최근 정보보호 관련 사고가 발생한 한 금융사의 최고경영자(CEO)는 사고가 터진 뒤의 아찔했던 상황을 이렇게 설명했다. 본인이 정보보호에 대한 지식이 부족했고 단순히 보고만 받는 역할을 하다 보니 사건의 실체를 알기 어려웠다고 털어놓았다. CEO의 관리 소홀이 정보보호 사고의 취약성을 키운 것이다.
최근 사회적으로 이슈가 되고 있는 보안사고의 유형을 살펴보면 외부자에 의한 개인정보 유출과 시스템 가동중단 사고의 근본적인 원인이 내부의 관리 소홀에 있다는 것을 알 수 있다. 이런 일련의 사고와 관련 자료들이 시사하는 바는 C-level의 적극적인 태도와 능동적인 관리가 내부자 통제에 매우 중요하다는 점이다. 이 글에서는 효과적인 내부 통제를 위한 정보보호 거버넌스를 소개한다.
기술적 보안의 빈틈… 내부자 통제
한국 IT수출진흥센터에서 조사한 정보유출 실태조사에 따르면 기업 경영에 부정적인 영향을 미치는 중요 정보 유출사고의 대부분이 내부자에 의해 일어나고 있다. 내부자에 의한 보안사고의 피해 규모는 기업경영에 심각한 영향을 미친다.(그림 1)
다른 산업군과 비교할 때 보안 인식이 상대적으로 높은 금융권에서도 정보유출이 문제가 될 정도니 구성원의 보안 인식이 상대적으로 낮고 해외 공장 운영 등으로 보다 규모가 큰 위험에 노출돼 있는 제조업의 상황은 더 심각할 것이다.
내부자 통제를 보안 솔루션만으로 실행하기에는 한계가 있다. 해커와 같은 비(非)인가된 외부자는 100% 차단한다는 단순한 원칙을 세울 수 있다. 하지만 내부자의 경우는 상황이 더 복잡하다. 업무의 필요성과 업무 간의 관계, 전략 등을 종합적으로 고려한 정책적 결정이 요구되기 때문이다. 보안 담당자가 이런 정책을 혼자 결정할 수 있는 문제는 아니다. 정보기술(IT), 현업 등 조직 내에 해당 업무와 관련된 모든 이해관계자가 하나의 결론을 내려야 한다. 이런 현실적인 어려움이 정보보호의 취약성을 키운다. 내부자들은 대부분의 기업에서 도입하고 있는 디지털저작권관리(DRM), 데이터손실방지(DLP), PC 보안을 손쉽게 우회해 원하는 목적을 달성할 수 있다. 보안 솔루션을 제공하고 있는 회사와 기업 보안 담당자들은 이런 우회경로를 제거하기 위해 노력하고 있다. 하지만 이는 업무 수행에 불편이 따르는데다 C-level 등 예외사항을 인정해야 하는 조직의 내부 사정을 고려할 때 쉽지 않은 일이다. 강력한 보안 솔루션을 찾아내 대대적인 투자를 하며 100% 보안을 추구할 수도 없다. 기술적으로도 어렵고, 재무적으로도 무모한 투자 의사결정이 될 수 있기 때문이다. 내부자 문제에 효과적으로 대처하려면 강력한 내부통제 시스템이 필요하다. 정보보호와 관련된 모든 이해관계자(현업, IT 담당자, 보안담당자 등)를 규합하고 통제할 수 있는 강력한 권한을 가진 구심점을 조직 내에 구축해야 한다.
내부통제 솔루션: 정보보호 거버넌스
보안담당자는 강력한 내부통제를 통해 보안 사고를 최소화하려고 하지만 현업에서는 보안을 불편하고 업무에 방해가 되는 일로 생각한다. 정보기술(IT) 담당자는 보안 업무를 부수적인 일로 생각하는 경향이 있다. 보안 컨설턴트들은 이러한 현황을 개선하기 위해 인식제고 및 교육 훈련 프로그램을 제시하지만 관심이 없는 이해관계자들의 참여와 호응이 따라주지 못해 실패하는 사례가 많다. 현업과 IT 담당자의 인식을 바꾸고 모든 이해관계자를 규합하려면 C-level의 정보보호에 대한 참여 의지와 의사결정 권한의 적극적 활용이 필요하다. 이는 조직 내에 정보보호 거버넌스 체계수립을 통해 정형화할 수 있다.
정보보호 거버넌스를 조직하는 작업은 거버넌스 수행의 주체가 누구이며, 이들이 기업 내 어디에 위치하고, 어떤 형태와 구조를 가지고, 어떻게 기능하는가를 명시하는 틀을 제시하는 것이다. 정보보호 거버넌스 조직체계는 C-level의 정보보호 역할 및 책임을 명확히 이해하고 가시적으로 확인할 수 있는 수단이 된다.
현 시점에서 거버넌스 조직에 대한 가장 심도 깊은 논의는 이른바 의사결정 권한 관점의 이론이다. 피터 바일(Peter Weil) 등은 거버넌스 조직을 주로 의사결정권 관점에서 조명하고 이 의사결정권이 배분되는 방식에 따라서 다양한 거버넌스 조직 형태가 나타날 수 있다고 주장했다. 이 이론을 토대로 정보보호 거버넌스 조직 유형을 살펴보면 <그림 2>에 나타난 바와 같이 5개 유형으로 정의할 수 있다.
정보보호 거버넌스 의사결정이 C-level 주도로 이뤄지는 경우를 경영층 주도형(Business Monarchy), 정보보호 전문가 주도로 이뤄지는 경우를 정보보호 주도형(Security Monarchy)이라고 부른다. 반면 의사결정이 현업 차원에서 이뤄지는 경우를 현업 주도형 (Feudal), 중앙의 관리부서와 현업이 함께하는 경우를 관리부서-현업 연합형(Federal)이라고 한다. 마지막으로 C-level과 정보보호 전문가가 협력하는 경우를 경영층-정보보호 조합형(Security Duopoly)이라고 부른다. 이러한 5가지 정보보호 거버넌스 유형 중 보다 강력한 내부 통제의 구현에 적합한 조직 형태는 경영층 주도형과 경영층-정보보호 조합형이라고 할 수 있다. 이런 관점에서 경영층 주도형과 경영층-정보보호 조합형 조직이 실현되려면 전사 C-level의 정보보호 역할 및 책임을 명확하게 정의해야 한다.
