[ET단상] 보안, 정책과 인간이 중심이다

　정보기술(IT)이 정보보안의 전부라는 오해가 있다. 지난 7.7 DoS(분산서비스거부) 대란이라는 홍역에도 불구하고 정보보안 위협은 끊임없는 진화와 변화로 우리를 공격하고 있다. 정보보안은 21세기 경영과 과학의 종합 예술이라고 할 수 있다. 그러므로 정보보안 강국이 되기 위해서는 사람과 기술 그리고 프로세스의 조화가 필수적이다.

　정보보안의 위협 양상은 다양하다. 그러나, 근본적인 속성은 정보보안과 관련된 일련의 원인과 수단이 사람을 통해 이뤄지고 위협의 중심에는 항상 인간이 존재한다. 인간에 의한 위협은 악의적 공격, 보안의 무지, 부주의나 실수, 규칙 미준수나 무시 등으로 다양하게 나타나곤 한다. 이를 예방하는 첫 단추는 정책에서 시작된다. 일반적으로 정보보안 정책은 국제 기준, 기술 표준, 조직 문화, 인원관리, 교육 훈련, 인식 전환, 실수 제어, 강제성과 의무 부과 등을 모두 포함한다.

　미래 유비쿼터스 정보기술 시대에는 기술적 방법과 전문가의 노력만으로는 결코 정보 보안 강국이 될 수 없다. 모든 구성원의 참여를 통해서만 위험을 최소화 할 수 있다. 우리나라는 정보보안 발전에 많은 노력을 하고 있으나, 아직도 기술적 측면에만 노력을 기울였고 정책이나 인적자산 관리에 대한 노력은 매우 미흡하다.

　정보보안 관리에서 업무용 컴퓨터를 개인용 PC로 여기거나, 보안 원칙으로 금지와 통제가 능사라는 인식이 있는 한, 정보보안 강국으로 가는 길은 요원하다. 이제 우리는 정보보안 강국으로 가기 위해 선진화된 정책과 관리 기반을 다음과 같이 구축해야 한다.

　첫째, 정보보안 정책 그룹의 육성이다. 정보보안 정책은 우리나라의 기술과 문화를 기반으로 국내·외적으로 활용될 수 있도록 개발돼야 한다. 따라서 정보보안 정책의 전담 연구기관과 전문가를 국가적 차원에서 조기 육성해야 한다.

　둘째, 공공기관과 대기업을 중심으로 정보보안 관리 체계를 발전시켜야 한다. 즉, 정부차원에서 보안교육을 의무화하고 조직의 상부로부터 정보보안 전문가(CPP 등)를 배치하는 등 제도적 노력과 더불어 정보보안 관리의 전문성과 효율성을 한 단계 제고해야 한다.

　셋째, 기술 중심의 편향된 정보보안 발전 방향을 전사적인 정보보안 거버넌스, GRC(Governance, Risk Management and Compliance), 보안가치(Value Security) 관점을 반영한 발전이 되도록 정책적인 변화가 요구된다.

　세계적 보안기술자인 브루스 슈나이어(Bruce Schneier)는 ‘기술이 보안문제를 해결할 수 있다고 생각하는 사람은 문제도 기술도 이해하지 못하고 있는 것”이라고 말했다. 정보보안 강국으로 가기 위한 첫 걸음은 선진화된 정보보안 정책과 관리 체계를 구비하는 것이다.

　정보보안 업무를 기술적인 부분만 강조해 사람이나 정책에 대한 부분을 간과하거나, 보안을 보는 시각이 협소해 기술적 방어에만 치중하는 사례는 없어야 한다. 또한 정보화 기술이 융합된 정보보안 업무를 누구나 할 수 있고, 몰라서 하지 않는다는 편견과 오해는 경계해야 한다. 바다를 건너려면 먼저 수평선을 바라보아야 한다. 올해는 우리나라가 IT 강국이라는 명성과 어울리는 정보보안 강국의 초석이 되는 한 해이기를 희망한다.

차인환 A3 시큐리티 R&D 이사(captain757@hanmail.net)