다. 기준을 정하면 크게 두 가지 면에서 유용한데 위기 상황에서 직원들이 기준에 따라 훈련한 대로 움직이므로 효과적으로 위기에 대처할 수 있다. 또한 기준을 실질적인 목표로 삼아 기업이나 단체가 위기를 얼마나 잘 관리하고 있는지 판단하고 조정할 수도 있다. 이런 리스크 관리 문화를 발전시키는 역할을 맡는 게 최고보안책임자인 CSO(Chief Security Officer). 아직까지 CSO의 직무, 활동 범위는 표준화돼 있지 않고 해당 기업의 사업 분야, 조직문화, 담당자 개개인의 독특한 재능과 경험, 능력 등에 따라 다양한 형태를 보인다. CSO의 역할과 책임을 중심으로 기업 정보보호와 리스크 관리의 당면 과제를 소개한다.

 

● 장벽 허물기: 가장 보편적인 어려움은 정보보호를 포함하는 보안이 조직전략 및 목표와는 별개라는 사고방식이다. 많은 CSO들이 이런 장벽을 깨고 전사 차원의 관점에서 보안을 바라봐야 한다고 말하지만 현실은 이와 동떨어져 있는 경우가 많다. 대부분의 보안담당자가 비즈니스 업무 영역에 대한 이해가 높지 않다는 게 가장 큰 원인일 것이다. 또 대부분의 기업이 전사적으로 통합된 리스크 관리 체계보다는 사업부서, 팀 단위로 고립돼 있다는 점도 기업 보안이 비즈니스 조직 전체에 스며들지 못하게 만든 원인으로 작용했다. 조직의 잠재적 위협을 물리적 또는 IT 시스템 등으로 나눠서 보고 개별적인 대안을 마련하는 전통적인 리스크 관리의 관점에서 벗어나 사안을 총체적으로 보는 시각과 관점을 수립해야 한다.

 

● 보안을 조직화하기: 과거 보안은 접근, 경계관리와 같은 물리적 보안을 의미했다. 하지만 앞으로 보안 기능을 IT 시스템의 부수적인 기능이 아닌 전사적 레벨의 핵심 업무와 기능으로 간주해야 한다. 예를 들어 최고재무책임자(CFO)와 최고리스크책임자(CRO)가 기업보안관리에 대한 감독을 맡는, 즉 모든 리스크를 하나로 묶어 보안관리에 접근하면 회사 전체적으로 일관된 지배구조(governance)를 유지할 수 있다. 그리고 이사회 의장, CEO와 같은 최고경영진에 직접적인 보고채널을 확보해 기업보안과 리스크 관련 사항이 기업의 주요 의사결정에 반영될 수 있어야 한다.

 

● 기업보안의 투자대비효과(ROI)를 인식: 주요 정보자산의 보호를 위한 투자로 인해 비재무적 측면의 기업 명성, 평판 ROI, 강화된 기업 보안이라는 효과를 기대할 수 있다. 또 리스크 관리 역량 강화로 보험료를 줄이는 재무적인 ROI를 높이는 노력을 기울여야 한다. 관련 비용에 대한 통제와 비용을 절감할 수 있는 방법을 지속적으로 모색할 필요도 있다. 씨티그룹은 수년간 보안과 비즈니스연속성계획(Business Continuity Planning)을 면밀하게 연구해 도입했다. 이 회사는 백업트레이딩센터(backup trading area)를 구축한 선도적 금융회사 중의 하나였다. 선견지명 덕분에 9.11 사태 이후 신속하게 대고객서비스와 자산운용 업무를 복구하고 재개했다. 이를 통해 수백만 달러의 잠재손실을 막을 수 있었고 비상상황에서도 상당한 예금이자를 확보하는 성과를 거뒀다.

 

● 변화에 빠르게 적응, 대비하기: 산업기밀유출과 같은 화이트칼라 범죄와 테러, 사기(phishing) 등의 위협을 다루는 CSO는 최첨단기술과 컴퓨터 시스템을 능숙하게 다뤄야 한다. 사이버 범죄가 지능화되고 기존의 통제와 대응 역량을 앞서가며 예상치 못한 시점에서 막대한 손실을 일으킨다. 공격자들은 방어조치를 피해 가는 적응성(Adapt To Defensive Measures)을 갖고 있기 때문에 공격의 발생 가능성과 형태를 미리 예측하는 게 쉽지 않다. 공격의 형태와 가능성을 예측하기 위해적처럼 생각해야하고 다른 기업이 경험한 사례들과 시뮬레이션을 통한레드팀모의훈련 등을 활용할 필요가 있다. 기업에 영향을 미치는 이해관계자가 점점 복잡하고 다양해져 새로운 형태의 리스크와 위협도 나타나고 있다. 자산을 보호하고 새로운 사업기회를 창출하는 역할뿐 아니라 기업의 사회적 책임, 브랜드와 명성 등을 관리하는 새로운 역할도 해야 한다.

