2016년, 국내 정보보호 분야는 큰 변화를 겪고 있다.

37개 종합대학과 43개 대형병원이 정보통신망법이 요구하는 정보보호관리체계(ISMS) 인증 의무대상자로 지정됐기 때문이다.

대학과 병원 정보보호 담당자는 발등에 불이 떨어졌지만 보안 전문업체는 새로운 시장이 형성됐다.

미래창조과학부는 ISMS 인증 의무대상자를 확대한 것을 두고 "정보보호가 되지 않고 있는 기업이 많기 때문"이라고 설명하고 있다. 자발적인 활동이 미약하니 법으로 강제하겠다는 것이다. 이면에는 기존 의무 대상자들이 '정보보호 수준향상' 효과를 보았기에 대상 확대를 통해 혜택 범위를 늘려보겠다는 의도도 엿보인다.

미래부 의도에 심하게 동의하면서도 한편으로는 씁쓸한 감을 지울 수 없다. 강제로 향상된 정보보호에는 한계가 있기 때문이다. 법이 요구하는 기준을 만족, 점수가 향상됐다고 하더라도 기업의 정보보호는 최근 몇 년간 제자리에 머물고 있는 것이 현실이다.

전문가에 따라 의견이 다를 수 있지만, 대체로 정보보안의 진화는 3단계에 걸쳐 진행된다.

첫번째는 보안 조직의 주도로 정보보호 수준이 향상되는 단계다. 각종 보안 인증 획득, 보안인력 확보, 보안제품의 구매ㆍ적용으로 도달이 가능한 단계다. 현재 국내 많은 기업들이 도달한 단계다. 일부 금융회사와 대기업의 경우 95점 이상의 우수한 수준을 유지하고 있다고 볼 수 있다.

임홍철 정보안전부장

두번째 단계는 변화관리 단계로 정보보호가 임직원의 기업문화에 녹아 들어 회사 생활에서 자연스럽게 이루어지는 경우다. 2단계에 도달하기 위해서는 지속적인 교육을 통해 인식의 변화를 추구하고, 임직원이 정보보호활동에 참여해 보안이 업무 과정에 녹아든다.

3단계는 경영과 일체화 되는 경우다. 이 단계에 도달하면 기업의 영속성 달성을 위한 최고경영진의 경영전략에 보안이 내재화 된다. 최고정보책임자(CIOㆍChief Information Officer)와 정보보호최고책임자(CISOㆍChief Information Security Officer)를 분리하지 않아도 된다. 회사 경영전략이 나오면 보안 조직이 별도로 보안의 필요성을 검토하는 등의 특별한 활동이 필요 없게 된다.

국내 기업들은 대부분 1단계에 머물러 있다고 볼 수 있다. 95점 이상의 '우등생'이라고 홍보를 해도 보안 조직에 의해 만들어진 점수다. N 포털사와 같은 극소수의 기업만이 2단계에 도달했다고 해도 과언이 아니다. 2단계부터는 기업의 자발ㆍ능동적 활동이 없이는 달성하기 어렵다.

우리 기업들이 2단계에 도달할 시점이 언제일지는 가늠하기 어렵다.

키워드

#N
저작권자 © 누구나 안심하고 살 수 있는 세상을 만드는 언론 세이프타임즈 무단전재 및 재배포 금지

관련기사