[강은성의 CISO 스토리]보안문화-거버넌스, 시스템, 제도


비밀과 통제를 상징하는 ‘보안’과 밝고 말랑말랑한 느낌의 ‘문화’가 만난 ‘보안문화’라는 말이 기업에서는 보안을 생활화 한다는 의미로 쓰인다. 기획, 개발, 관리, IT, 영업, 마케팅, 품질 등 대부분의 기업 활동에 보안이 필요한 영역이 있기 때문에 보안문화를 형성하는 것이 기업 보안활동의 중요한 목표임은 당연한 일일 것이다. 직전에 맡았던 부서가 보안문화실이었고, 그 중 한 팀의 이름이 보안문화팀이었던 전 직장은 아마도 보안부서의 이름에 ‘문화’를 붙인 몇 안 되는 기업 중의 하나였지 않을까 싶다

보안분야에 몸담고 있는 사람들은 다들 보안문화의 형성이 보안이 이뤄야 할 목표로 생각한다. 조직 구성원들이 자발적이고 적극적으로 보안활동을 한다면 조직의 사업활동에 부정적인 영향을 최소화하면서도 보안수준은 매우 높을 것이기 때문이다. 하지만 아직 보안문화가 잘 형성되기 위한 구체적인 방법이 나와 있지는 않은 듯하다.

예를 들어 시스템에 로그인할 비밀번호를 최소한 3개월에 한 번씩 바꾸고 비밀번호는 영문 대소문자, 숫자, 특수문자를 포함해 10자 이상으로 해야 하는 보안지침을 보안부서에서 만들었다고 가정해 보자. 보안문화가 형성된 회사라면, 모든 구성원이 누가 시키지 않더라도 3개월 이하의 기간에 한번씩 비밀번호를 바꿀 것이다. 하지만 아마 실제로 그런 곳은 아마 매우 드물 것이다.

모든 구성원들이 이 비밀번호 보안지침을 지키게 하는 데에는 다음 몇 가지 방법이 있을 것 같다.

(1) CEO가 매주 열리는 전사 임원회의에서 비밀번호를 바꾸라고 지시하고, 매주 각 부서의 비밀번호 변경 현황을 보안부서에서 집계하여 보고하라고 한다.

(2) 임원 핵심성과지표(KPI)에 담당 조직의 비밀번호 변경 진척도를 포함시킨다.

(3) 비밀번호 보안지침을 지키지 않는 구성원들이 인사상 불이익을 받을 수 있는 인사제도를 만든다.

(4) 시스템적으로 3개월에 한번 비밀번호를 바꾸지 않으면 로그인 하지 못하고, 비밀번호 규칙에 맞지 않으면 비밀번호가 생성되지 않는 로직을 시스템으로 구성한다.

(1)을 시행하면 임원들은 자신에 대한 부정적 영향을 최소화 하기 위해 부서원들을 독려하여 매우 많은 구성원들이 비밀번호를 바꿀 것이다. (2)를 시행하면 KPI가 평가에 직접 영향을 미치고 이는 연봉에 영향을 미치기 때문에 임원과 산하 보직자들이 앞장서서 부서원들의 비밀번호 변경을 지시하고 독려할 것이다. (3)을 시행하고 실제 불이익을 받는 경우가 생기면, 임원들이 나서지 않더라도 직원들 다수가 주기에 맞춰 비밀번호를 바꾸기 위해 노력할 것이다.

현실적으로는 (4)를 시행하면 간단히 해결될 것을 굳이 (1)~(3)까지의 방법을 쓸지 의아하게 생각하신 분들이 많을 것이다. 아무리 제 때에 바꾸려고 해도 비밀번호를 변경하는 시기를 잊어 버릴 수도 있고 실수로 비밀번호 규칙에 맞지 않는 문자열을 입력할 수도 있기 때문이다. 또한 이러한 로직은 많은 시스템에 내재화 되어 있기 때문에 실제 간단하게 구현할 수 있다.

하지만 어떤 문제를 해결하기 위해 시스템을 구축하는 비용 대 효과가 좋지 않을 수 있고, 시스템을 구축해 놓고도 그것을 많은 구성원들이 이를 활용하지 않아 보안 문제가 발생할 수도 있다. 이 때 (1)과 같이 보안부서의 정책을 CEO가 관심을 갖고 주기적으로 보고하게 하면 전사적인 보안 활동이 원활하게 진행될 수 있다. 많은 부서가 함께 추진해야 할 보안 어젠더가 있다면 (2)처럼 그것을 사업계획 수립시 해당 부서의 공통 KPI로 잡으면 추진하는 데 큰 힘을 받게 된다.

CEO와 전사 주요 임원들이 참여하는 정보보호위원회와 관련 현업 실무책임자들이 참여하는 정보보호실무위원회 운영, 전사 임원회의에서의 주요 보안현안 보고, IT인프라 부서와 같이 보안이 중요한 부서의 일상적인 보안업무 보고, 현업 보안담당자의 지정과 적절한 지원, 1년에 1-2회 정도 이사회에 보안전략과 현황 보고 등 전사적인 주요 경영활동에 보안업무를 배치하는 보안 거버넌스를 갖추면 전사적으로 보안업무가 진행되는 크게 힘을 받을 수 있다.

시스템으로 구축하기 어렵고, 거버넌스의 손길이 미치지 않는 부분을 제어할 수 있는 방법이 (3)과 같은 제도의 영역이다. 예를 들어 임직원이 지켜야 할 보안지침이 있어서 그것을 위반할 때 불이익이 있고, 안타깝지만 실제 불이익을 당하는 임직원이 발생하면 제도를 통해 예방의 효과를 얻을 수 있다. 긍정적인 제도도 만들 수 있다. 적절한 보안 활동에 점수를 주고 누적시켜서 그에 따라 적절한 인센티브를 주거나 인사 평가에 반영하는 식이다. 비슷한 평가일 때 보안활동이 변별력이 있게 보이면 효과가 있다.

먼저 평가의 공정성이 담보되어야 함은 물론이다. 보안문화는 보안거버넌스, 보안시스템, 제도의 기반 위에 지속적인 교육과 모의훈련, 캠페인, 커뮤니케이션이 쌓여서 만들어진다. 이제 보안부서 혼자 끙끙앓는 보안이 아니라 경영진과 각 보직자, 구성원들이 적극적으로 참여하여 전체 보안수준을 높임으로써 기업의 중요 자산을 보호하고 크게 발전하는 기업이 많아지길 바라마지 않는다.

강은성

소프트웨어 개발자로 시작하여 보안전문업체에서 보안대응센터장, 연구소장을 거치고, 포털회사에서 최고보안책임자를 역임한 1세대 전문 CISO이다. 오랜 직장생활을 통해 개발, 사업, 프로세스, 보안 등 다양한 업무를 경험한 덕분에 보안 부서뿐 아니라 경영진, 현업, 스탭, 고객 등 다양한 관점에서 보안을 바라보고 소통하면서 회사의 보안 수준을 높이기 노력해 왔다. 이제 CISO Lab을 설립하여 기업 관점에서 정보보호 전략컨설팅, 자문, 교육 등을 통해 한국 사회의 보안 수준을 높이겠다는 포부를 가지고 활발한 활동을 벌이고 있다. 저서로 'IT시큐리티'(한울, 2009)가 있다.






포토뉴스