Top
검색버튼 메뉴버튼

내부자 통제와 거버넌스

기술이 만병통치약 아니다… 내부통제 기틀부터 다져라

윤석진 | 85호 (2011년 7월 Issue 2)
 

 
 “보안이 잘되고 있는 것으로 알고 있었고 그렇게 보고 받았다.”
 
최근 정보보호 관련 사고가 발생한 한 금융사의 최고경영자(CEO)는 사고가 터진 뒤의 아찔했던 상황을 이렇게 설명했다. 본인이 정보보호에 대한 지식이 부족했고 단순히 보고만 받는 역할을 하다 보니 사건의 실체를 알기 어려웠다고 털어놓았다. CEO의 관리 소홀이 정보보호 사고의 취약성을 키운 것이다.
 
최근 사회적으로 이슈가 되고 있는 보안사고의 유형을 살펴보면 외부자에 의한 개인정보 유출과 시스템 가동중단 사고의 근본적인 원인이 내부의 관리 소홀에 있다는 것을 알 수 있다. 이런 일련의 사고와 관련 자료들이 시사하는 바는 C-level의 적극적인 태도와 능동적인 관리가 내부자 통제에 매우 중요하다는 점이다. 이 글에서는 효과적인 내부 통제를 위한 정보보호 거버넌스를 소개한다.
 
기술적 보안의 빈틈… 내부자 통제
한국 IT수출진흥센터에서 조사한 정보유출 실태조사에 따르면 기업 경영에 부정적인 영향을 미치는 중요 정보 유출사고의 대부분이 내부자에 의해 일어나고 있다. 내부자에 의한 보안사고의 피해 규모는 기업경영에 심각한 영향을 미친다.(그림 1)
 
다른 산업군과 비교할 때 보안 인식이 상대적으로 높은 금융권에서도 정보유출이 문제가 될 정도니 구성원의 보안 인식이 상대적으로 낮고 해외 공장 운영 등으로 보다 규모가 큰 위험에 노출돼 있는 제조업의 상황은 더 심각할 것이다.
 
내부자 통제를 보안 솔루션만으로 실행하기에는 한계가 있다. 해커와 같은 비()인가된 외부자는 100% 차단한다는 단순한 원칙을 세울 수 있다. 하지만 내부자의 경우는 상황이 더 복잡하다. 업무의 필요성과 업무 간의 관계, 전략 등을 종합적으로 고려한 정책적 결정이 요구되기 때문이다. 보안 담당자가 이런 정책을 혼자 결정할 수 있는 문제는 아니다. 정보기술(IT), 현업 등 조직 내에 해당 업무와 관련된 모든 이해관계자가 하나의 결론을 내려야 한다. 이런 현실적인 어려움이 정보보호의 취약성을 키운다. 내부자들은 대부분의 기업에서 도입하고 있는 디지털저작권관리(DRM), 데이터손실방지(DLP), PC 보안을 손쉽게 우회해 원하는 목적을 달성할 수 있다. 보안 솔루션을 제공하고 있는 회사와 기업 보안 담당자들은 이런 우회경로를 제거하기 위해 노력하고 있다. 하지만 이는 업무 수행에 불편이 따르는데다 C-level 등 예외사항을 인정해야 하는 조직의 내부 사정을 고려할 때 쉽지 않은 일이다. 강력한 보안 솔루션을 찾아내 대대적인 투자를 하며 100% 보안을 추구할 수도 없다. 기술적으로도 어렵고, 재무적으로도 무모한 투자 의사결정이 될 수 있기 때문이다. 내부자 문제에 효과적으로 대처하려면 강력한 내부통제 시스템이 필요하다. 정보보호와 관련된 모든 이해관계자(현업, IT 담당자, 보안담당자 등)를 규합하고 통제할 수 있는 강력한 권한을 가진 구심점을 조직 내에 구축해야 한다.
 
