brunch

You can make anything
by writing

C.S.Lewis

by 김정덕 Nov 08. 2018

비즈니스 연계 보안전략

무엇을 위한 보안인가?

보안은 보안을 위해서 존재하는 것이 아니라 조직의 비즈니스를 위해 존재하는 것이라는 사실은 다시금 곱씹어 보아야 할 명제이다. 사실 오래전부터 ICT와 비즈니스와의 연계(Alignment)가 미흡하다고 지적되어 왔으며 ICT에 뿌리를 두고 있는 사이버 보안도 역시 이 문제에 대해 자유로울 수 없다고 사료된다. 그러나 ICT의 역할이 비즈니스 지원(Support)에서 머물지 않고 비즈니스에 긍정적 영향(Impact)을 주는 요인이라는 역할 변화를 인지하고 있는 바와 같이 보안도 비즈니스를 가능(Enabler)하게 하고 차별화(Differentiator) 요인으로서 역할 변화를 해야 한다.

그러나 조직에서 수행되는 보안활동이 비즈니스 상의 업무를 적절히 지원하고 또한 새로운 비즈니스를 위해 얼마나 긍정적인 역할을 수행하고 있는지 자성해볼 필요가 있다. 그동안 보안을 ICT 이슈로 인식하고 관련 문제도 ICT 솔루션으로 해결하는 데에 치중하였다는 점을 부인하기 어렵다. 이러다 보니 자연스레 비즈니스와의 연계가 충분히 되지 않은 상태에서 ‘그들만의 리그’라는 함정에 빠져 있는 우를 종종 범하고 있다.

보안사고로 인해 조직에 막대한 피해가 발생되고 심지어는 최고경영층이 경질되는 현실을 반영하면서, 미래의 생존전략으로서 안전한 디지털 제품과 서비스를 개발해야 하는 보안에 대한 요구사항을 더 이상 외면할 수는 없다. 즉 이제부터는 보안을 비즈니스적 이슈로 인식하고 전사적 협업체계 속에서 보안관리 활동을 수행해야 할 것이다. 물론 문제 해결에 있어 기술 기반의 도구가 중요하다는 점은 부인할 수 없다. 우리는 맨 손으로 못을 박을 수 없다. 망치가 있어야 하고 심지어 Nailing Machine이 필요할 수도 있다. 그러나 어느 종류의 못을 어디에 박아야 효과적인 가를 결정하는 것은 결국 디자이너의 몫인 것이다. 즉 비즈니스와 연계된 보안활동이 필요한 이유가 여기에 있는 것이다.

그러면 비즈니스와 연계된 보안 전략을 수행하기 위해서는 무엇을 어떻게 해야 하는 것인가? 필자는 세 가지 측면에서의 구현 방안을 제시하고자 한다. 첫째, 비즈니스와의 전략적 연계(Strategic Alignment)를 위한 조직체계를 구축해야 한다. 즉 비즈니스의 요구사항을 적절히 파악하고 대응하기 위해서는 현업부서 경영층의 참여(Engagement)를 기반으로 하는 거버넌스 관점에서의 협업체계를 구축할 필요가 있다. 거버넌스란 지시(Direct)와 통제(Control) 활동을 의미하는 것으로 조직의 규모와 특성에 따라 특정 유형의 거버넌스 체계가 적용될 수 있으나, 일반적으로 비즈니스 보안을 위해서는 최고경영층의 적극적 참여와 솔선수범하는 리더십 하에서 전사적 협업 체계 구축이 바람직하다고 할 수 있다. 이를 위해서는 전사적 보안을 주도적으로 수행하는 보안 조직(팀)뿐만 아니라, 최고 의사결정기구(예: 경영위원회)에서 주요 의제로서 보안이 주기적으로 보고되고 조정되어야 하며, 보안 실무협의체가 구성되어 실질적 협업을 수행할 수 있어야 할 것이다. 또한 관련 임직원에 대한 보안 관련 권한과 책임을 분명하게 정의하여 갈등 요인들을 최소화하여야 할 것이다.

둘째, 위험기반의 투자관리가 필요하다. 보안은 더 이상 조직운영에 소모되는 비용이 아니라 비교우위를 창출하고 주요 자산 보호를 위한 투자라는 관점의 변화가 필요하며, 이를 위해서는 위험관리 기반의 보안투자 전략이 수립되어야 한다. 즉 비즈니스 운영을 위해 필요한 법규 준수(컴플라이언스)라는 소극적 자세에서 벗어나 조직과 비즈니스의 특성을 반영한 위험을 기반으로 보안투자 우선순위가 결정되고 자원 할당이 이루어져야 한다. 위험에 대한 완벽한 보호조치는 불가능함을 인지하고 가장 적절하게 대응하기 위해서 조직이 수행해야 할 활동을 지속적으로 선택하는 것이 필요하다. 특히 디지털 제품이나 서비스를 개발하기 위해서는 민첩한(Agile) 대응이 무엇보다 중요한데 보안이 발목을 잡아서는 안될 것이다. 개발 초기부터 참여하여 보안을 내재화하여야 하며, 출시 후에는 남아있는 잔여 위험을 명시함으로써 후속적인 보완 노력이 수반될 때 비로소 현업 관리자와 원활한 의사소통과 신속한 의사결정이 가능할 것이다.

셋째, 비즈니스 관점에서의 성과평가가 수행되어야 한다. 보안 성과평가는 임직원의 보안활동을 유도하는 동기부여 측면에서 효과가 있으므로, 합리적인 평가 기준을 정하는 것은 매우 중요하다. 최근 보안측정의 중요성을 점차 인식하게 됨에 따라 보안활동에 대한 측정이 강조되고 있으나 많은 경우 보안 영역 내에서의 효과성/효율성 측정으로 끝나는 경우가 있다. 이러한 보안 측정 활동도 중요하나 이 활동이 비즈니스에 미치는 영향(Impact)을 측정하고 이것을 부서와 개인의 성과평가에 반영할 때 비로소 비즈니스와 연계된 전사적 보안이 가능해질 것이다.

결론적으로 비즈니스 연계 보안(Business-Aligned Security)을 위해서는 조직의 특성을 반영한 보안 거버넌스 활동이 매우 중요하다. 비즈니스와의 전략적 연계를 통해 보안 정책 및 계획이 수립되어야 하며, 위험관리 기반의 투자활동이 수행되고 이를 비즈니스 관점에서 성과를 평가하는 선순환 활동이 수행되어야 한다. 이를 위해서는 최고경영층의 리더십이 절대적이며 실행조직으로서 보안관리 부서의 역량강화가 우선되어야 할 것이다.