 

축구 경기에서 89분간 잘하다가 마지막 1분을 남기고 실수하면 경기에서 진다. 기업의 정보보호 임무도 이와 비슷하다. 항상 경계를 늦춰서는 안 된다. 어떠한 위기상황이 닥치더라도 탄력적이고 유연하게 대응할 수 있는 기업위기대응능력, 리질리언스(Resilience)’를 확보하는 일이 정보보호 관리에서도 중요하다.

 

전사적 정보보호 체계 구축
기업이 지능화된 다단계 사이버 표적공격에 대응하기 위해서는 최고경영자(CEO)의 정보보호에 대한 인식과 책임을 강화하는 일과 함께 전문인력 및 예산의 확충, 인프라 개선과 내부통제 강화, IT 아웃소싱 관리 개선 등 실질적인 전사 정보보호 체계를 구축하는 게 바람직하다. 고도화되는 해킹에 신속하게 대응하고 피해 확산을 조기에 막는 재해복구체계(IT Business Continuity Plan)도 확보할 필요가 있다.
 
전사적 정보보호 체계를 구축하기 위해서는 거버넌스(Governance), 인력(People), 프로세스(Process), 기술(Technology)의 네 가지 관점에서 체계적인 진단과 분석을 통해 추진 전략을 도출해야 한다.
 
1)거버넌스(Governance)정보보호 거버넌스는 전사 정보보호 체계 구축의 기틀이다. 정보보호는 보안의 관점이 아닌 기업 경영의 관점에서 기업 생존의 필수 요소로 인식해야 한다. 이를 위해서는 조직 내에 효과적인 전략과 실행 체계를 수립하는 일이 필수적이며 효과적인 보고체계도 필요하다. 이런 경향은 글로벌 기업들에서 확인할 수 있다.
 

딜로이트가 2010년 세계의 기술, 미디어통신(TMT) 기업 146곳을 대상으로 조사한 ‘TMT 글로벌 보안 연구’ 결과 정보보안 담당 임원이 최고정보책임자(CIO)에게 보고한다는 응답이 전체의 24%로 가장 많았다. 특히 주목할 만한 점은 정보보안 담당자의 18%가 CEO에게 직보한다고 답했다. 정보보호 이슈가 CEO의 관심사가 되고 있다는 뜻이다.
 
기술이 아닌 기업 관점에서 정보보호를 보는 시각도 확대되고 있다. 이번 조사에서 최근 1년간 정보보호 담당 임원의 주요 관심사에 대한 질문에 대해 거번넌스, 전략 및 기획, 준법 및 감시와 같은 거버넌스와 관리 측면의 업무를 꼽은 응답이 평가, 컨설팅, 시스템 설계 등의 기술적 요소보다 더 많았다.
 
정보보호 거버넌스를 개선하기 위해서는 첫째, 전사 차원의 IT 위험 관리 전략을 수립할 필요가 있다. 비즈니스 프로세스의 IT 의존도를 평가하고 이를 기반으로 위험 전략을 수립해 운영하는 게 바람직하다. 둘째, 위기관리 체계를 수립한다. 해킹 등의 위기가 발생했을 때 위기 발생 단계별로 시나리오와 대응 계획을 수립하고 이를 수행한다. 셋째, 조직 간 갈등과 보안의 허점이 될 수 있는 정보보호에 대한 인식 차이를 줄이는 노력을 해야 한다. IT 부서와 정보보호 부서 간 업무 효율성과 안전에 대한 가치를 두고 충돌하지 않도록 균형을 맞춰야 한다. 넷째, 정보보호가 보안 전담부서나 IT 부서의 일이라는 인식을 바꿔 전사 차원에서 정보보호에 대한 인식을 균질화해야 한다. 정보보호 관련 정책, 지침, 절차 등을 전사적으로 보급하고 이해시키는 노력이 필요하다.
 