내부통제 솔루션: 정보보호 거버넌스
보안담당자는 강력한 내부통제를 통해 보안 사고를 최소화하려고 하지만 현업에서는 보안을 불편하고 업무에 방해가 되는 일로 생각한다. 정보기술(IT) 담당자는 보안 업무를 부수적인 일로 생각하는 경향이 있다. 보안 컨설턴트들은 이러한 현황을 개선하기 위해 인식제고 및 교육 훈련 프로그램을 제시하지만 관심이 없는 이해관계자들의 참여와 호응이 따라주지 못해 실패하는 사례가 많다. 현업과 IT 담당자의 인식을 바꾸고 모든 이해관계자를 규합하려면 C-level의 정보보호에 대한 참여 의지와 의사결정 권한의 적극적 활용이 필요하다. 이는 조직 내에 정보보호 거버넌스 체계수립을 통해 정형화할 수 있다.
 
정보보호 거버넌스를 조직하는 작업은 거버넌스 수행의 주체가 누구이며, 이들이 기업 내 어디에 위치하고, 어떤 형태와 구조를 가지고, 어떻게 기능하는가를 명시하는 틀을 제시하는 것이다. 정보보호 거버넌스 조직체계는 C-level의 정보보호 역할 및 책임을 명확히 이해하고 가시적으로 확인할 수 있는 수단이 된다.
 

현 시점에서 거버넌스 조직에 대한 가장 심도 깊은 논의는 이른바 의사결정 권한 관점의 이론이다. 피터 바일(Peter Weil) 등은 거버넌스 조직을 주로 의사결정권 관점에서 조명하고 이 의사결정권이 배분되는 방식에 따라서 다양한 거버넌스 조직 형태가 나타날 수 있다고 주장했다. 이 이론을 토대로 정보보호 거버넌스 조직 유형을 살펴보면 <그림 2>에 나타난 바와 같이 5개 유형으로 정의할 수 있다.
 
정보보호 거버넌스 의사결정이 C-level 주도로 이뤄지는 경우를 경영층 주도형(Business Monarchy), 정보보호 전문가 주도로 이뤄지는 경우를 정보보호 주도형(Security Monarchy)이라고 부른다. 반면 의사결정이 현업 차원에서 이뤄지는 경우를 현업 주도형 (Feudal), 중앙의 관리부서와 현업이 함께하는 경우를 관리부서-현업 연합형(Federal)이라고 한다. 마지막으로 C-level과 정보보호 전문가가 협력하는 경우를 경영층-정보보호 조합형(Security Duopoly)이라고 부른다. 이러한 5가지 정보보호 거버넌스 유형 중 보다 강력한 내부 통제의 구현에 적합한 조직 형태는 경영층 주도형과 경영층-정보보호 조합형이라고 할 수 있다. 이런 관점에서 경영층 주도형과 경영층-정보보호 조합형 조직이 실현되려면 전사 C-level의 정보보호 역할 및 책임을 명확하게 정의해야 한다.
 
1) C-level의 역할 및 책임
1990
년대 중반까지 국내 기업들은 조직의 목표 달성에서 정보시스템이 차지하는 비중을 매우 낮게 평가했다. 하지만 1990년대 후반에 외환위기를 거치고, 글로벌 스탠더드와 경쟁력 강화에 대한 관심이 높아지면서 정보시스템에 대한 이해가 확대됐다. 이를 통해 기업혁신 및 전략적 목표 달성을 이룰 수 있다는 인식이 확산되기 시작됐다. 이때부터 최고정보책임자(CIO·Chief Information Officer)의 역할과 위상도 달라졌다. CIO제도를 도입하지 못한 회사들이 앞 다퉈 정보시스템 전문가를 경영전략의 핵심 임원으로 배치했다.
 
이런 변화의 흐름이 정보보호 분야에 대해서도 비슷하게 나타나고 있다. C-level의 내부통제 부재 또는 부실로 인한 각종 보안사고가 발생했고, 이로 인해 기업의 위상과 이미지가 추락하고 기업 존폐의 위기에 이르는 위급한 상황이 나타났기 때문이다. 이에 따라 CIO제도 도입처럼 최고보안책임자(CSO·Chief Security Officer)를 두는 기업들이 등장하기 시작했다. 국가 차원에서도 정보보호에 대한 인프라가 매우 부족하다는 공감대가 형성됐으며 정보보호에 대한 각종 법률과 규정이 정비됐다.
 
