[넋두리 2] 14. 보안문서와 기업문화

기업의 문서를 보면 기업을 알 수 있다

오랜 정보보안 분야 활동을 해오면서 다양한 분야에 걸친 여러 기업들의 정보보안 관련 문서들을 검토할 수 있는 기회를 얻을 수 있었다. 그 과정에서 한 가지 깨달은 점은 기업의 정보보안 문서들을 검토해 보는 것만으로도 기업의 현재 정보보안 수준을 능히 추정할 수 있으며, 추정했던 내용과 실제 수준이 다르지 않았다는 점이다.

정보보안 문서가 기업의 여러 문서들 중 일부에 해당함을 감안하면 이는 비단 정보보안 분야에만 해당하는 것은 아닐 것이다. 실로 기업의 문서를 살펴보는 일은 그 기업의 문화를 살펴보는 것과 다르지 않기 때문이다.

기업을 운영하다 보면 다양한 유무형의 자산들이 생겨나게 되고, 그중 유형의 자산은 대체로 문서의 형태로 생성되고 운영된다. 무형의 자산 역시 언제든 소실될 위험이 있으므로, 이를 보존하기 위해 문서라는 유형의 자산으로 전환하고자 노력하게 된다. 즉, 기업에게 있어 문서는 기업이 축적해온 지식과 경험, 문화가 요약된 결과물이며 중요한 자산이다. 그런 전차로 기업의 정보보안 현황을 파악하고 이해할 수 있는 가장 빠른 방법은 기업이 보유한 정보보안 관련 문서들을 검토하는 것이다.

게다가 보안문서 검토 작업을 통해 정보보안이 기업에게 중요한 업무로 취급되고 있는지 아니면 비용만 축내는 업무로 경시되고 있는지와 같은 현재 처지를 파악하는 데에도 도움이 된다. 그러므로 기업을 대상으로 한 보안점검이나 보안컨설팅을 수행하는 경우에는 무엇보다도 보안문서의 검토가 선결되어야 한다.

다만, 단순히 검토하고 훑어본다고 기업의 보안문화를 파악하는 효과를 볼 수 있는 것은 아니므로 다음과 같은 기준들을 참고하면 도움이 될 수 있다.

1. 보안규정이 종류별로 구비되어 있는가.

정보보안 분야는 여러 법률 및 보안기준들을 따르도록 강요받는 업무이다. 따라서, 보안의 적용이 필요한 업무별로 그 수행을 위한 내부규정의 마련이 필요하다. 흔히 보안정책/지침/가이드로 표현되는 문서들이 그것이다. 이런 규정을 스스로 마련하는 것이 쉽지 않아 타사의 보안규정을 가져와 회사 명칭 및 로고만 변경해 쓰고 있는 경우도 비일비재하다. 업무별로 마련되어 있는지 확인해야 하며, 기업에게 불필요한 규정은 없는지도 확인해야 한다. 기본 보안기준들이 구비되어 있고 보안조직이 운영되고 있다면 최소한 기업이 보안의 필요성을 공감하고 있다고 기대할 수 있다.

2. 보안규정이 최적화되어 있는가.

많은 경우 기업의 보안규정에서 제시하고 있는 내용이 실제 보안업무를 수행하고 있는 과정과 일치하지 않는 경우가 발견된다. 대체로 외부의 보안규정을 가져와 차용하는 경우이지만 자체 제작한 경우에도 불일치 상황은 심심찮게 발생한다. 불필요한 과정을 제거하는 간소화를 통해 보안업무 수행절차를 변경하였음에도 이를 내부규정에 반영하지 않기 때문이다. 기업이 보유하고 있는 보안규정들과 실제 보안업무 수행절차들이 일치하는 경우라면 수시로 최적화 작업을 수행하고 있음을 의미하는 것으로 뛰어난 기업 보안 수준을 기대할 수 있다.

3. 문서가 보기 쉽게 구성되어 있는가.

정보보안 내부규정은 업무수행의 결과물로서 보안문서를 작성하도록 제시하고 있다. 이 산출물의 구성 형식을 살펴보는 것이 기업문화를 이해하는데 도움이 된다. 산출물을 작성하는 작성자의 시각이 아닌 산출물을 읽어보는 사람에 대한 배려가 반영되어 있는지 알 수 있기 때문이다. 이때 문서가 단순화, 효율화의 원칙을 따르고 있는지 확인하면 된다.

단순화 : 불필요한 내용을 배제하고 꼭 필요한 것만 기술

효율화 : 읽는 사람이 읽기 쉽고 이해하기 용이하도록 구성

읽는 사람의 입장에서 보기 쉽고 이해하기 용이하도록 작성하고 있다면 좋은 기업문화와 뛰어난 보안 수준을 기대할 수 있다.

4. 정보보안 조직이 수신에 포함되어 있는가.

정보보안 업무란 기업 내 다른 조직들에게는 힘들고 귀찮으며 돈과 시간을 많이 소모하는 업무로 취급받기 일쑤다. 따라서 보안조직과의 공유 및 내부 검토가 필요한 사안임에도 불구하고 보안조직과 공유하지 않고 자체 처리하는 경우가 흔하게 발생한다. 추가적인 시간과 비용의 발생 가능성을 걱정하기 때문이다. 따라서 IT분야, 개인정보, 위치정보, 영업비밀 등이 관련된 사안들에서 정보보안 조직이 결재 과정이나 공유과정에 포함되어 있다고 확인된다면 보안을 중시하는 기업문화를 가졌다고 인정될 수 있어 뛰어난 보안 수준을 기대할 수 있다.

5. 결과물이 잘 정리/보관되어 있는가.

기업의 정보보안 활동에 대한 평가는 내부 보안규정 및 보안문서의 존재 여부로 평가받게 된다. 정부기관이나 심사기관에 의한 평가뿐 아니라 침해사고 발생 시 법원의 평가 역시 내부규정 및 보안문서의 존재 여부에 달려있다. 정보보안조직이 정보보호활동을 성실히 수행하여 왔음을 내외부에 증명할 수 있는 유일한 방법인 것이다. 따라서, 문서를 생성하는 작업만큼 생성된 문서를 잘 정리하고 보관하는 것이 중요하다. 필요시 언제든 관련 문서를 찾아 제출함으로써 활동에 대해 증명할 수 있어야 하기 때문이다. 결과물이 잘 정리되어 있다면 상당한 수준의 보안 수준을 기대할 수 있다.

정보보안활동을 포함한 기업의 모든 활동은 결과물로서 흔적을 남기게 된다. 그 흔적인 보안문서를 통해 기업의 보안문화를 엿볼 수 있고 한걸음 더 나아가 기업문화 자체를 엿보는 것도 가능하다. 기업의 문서를 보면 기업을 알 수 있다.