갑작스럽고 예상치 못했던 질문이어서 답변을 할 준비도 전혀 되어 있지 않았다. 하지만 성급하게 답변하고 싶지는 않은 마음에 잠시 생각을 정리하는 시간을 가진 뒤 다음과 같이 답해주었다.
"어느 회사의 보안 수준을 알려면 그 회사의 보안조직에 대해 알아보면 됩니다. 기업 보안의 질(수준)은 소속된 보안조직의 질(수준)을 뛰어넘을 수 없는 법이니까요"
사람들이 착각하기 쉬운 것이 있다. 회사가 클수록 혹은 매출이 많을수록 혹은 대기업일수록 보안도 잘할 것이라고 생각하는 것이다. 물론 아주 근거가 없는 생각은 아니다. 회사가 크고 매출도 많고 게다가 대기업이기까지 하다면 당연히 보안조직의 규모도 클 가능성이 높고 여러 보안설루션을 도입했을 가능성도 높다.
대체로 이러한 것들이 외부에서 기업의 보안 수준을판단하는 데 사용되는 기준이기도 하다. 하지만 이런 기준에는 명확한 한계가 존재한다. 기업 정보보안의 수준을 판단할 수 있는 기준에는 정량적 영역과 정성적 영역이라는 두 개의 영역이 존재하는데 위의 내용들은 그중 정량적 영역에만 해당하는 기준이기 때문이다.
정량적 영역은 대체로 자본이 할 수 있는 영역으로 구체적이고 형태가 존재하는 영역에 해당한다. 사람을 뽑고 제품 및 장비를 도입하고 외부업체에 업무를 위탁하는 등의 형태가 이에 해당한다. 규모를 파악하고 수치화하는데 용이하다는 특징이 있으므로 보고서 등의 기록에 반영된다.
정성적 영역은 대체로 사람에 대해 평가하는 영역으로 개념적이고 형태가 없는 영역에 해당한다. 보안조직 전체의 역량, CISO의 직위 및IT/보안분야 전문성, 보안담당자들의 전문성, 대표이사와 경영진의 보안에 대한 지원 의지, 보안조직의 회사에 대한 애사심 등의 항목들이 여기에 해당될 수 있다. 외부에서 조사하기 쉽지 않고 수치화하기도 어렵다는 특징이 있으므로 보고서 등의 기록에 잘 반영되지 않는다.
보이는 것은 따라 하기 쉽다. 비슷한 규모를 가진 동종업계 기업들 간의 정보보안에 대한 정량적 영역 평가의 결과가 대체로 대등 소이한 이유다. 서로가 서로를 바라보며 비슷한 수준의 투자를 해온 것이 이유다. 따라서 설령 기업 규모가 다르거나 타업종 일지라도 같은 평가기준을 공유하는 경우 정량적 평가의 결과 즉 보안 수준은 결국엔 비슷해지게 마련이다.
그러므로 실제 기업의 정보보안 평가에 대한 변별력을 가질 수 있는 부분은 정성적 영역에 대한평가라고 할 수 있다. 하지만 앞서 언급했듯이 정성적 평가 영역은 조사하기가 쉽지 않다. 기업 내부자가 아니고서는 여간해서는 파악하기 힘든 내용들이 대부분이기 때문이다. 그나마 외부에서 나름 쉽게 접근해 알아볼 수 있는 부분이 보안조직에 대해 알아보는 것이다. 결국엔 정량적 평가 영역도 보안조직이 관리/운영해야 하는 것임을 고려하면 정보보안조직이 기업의 정보보안에서 상당히 큰 비중을 차지함은 당연한 것이기도 하다.
정말로 어느 기업의 보안 수준을 알고 싶다면 밖에서는 보이지 않고 알기 어려운 기업 내부의 환경 중 보안조직을 들여다보라. 인터넷과 정보공유가 발달한 요즘이라면 조금의 노력을 들인다면 충분히 알아볼 수 있는 정보들이 있다. 보안조직의 구성원이 누구누구인지, 그들이 보안분야 전문가가 맞는지, 업무수행 능력과 경험이 있는지, 그들에 대한 동종업계 전문가들의 평이 어떠한지 등등 말이다. 그것들을 통해 기업의 보안 수준을 능히 가늠해 볼 수 있다. 기업 보안의 질(수준)은 소속된 보안조직의 질(수준)을 뛰어넘을 수 없기 때문이다.