하지만 일부에서는 기존 CIO나 최고위험책임자(CRO·Chief Risk Officer) 등과의 역할 중복을 우려하고 있다. 기업 규모 대비 C-level의 숫자가 늘어나 부담이 가중되고 효율적인 성과를 내지 못할 것이라는 시각도 존재한다. 이런 우려를 해소하고 기업 경영의 효율성을 높이기 위한 C-level의 정보보호 거버넌스 측면의 역할과 책임을 정의하면 다음과 같다.
 
최고정보보호책임자(CISO·Chief Information Security Officer)의 역할에 대한 시각도 달라지고 있다. CISO의 역할은 이전까지 정보시스템 보호에 국한됐다. 또 CIO 직속으로 임명돼 모든 상황이 CIO에게만 보고하는 체계를 유지했다. 최근 정보보호에 대한 인식이 비즈니스 관점으로 확대되고 전사 차원의 정보보호 관리가 필요해지면서 위험상황이 발생했거나 위험이 예측되는 정황을 CRO 또는 CEO에게 직접 보고해 전사적인 대응을 하는 식으로 CSO의 역할이 바뀌고 있다. 글로벌 기업의 사례에서 이와 같은 조직구조와 역할 변화가 최근 나타나고 있다.
 
2) 이사회의 역할
정보보호와 관련해 C-level뿐 아니라 이사회의 역할도 중요하다. 이사회의 영향력 행사는 정보보호 관련 이해관계자를 통제할 수 있는 강력한 수단이 될 수 있다. 일반적인 이사회가 수행해야 할 주요 역할은 회사의 전반적 경영목표와 전략을 설정하고, C-level의 임명 및 감독을 수행하며 C-level의 평가를 통한 상벌 수준을 정하는 것이다. 이사회의 역할을 IT 영역에 한정해 살펴보면 이사회는 비즈니스와 IT전략의 일치성을 검토하고 정보시스템에 대한 위험관리 수준을 결정한다. 또 정보시스템이 조직의 목표 달성에 기여한 정도를 평가해 경영성과와의 연계성 및 투자 효율성을 판단한다. 이를 토대로 정보보호 거버넌스 측면에서의 이사회 역할을 다음과 같이 정리할 수 있다.
 
또한 이사회에는 중요한 영역별로 위원회를 둘 수 있는데 정보보호 거버넌스와 관련이 있는 위원회로 감사위원회, 보상위원회, 전사통제위원회, 위험관리위원회, 재무위원회 등을 꼽을 수 있다. 이 위원회는 각 분야별로 특화된 영역의 심도 있는 임무를 담당하고 있다. 여기에 정보보호와 관련한 더 체계적이고 상세한 수준의 역할 분담을 추가할 필요가 있다. 정보보호 관련 위원회의 주요 역할은 아래와 같이 정의할 수 있다.
 
①감사위원회(Audit Committee)
- 전사적 정보보호 거버넌스 투자의 적정성 확인
- 전사적 전략에 기반한 정보보호 투자전략 확보 검토
- 정보보호 시스템의 전략적 활용과 취득 등의 투명성 검토
 
②보상위원회(Compensation Committee)
- 정보보호 거버넌스 투자를 통한 효율성과 효과에 대한 보상 검토
- 정보보호 거버넌스 효과 측정을 위한 평가지표 개발
 
③전사통제위원회(Governance Committee)
- 이사회 구성원에게 정보보호에 대한 확고한 인식 부여
- 전사적 전략 및 정보시스템 부문과의 포괄적 시각에서의 정보보호 거버넌스 투자 검토
- 정보보호 전략의 주기적 점검을 통한 전사적 전략과의 일치성 확보
 
④위험관리위원회(Risk Management Committee)
- 전사적 위험관리 측면에서의 정보보호 전략 검토
- 감내할 수 있는 수준의 정보보호 투자유의 수준 결정
- 조직의 위험 포트폴리오 분석을 통한 정보보호 위험의 규모 산정
- 지속적 모니터링과 평가 통한 정보보호 활동의 적정성 확보
 
