기업들이 마주하고 있는 정보보안 도전과제와 이슈는?
지난 6월 1일, 코엑스에서 열린 PIS FAIR 2018 개인정보보호 컨퍼런스에서 UL은 ‘정보보안 리스크 관리의 도전과 이슈’라는 주제로 특별 강연을 진행했다. 업계 관계자와 보안 실무자들을 포함한 총 4,500여명의 업계 관계자들이 참석한 이번 컨퍼런스에서는 최근 주요 분야로 떠오르고 있는 사이버 보안과 더불어 개인정보보호의 중요성에 대한 인사이트를 공유하는 한편, 자율규제에 대한 방향성을 함께 논의하는 시간을 가졌다.
오후에 진행된 특별강연 세션에서는 현재 UL에서 정보보안 심사를 담당하고 있는 조병용 부장이 기업들이 정보보안의 리스크 관리 시 마주하는 다양한 도전과제와 이에 따른 대응방안을 공유했다. 특히, 지난 2013년 해커의 공격으로 약 7천 만명 이상의 개인 및 신용카드 정보를 유출당한 미국의 한 슈퍼마켓 기업의 사례를 언급하며, 안전한 정보보안 시스템의 중요성과 금전적, 신뢰적 손실 등 이과 같은 공격으로 인한 위험성을 강조했다.
‘정보보안 리스크 관리의 도전과 이슈’라는 주제로 진행된 이번 세션 내용을 요약하면 다음과 같다:
1. 복잡한 정보보안 리스크 환경
최근 사회, 경제, 기술적 변화로 인해 리스크에 영향을 미치는 요소의 복잡도(complexity)가 심화되고 있는 가운데, 리스크의 발생 가능성을 정확하게 평가하는 것은 한 개인이 감당할 수 있는 능력 범위를 넘어서게 됐다. 특히, 사이버 위협, 규제의 이동, 인구 변화를 포함한 다양하고 복합적인 사회적 요소들이 정보보안 리스크에 영향을 미치기 때문에 복수의 평가자가 다양한 시각과 접근법을 통해 리스크를 평가하고, 이를 통합하는 것이 필요하다. 여러 명이 다양한 관점에서 잠재적인 리스크 요소를 사전에 적극적으로 평가하고, 피해를 최소화하는 전략적인 리스크 관리방법을 수립하는 것이 점차 중요해지고 있는 이유다.
2. 부정적 여론의 확산에 따른 대응책
오늘날 미디어의 발전으로, 한 조직에서 발생한 정보보안 사고는 기사를 통해 순식간에 확산된다. 이러한 뉴스는 간혹 사실과 무관한 사건까지 함께 언급되어, 실제보다 부정적인 여론이 생성될 수 있고, 이는 기업의 전반적인 신뢰도 및 브랜드 가치에 막대한 악영향을 끼친다. 하지만 사고 발생 시에는 대응을 위한 충분한 시간적 여유가 없기 때문에 이 같은 상황을 사전에 고려하고, ‘비상대응 메뉴얼’을 만들어 리스크를 보다 선제적으로 대응하는 것이 필요하다. 숙련된 담당자를 통해 사고의 내용과 원인을 정확히 공개함으로써 불필요한 오해를 방지하는 한편, 진행되고 있는 조치 현황을 공개함으로써 기업과 조직에 부정적일 수 있는 피해가 확산되지 않도록 해야 한다.
3. 컴플라이언스(compliance) 대응
최근 기업의 IT 보안환경이 점차 복잡해짐에 따라 보안 규격이 강화되거나 새로운 규격이 도입되고 있는 추세다. 때문에 많은 보안 컴플라이언스 프로그램이 리스크 관리를 주요 평가항목 중 하나로 요구하고 있다. 하지만, 리스크 관리를 단순히 컴플라이언스 대응의 관점으로만 접근한다면, 기업이 추구하는 전략과는 다른 방향으로 흘러갈 수 있어 프로세스가 정상적으로 수행되지 않을 가능성이 높다. 특히, 컴플라이언스 프로그램은 기업의 비즈니스 특성에 따라 리스크 평가 방법이 달라질 수 있으므로, 심사원이 리스크 평가 결과보고서를 검토할 때 이를 적극적으로 방어하고 변호할 수 있는 준비가 필요하다. 이를 위해서는 기업 정보 시스템의 위협, 취약점, 리스크를 적절히 식별하고, 이에 대한 평가가 제대로 이루어졌는지 확인할 필요가 있다.
4. 리스크 대응 기업 전략
오늘날 정보보안 리스크 관리는 보안 담당자들만의 과제가 아닌, 전사적으로 고려되어야 할 부분이다. 기업 전체의 전략에서 정보보안 전략이 일부로 녹아들어야만 보다 효과적인 리스크 대응이 가능하다. 아직도 많은 기업에서 실무를 담당하는 조직이 정보보안 리스크를 중요하게 고려하는 경우가 많지 많아 리스크 대응에 대한 C-level(임원진)의 적극적인 지원이 필수다. 더불어 기업 내에서 사실에 기반한 대화가 이루어지지 않는다면, 리스크에 대한 적절한 대응을 할 수 있는 골든 타임을 놓치는 결과가 발생할 수 있기 때문에 주의해야 한다.
5. 리스크 관리 기법
기업들은 리스크에 대한 의사결정 구조를 수립하는 한편, 개별 리스크의 특성에 따라 관련 의사결정을 하기 위한 절차와 의사결정 담당자를 지정해야 한다. 예를 들어, 한 프로젝트의 매니저에게 기업 전체 비즈니스에 영향을 줄 수 있는 리스크에 대한 의사결정권을 제공하게 되면, 프로젝트에 집중해 전사적인 차원에서 리스크를 바라보지 못할 수 있고, 이로 인해 뜻하지 않은 피해를 입을 수 있다. 동시에 의사결정 프로세스가 지나치게 리스크 관점에만 치우친다면 관련 비즈니스 영향도가 간과될 수 있어 이 또한 균형적으로 고려되어야 한다.
6. 아웃소싱 리스크 관리
아직도 많은 기업들이 타 업체(third party)에 맡긴 업무에 대해 계약서의 조항 중 하나로 ‘정보보안과 관련한 문제 발생 시 제3자가 모든 법적, 금전적 손실을 책임진다’는 항목을 추가, 이를 통해 업무에 더 이상 관여하지 않는 경우가 많다. 하지만, 만약 제 3자 기관에서 보안 문제가 발생하면 기업의 명성과 신뢰에 막대한 영향을 미칠 수 있고, 발생할 수 있는 금전적 손실도 경우에 따라서는 관련 업체가 책임질 수 있는 규모를 넘어설 때도 있다. 즉, 기업들이 단순히 계약 조항만으로 모든 책임(Due Diligence)을 다 했다고 볼 수 없는 것이다. 따라서, 제 3자 기관이 담당하는 업무 영역에 대해 자사와 동일한 수준의 보안을 유지하도록 해당 직원에게 (자사와) 동일한 수준의 규정과 리스크 관리를 교육 및 제공하는 등 보다 체계적으로 접근해야 함을 기억해야 한다.
정보보안 리스크 관리와 관련 문의사항 및 교육요청은 아래 담당자를 통해 진행 가능하다.
문의
UL 코리아 조병용 부장: Brandon.Jo@ul.com