옥션, SK브로드밴드 전신인 하나로텔레콤, GS칼텍스 등 최근 잇따른 대형 고객정보 유출사고가 터지면서 기업들이 정보보호에 대한 관심이 높아지고 있다.
기업들은 안전한 정보보호를 위해선 방어막 기능을 제공하는 다양한 솔루션을 구매해 네트워크 상에 배치해야 한다.
이를 통해 외부 해킹 혹은 내부자에 의한 정보 유출 등에 대비해야 한다. 그러나 솔루션만 가지고 보안 위협을 막아낼 수 없다. 사람의 세심한 손길이 따라야 다양한 보안 위협을 차단할 수 있다.
기업들은 사내에 적정한 수준의 보안전문가를 배치해, 다양한 보안 정책을 세우고, 위협을 탐지하며, 내부직원에 대한 보안교육을 진행할 수 있다.
그러나 어떤 보안 조직을 기업이 보유해야 하는지 판단하는 것은 언제나 어려운 일이다.
이에 본지는 정보보호 전문업체인 인포섹의
자사의 보안업무 범위와 대상을 분석한 결과를 바탕으로 필요한 인력 수와 구성을 산출해야 한다는 것이 윤 이사의 설명이다.
기업의 보안 업무영역은 보안기획, 보안진단, 보안운영, 보안관제, 보안교육 등 다양한 형태로 구분할 수 있다.
윤 이사는 “이중 어디서 무엇까지 해야 하는지 결론을 내야하며, 결론이 서면 이중 어떤 것을 내부에서 하고 어떤 것을 외부에 맡겨야 하는지 결정해야 한다”고 밝혔다.
내부에서 직접 해야 할 대표적인 업무는 기획성 업무가 있다. 기획성 업무엔 연간 보안업무 계획 수립, 외부인력 활용 결정, 연간 보안업무 수행 및 평가, 개선책을 조직 내 반영하는 것 등 다양하다.
“이 같은 기획성 업무를 수행하려면, 기업은 보안관리 기획자, 보안기술 기획자, 보안성 심의 담당자, 보안감사 등 기획 업무에서 핵심이 되는 인력을 자체로 확보하는 것이 바람직하다”고 윤 이사는 밝혔다.
보안교육 역시 직접 챙겨야할 영역으로 볼 수 있다. 물론 필요에 따라 외부 전문가를 활용하는 것도 고려해야 한다.
최근 보안 사고들이 많이 터지면서, 기업들이 보안교육에 관심을 갖게 됐다. 기업은 보안 교육을 통해 직원들이 보안에 위배되는 행위를 하는지 알 수 있도록 내부 보안규정을 설명하고 주기적으로 전달해야 한다.
개인정보의 수집 규모와 활용도 등 몇 가지 전제가 있지만, 개인정보보호를 위한 인력도 내부에 두는 것이 좋다.
윤 이사는 “개인정보보호을 위해선 개인정보보호를 위한 책임자를 명시하고 지속적이고 일관성있게 개인정보관리를 담당할 수 있는 기획인력을 자체로 확보하는 것이 필요하며, 개인정보보호 업무가 무엇이 있고, 개인정보보호를 위한 취약점들은 무엇이 있는지 등을 파악하는 시점에선 외부 전문 인력을 활용하는 것이 좋다”고 설명했다.
기술적인 업무는 대개 외부의 보안 전문 기관에 맡기는 것이 좋을 것이다. 이 같은 기술적인 업무엔 취약성 진단 혹은 모의해킹 같은 것들이 있다.
윤 이사는 “이런 보안 사안들은 전문성이 요구되는 것이어서 외부에 맡기는 것이 바람직하다. 웹 시스템과 같은 민감한 시스템의 경우 반기 혹은 분기 마다 외부 전문기관에 의뢰해 취약성 진단을 해야 한다”고 밝혔다.
취약성을 분석한 이후 보안 마스터플랜을 짜는 작업이나 보안 감사의 경우, 내부 인력을 두고 직접 해야 할 일이다. 그러나 급변하는 트렌드의 반영, 보안 전문성의 확보 등 필요한 경우 외부 인력과 함께 공조해야 하는 분야이기도 하다.