⑤재무위원회(Finance Committee)
- 정보보호를 위한 투자 및 자금흐름의 투명성 검토
- 정보보호 거버넌스를 위한 지속적 투자와 유지를 위한 자금 확보
 
이사회가 주어진 역할을 완수하지 못하면 법률적 책임이 따른다. 이러한 법률적 책임은 이사회의 구성원인 이사에 대해서 책임을 묻는 게 일반적이다. 최근에는 이사회의 역할에 대해 충분히 이해하지 못해 관리 및 감독기능을 소홀히 하거나 업무에 대한 이해도가 부족해 부적절한 평가를 한 이사에 대해서는 더 엄중한 책임을 묻는 추세다. 정보보호 거버넌스에 대한 이사회의 책임도 다양한 관점에서 논의되고 있다. 따라서 정보보호의 문제를 이사회 구성원 누구나 책임을 갖고 결정해야 하는 사항으로 인식할 필요가 있다. 이사회는 일반적으로 △이사회 구성원으로서 역할의 충실성에 대한 책임 △경영의 관리와 구조에 대한 검토 책임 △경영목표의 달성에 대한 적극적 검토와 이에 대한 C-level의 업무수행 충실도 평가에 대한 책임을 지는데 정보보호 거버넌스와 관련한 이사회의 책임도 이런 관점에서 이해할 수 있을 것이다. 다만 현실적으로 이사회의 구성원들이 IT 거버넌스는 물론 정보보호 거버넌스를 제대로 이해하거나 인식하지 못해 역할을 제대로 수행하지 못할 수 있다. 따라서 사전에 정보보호 거버넌스 측면에서의 이사회의 역할을 명확하게 공지하고 필요한 경우 이에 대한 설명회 등을 여는 것도 좋은 방법이다. 이러한 사전 이해와 설명을 통해 이사회의 구성원들이 정보보호 거버넌스에 대한 역할과 책임을 인식하고 기업의 목표 달성을 위한 정보보호를 비중 있게 다루도록 노력해야 한다.
 

조직 내 위상에 따른 역할 및 책임 정립
앞서 설명한 것처럼 정보보호 거버넌스를 위한 C-level과 이사회의 역할 및 책임을 개별적으로 정의할 수 있다. 그러나 국내 기업에서 C-level과 이사회의 구분이 모호하고, 대부분의 이사진이 위원회 위원을 겸직하는 경우가 많다. 따라서 정보보호 거버넌스가 내부통제 실현을 위한 솔루션으로 제 기능을 하려면 조직 내 위상에 따른 역할과 책임을 정립해야 한다. 이사회와 C-level의 역할 및 책임을 통합한 정보기술관리협회(ITGI)의 접근방법과 정보보호 거버넌스의 세 가지 원칙을 토대로 이를 구체화하면
<표3>과 같다.
 
지금까지 내부통제 솔루션으로서의 정보보호 거버넌스를 위한 이사회와 C-level 중심의 역할 및 책임을 분석하고 국내 기업 조직 구성에 대한 현실적 측면을 고려한 통합 관점에서의 역할과 책임을 재정의했다. 국내 기업의 경영 여건은 다양한 외부적 조건에 많은 영향을 받는다. 이사회 운영도 글로벌 기업의 수준이라고 얘기할 수는 없으며 현재 발전하는 단계라고 할 수 있다. 이사회와 C-level의 역할과 책임을 이상적인 수준에서 충족하지 못할 수는 있다. 그러나 향후 정보보호 거버넌스 본연의 목적을 달성하기 위해서는 이사회와 경영진의 명확한 분리를 통해 정보보호 실천과 이에 대한 감독 및 상벌이라는 역할과 책임을 체계화하고 실행하려는 노력이 반드시 필요하다.
 
윤석진 Ernst & Young 한영회계법인 파트너(상무) Yun@kr.ey.com
 
필자는 고려대 행정학과를 졸업하고 서강대 경영전문대학원에서 재무 전공으로 경영학 석사(MBA)를 마쳤다.
현재 한국정보시스템감사통제협회(ISACA Korea) 회장, CSA(Cloud Security Alliance) Korea Co-Founder로 활동하고 있다.
 
 
 
관련기사