2)인력(People)사람은 실수하기 마련이다. 주어진 임무를 제대로 실행하지 못하는 일도 많다. 사람들의 작은 실수가 정보보호의 중대한 허점이 될 수도 있다. 사이버 공격자들은 이런 빈틈을 노린다. 이 때문에 최근에는 인적 보안의 중요성이 커지고 있다. 개인들이 사용하는 USB, 노트북, 스마트폰, 소셜네트워킹 사이트 등이 정보보호의 허점이 될 수 있다. 딜로이트의 2010 TMT 글로벌 보안 연구 결과에서도 응답 기업의 절반이 한 번 이상 내부 보안 침해를 경험한 것으로 나타났다. 인적 실수를 완벽하게 없앨 수는 없지만 최소화할 수는 있다.
 

인력 측면의 정보보호 대책을 개선하기 위해서는 첫째, 법 및 규정 준수와 관련한 담당자의 이해를 높이는 일이 필요하다. 특정 업무와 관련해 어떻게 판단하고 행동해야 하는지에 대한 인식을 강화하는 노력이 필요하다. 둘째, 법이나 사내 규정과 관련해 적극적으로 대응하는 노력이 필요하다. 정보보호 전담 인력의 양적, 질적 역량도 강화해야 한다. 보안 업무와 IT 업무를 겸임하기 때문에 나올 수 있는 이해상충의 문제나 전문성 하락에 대한 대책도 수립해야 한다. 임직원의 태만이나 실수, 고의 등으로 발생하는 정보보호 사고를 예방하기 위한 상벌체계도 필요하다.
 
3)프로세스(Process)훌륭한 정책이나 전략도 실행되지 않으면 의미가 없다. 특히 정보보호 관련 정책, 규정, 지침, 절차 등이 현업과 동떨어져 있거나 보안 부서의 관점에서 작성돼 현업의 효율성을 지나치게 떨어뜨리는 경직성이 없는지 살펴봐야 한다. 보안 규정과 현업의 업무 프로세스에 대한 분석을 통해 현실적 차이를 분석하고 대안을 마련하는 노력이 필요하다. 회사의 업무 특성, 이해관계자 등에 따라 정보보호 체계가 맞게 설계됐는지도 꼼꼼히 따져봐야 한다. 특히 정보보호 인식 제고 프로그램이나 교육 훈련 프로그램의 실효성과 성과도 평가할 필요가 있다.
 
특히 최근 정보보호의 가장 약한 고리로 지목된 아웃소싱 업체 기업의 가치사슬에 있는 협력업체의 정보보호에 대해서도 주목할 필요가 있다. 최근 정보기술 분야의 아웃소싱이 늘어나면서 아웃소싱 업체 직원의 부주의나 실수, 고의로 발생한 정보보안 사고가 문제가 되고 있다. 2011년 4월 e메일 마케팅 서비스 회사인 입실론이 해킹을 당해 고객사의 정보가 피해를 보는 일이 일어났다. 국내에서 일어난 농협 해킹사건의 경우 협력업체 직원의 PC를 통해 해킹이 시도된 것으로 알려졌다.
 
프로세스 측면에서 정보보호 체계를 개선하기 위해서는 첫째, 정보보호 체계를 구축할 때 비즈니스 요구사항이 반영될 수 있는 지배구조와 프로세스를 수립해야 한다. 이 비즈니스 요구사항이 반영된 평가방법을 마련할 필요가 있다. 둘째, 전사 임직원과 IT 담당 직원을 대상으로 정보보호 인식제고 프로그램을 체계적으로 진행해 정보보호 인식 수준을 높여야 한다. 이때 정보보호 관련 교육 훈련 프로그램이 행동의 변화로 이어지는지를 관리하고 사회공학 기법 등 최신 해킹 위협에 대한 교육 훈련 프로그램을 보강하는 노력을 기울여야 한다. 셋째, 약한 고리인 아웃소싱 업체의 정보보호에 대한 관심을 기울여야 한다. 비용 절감을 위한 아웃소싱이 늘어나면서 협력업체에 대한 체계적인 관리가 약해질 가능성이 크다. 정보보호 관련 표준을 준수하도록 협력업체에 요구하고 계약서에 신뢰할 수 있는 제3자에 의한 감사를 받도록 규정하는 등의 노력이 필요하다. 또한 사고가 발생했을 때의 책임 소재를 명확하게 하고, 재해복구대응 체계 수립을 요구하는 것도 좋다. 위험관리와 평가를 할 때 협력업체에 대한 평가도 반영해야 한다. 최근에는 인수합병 대상 기업에 대한 정보보호 역량에 대한 평가도 강화되는 추세다. 인수한 기업의 취약성 때문에 인수기업이 피해를 보는 일을 최소화하기 위한 목적이다. 넷째, IT나 보안 부서의 관점에서 보안 정책과 프로세스를 수립하고 운영하도록 강요하지 않는지 따져봐야 한다. 정책과 지침에 정의된 역할 및 책임에 대해 각 부서 담당자들이 충분히 이해하고 이를 효과적으로 실행하도록 지원해야 한다. 특히 운영의 편의성 및 효율성과 안전성의 균형을 맞추는 일이 중요하다.
 