윤 이사는 “보안 마스터플랜을 짜는 작업은 전문적인 보안 영역이어서 외부 인력을 적극 활용해야 한다”며 “마스트플랜을 수립하면 기업은 정보침해 위험 대응을 위해 당장 할 수 있는 것과 나중에 할 수 있는 일을 구분할 수 있다”고 밝혔다.
“여기서 당장 할 수 있는 것이란 취약성을 분석해 나오는 취약성 중 바로 조취를 취할 수 있는 것들을 의미한다. 장기에 해야 하는 일들은 주로 돈이 많이 드는 작업들이다. 장비를 구매하거나 인력을 고용하는 일이 이에 해당한다.”
이 같이 밝힌 윤 이사는 보안 마스터플랜은 길게는 2~3년, 짧게는 1년 마다 수립하는 것이 좋다고 조언했다.
보안감사의 경우, 이를 수행하는 것을 회사마다 달리 진행할 수 있다. 보안에 민감한 곳은 연 2회, 덜 민감한 곳은 연 1회 정도 실시하는 것이 바람직하다며, 내부에서 보안감사 계획이 수립되면 감사를 수행할 내부 직원과 기술적 보안 감사를 담당할 내/외부 전문가를 확보하여 실효성 있게 추진해야 한다고 윤 이사는 밝혔다.
또한 보안교육 역시 중요하게 챙겨야할 보안 영역으로 볼 수 있다. 보안교육의 경우에도 연간 교육계획 등 자체적인 업무계획을 내부의 담당자가 수립하고 나면, 내부 강사로 진행할 부분과 외부 전문가를 활용할 부분을 나누어 실행에 옮겨야 한다.
보안교육은 일반적으로 인식제고 교육(Awareness), 보안 기술 교육(Training), 보안 담당자 심화 교육(Education)의 관점에서 나누어 볼 수 있는데, 인식제고 교육은 내부의 교육센터 및 교육과정과 연계하여 추진하는 것이 바람직하며, 보안 기술 교육 및 심화 교육 등 자체에서 제공하기 어려운 전문 과정은 외부의 교육기관과 전문가를 활용하여 실행하면 적절하다.
최근 보안 사고들이 많이 터지면서, 기업들이 보안교육에 특히 관심을 갖게 됐다. 기업은 보안 교육을 통해 직원들이 보안에 위배되는 행위가 무엇인지를 명확히 알 수 있도록 내부 보안규정을 설명하고 주기적으로 전달해야 한다.
또한, 개인정보보호를 위한 인력을 확보하는 것이 바람직하다.
윤 이사는 “최근의 기업에 대한 법적 책임성 강화 등 변화를 고려할 때, 개인정보보호 업무의 내부 책임성 강화를 위해 담당인력을 자체로 두고 개인정보보호 업무에 대한 방향 수립 및 연간 활동에 대한 기획을 할 필요가 있으며, 실제 존재하는 개인정보 침해 가능성에 대한 점검과 대응방안 수립 등 관리적/기술적 전문성이 필요한 부분에서는 외부 전문인력을 활용하는 것이 바람직하다”고 설명했다.
조직의 규모 또한 보안인력 수요를 결정하는 중요한 요소이다.
윤 이사는 “대기업 등 큰 조직의 경우 보안 기획업무를 담당하는 직원, 웹 서비스를 진단하는 직원, 보안정책 지침을 입안하는 직원 등 전반적인 보안 업무를 담당할 다수의 인력이 필요하다”고 밝혔다.
이어 “금융기관 및 통신회사 등 보안에 민감한 조직의 경우 세분화하게 해야 한다. 덜 민감한 조직은 인력운영을 통합해 가져가는 것도 고려할 수 있다”며 “다만 작은 기업이라고 해도 보안을 위해 기본적으로 갖춰야 할 최소한의 인력이 있다”고 말했다.
윤 이사는 “작은 규모의 회사라고 해도, 보안 기획 담당자과 보안시스템 운영 담당자, 그리고 이 둘을 관리할 수 있는 보안 팀장 등 최소 3명을 유지하는 것이 바람직하다”며 “여기서 보안팀장은 직무 담당자들이 해당 업무를 적절히 잘 수행하고 있는지 등을 책임을 갖고 평가하고 관리하는 역할을 한다”고 설명했다.
<데일리그리드>