4)기술(Technology)기술적 대책은 정보보호 체계의 근간이다. 기술에 지나치게 맹신하기보다는 기술을 활용해 효과적으로 사고를 예방하고 대응하는 시스템을 갖추는 게 중요하다. 이를 위해서는 첫째, 업무지속성계획(Business Continuity Plan)과 재해복구계획(Disaster Recovery Plan)을 체계화해 위기 상황에서 적절하게 운영해야 한다. 기업에 큰 피해를 줄 수 있는 중대한 상호의존적인 위험을 식별하고 관리해야 한다. 둘째, 적절한 솔루션을 도입해 운영하고 적정성을 주기적으로 평가해야 한다. 정보시스템은 표준화된 시스템과 조직의 목적에 맞춰 가공된 시스템이 혼재된 경우가 많다. 또 데이터, 네트워크, 인증 및 접근 관리, 위기관리 등의 목적에 따라 다양한 보안 솔루션이 시장에 나와 있다. 이런 이유 때문에 보안솔루션의 관리가 복잡해질 수 있다. 보안 솔루션을 용도에 맞게 도입했는지, 기능을 제대로 활용하고 있는지를 주기적으로 평가하는게 좋다. 기술적 취약점 진단 및 모의 훈련을 통해 취약성을 분석할 필요가 있다. 정보보호 업체 등을 통해 이 같은 작업을 진행할 수 있다.
 
정보보호 근본 원칙 - 다층적 균형 방어(Layered and Balanced Defense)
자동차의 안전시스템을 만들 때 정면충돌 시에도 운전자가 생존할 수 있도록 반드시 두 가지 이상의 방어체제가 동작하도록 설계한다고 한다. 먼저 자동차 전면이 찌그러져 충격 에너지를 흡수한 뒤에 에어백이 충격을 완충시키는 역할을 한다. 안전벨트는 운전자의 몸이 앞으로 쏠리는 속도를 늦춰줄 수 있는 정도로만 늘어나도록 만들어져 있다. 여기에 추가로 엔진룸은 충돌할 때 운전자가 앉는 공간 아래로 미끄러져 들어가고, 운전대는 계기판 쪽으로 무너져 들어가도록 설계된다. 이는 다층방어의 기본원칙이다. 이 방어체계가 동시에 모두 실패할 가능성은 0.5% 미만이다.
 
다층적 방어체계와 함께 균형도 필요하다. 정문 단속에 신경을 쓰다가 뒷문이 뚫리면 보안은 무용지물이 된다. 기업은 전체 시스템의 한 구성원으로서 존재하며 계열사, 아웃소싱, 협력업체 등의 형태로 띤다. 각 구성원의 가장 취약한 부분이 해당 시스템과 이 시스템 내의 위험 요인이 될 수 있다는 점을 인식해야 한다. 따라서 기업은 모든 발생 가능한 정보보호 관련 사고 및 의도적인 공격 등에 대한 취약성을 파악하고 이에 대한 대처 능력을 확보해야 한다. 해당 회사의 정보보호 취약성을 이해하기 위해서는 주요 이해관계자들의 정보보호와 위기대응능력까지도 관찰하고 모니터링할 필요가 있다. 그리고 여러 기업과 서로의 노하우를 교환하고 기업 간의 벤치마킹을 통해 다른 기업, 조직 경험을 배워 위기를 효과적으로 예방하고 대응해야 한다. 다층적 균형 방어의 원칙을 근간으로 CSO의 역할과 기능을 극대화해야 한다. 또 정보보호관리의 4대 축(Governance, People, Process, Technology) 부문을 주기적으로 진단하고 취약성을 찾아내 관리하는 노력도 기울여야 한다.
 
  리스크 인텔리전스(Risk Intelligence)경영과 정보보호
리스크는 기업 가치를 창출할 수 있는 기회다. 자산에 대한 위험을 최소화하면서 새로운 가치를 창출하려면 일정 수준의 리스크를 떠안아야 한다. 새로운 실험이나 혁신에서 어느 정도의 실패는 불가피하기 때문이다. 이처럼 리스크를 회피해야 할 위험이 아닌 성장의 기회로 보고 리스크를 전사적으로 관리하는 기법을 딜로이트는 ‘리스크 인텔리전스(Risk Intelligence) 경영’이라 명명하고 있다. 리스크 관리를 잘하는 글로벌 기업의 주요 특징들은 다음의 여섯 가지로 정리할 수 있으며 기업 정보보호관리에서도 이러한 리스크 인텔리전스 개념의 적용은 중요하다.
 
● 지배구조/커뮤니케이션 Bridges Silos / Speaks a Common Language
리스크에 대해서는 조직의 부문 간 장벽과 지리적 경계를 초월해 회사 전체를 아우른다. 리스크 관리에 대한 최고경영진, 임원 및 관련 부서의 역할, 책임이 명확하다.
 
● 전략 Develops Full-Spectrum Vision
산업특성, 규제준수, 경쟁상황, 환경, 사회, 보안(Corporate Security), 비즈니스 연속성(business continuity) 등 리스크 범위를 총체적(full spectrum)으로 다룬다.
 
● 프로세스 Weighs Vulnerability
불확실성과 예측 불가능한 상황 발생에 대한 기업의 취약성(vulnerability)에 가중치를 줌으로써 발생 확률(probability)에 중점을 두는 전통적 리스크 관리 방식을 보완한다.
 
● 접근방식 Assesses Impact / Considers Risk Interaction / Allocates Resources Appropriately
단일사건, 사고뿐 아니라 리스크 시나리오를 세우고 복합적인 리스크의 상호작용까지 관리대상으로 다루고 적절한 자원확보를 통해 대응능력(resilience)을 키운다.
 
● 인프라/기업문화 Cultivates Risk Consciousness
사후 대응과 조치에 집중하기보다는 선제적 대비와 전략 및 의사결정이 이뤄질 수 있도록 기업문화에 내재화하며 이를 지원하는 리스크 관리 기반이 탄탄하다.
 
● 철학 Pursues Risk Taking for Reward
리스크를 회피 대상으로 여기기도 하지만 기회와 가치창조를 위한 수단으로 다룬다.
 
리스크를 어떻게 정의할 수 있을까? 리스크는 기업의 목표를 달성하는 데 불리하게 작용하는 사건(혹은 일련의 사건들)으로 야기된 손실 가능성(potential for loss)이다. 좀 더 넓게는 현재자산을 보호하고 미래 성장 목표를 성취하는 것까지 포함한다. 효과적인 기업 정보보호와 리스크 관리는 부정적인 것을 피하는(예를 들어 고객정보에 해커가 접근하지 못하게 하는) 것과 동시에 긍정적인 것(예를 들어 인수한 기업을 성공적으로 통합하는)을 이루는 것을 모두 포함한다. 현명한 기업보안 담당자는 리스크를 취약점(vulnerability)으로 보기도 하지만 상승세를 타기 위한 발판과 준비(preparedness)로 본다. 이 차이는 매우 중요하다. 효과적인 보안과 리스크 관리는 시장기회를 예측하고 이용하면서 끔찍한 기업의 붕괴를 피하는 노력이라고 할 수 있다.
 
리스크 관리를 잘하는 기업은 사업의 난관을 피하지 않고 헤쳐나갈 자격과 능력을 확보할 수 있기에 경쟁업체보다 한참 앞서나갈 수 있다. 하지만 미리 대비하지 못하고 리스크를 제대로 관리하는 법을 뒤늦게 터득하는 기업은 다양한 문제에 부닥쳐 좌초할 가능성이 크다. 현재의 자산과 미래 성장의 측면에서 효과적이고 능률적으로 리스크를 관리하는 기업이 그렇지 못한 기업보다 훨씬 빨리 성장한다.
 
출처: The Sentinel CEO: Perspectives on Security, Risk, and Leadership in a Post-9/11 World, William G. Parret, Wiley

유종기 딜로이트 기업리스크자문본부 이사 jongkiyoo@deloitte.com
 
유종기 이사는 고려대 국제대학원을 졸업하고 전국경제인연합회 경쟁력강화팀 산업전략담당 조사역, IBM Business Resilience & Continuity Services 컨설턴트를 지냈다. 현재 딜로이트 안진회계법인 기업리스크자문본부 소속으로 ISO 22399 Societal Security 전문위원, 영국 Business Continuity Institute의 한국 대표로 활동하고 있다. 저서로 <BCM, 비즈니스연속성 관리 - A Practical Guide, FKI미디어>가 있다.
 
박용 기자 parky@donga.com
 

 

동아비즈니스리뷰 345호 Fake Data for AI 2022년 05월 Issue 2 목차보기