2020.04.13

강은성의 보안 아키텍트 | 다시 보안 GRC를 생각한다

강은성 | CIO KR
GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다. 

기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다.

<그림> GRC 개념도
ⓒzastavki.com

위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다. 

GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다. 

<그림> 보안 GRC 개념도
ⓒzastavki.com

보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, 예산, 경영진의 지원, 협업 등으로 확장할 필요가 있다. 다리를 건널 때 생길 수 있는 위험을 총체적으로 살펴봐야 하기 때문이다(개인정보보호 GRC도 보안 GRC와 같은 방법으로 정의할 수 있다).

보안 GRC가 기업에서 제대로 작동하려면, 사업 목표를 위한 보안의 목표 설정과 이를 달성하기 위한 거버넌스의 역할, 보안 목표(또는 사업 목표)를 달성하기 위한 업무를 수행할 때 발생할 수 있는 리스크에 대한 관리를 종합적으로 인식하여 설계해야 한다. G와 R&C가 긴밀하게 연계되지 않으면 설득력도 효용성도 떨어진다. 경영진의 일원 또는 경영진과 보안 실무부서의 다리로서 정보보호최고책임자(CISO)의 역할이 중요한 지점이다.

보안기업의 사업 관점에서도 수요처의 보안 GRC를 이해하는 것이 바람직하다. 수요처에서 보안솔루션이나 보안서비스를 구매하는 것은 사업 목표를 달성하는 데 발생할 수 있는 보안 리스크를 줄이기 위한 것이다. 따라서 특정한 보안 솔루션 제공을 넘어서 고객사의 사업 목표와 그에 따른 보안 리스크를 이해할 때 고객사와 파트너로 일할 수 있다.

좀 더 넓히면 기업뿐 아니라 공공기관, 학교, 비영리단체 등 웬만한 조직이라면 GRC 관점이 필요하다. 기획서를 작성할 때 GRC 개념을 적용해 보면 어떨까? 전사적 관점에서 사업이나 제품, 서비스, 교육의 목표, 목표를 달성하는 데 발생할 수 있는 리스크와 그에 대한 대책, 경영진(또는 관리자)이 지원해 줄 일을 포괄하면 더 의미 있는 보고서를 작성할 수 있을 것이다.
 
GRC를 단지 개념이나 솔루션으로 받아들일 것이 아니라 조직과 사업, 업무의 기획, 수행, 평가의 과정에서 적용하면 좋겠다. 기업의 경쟁력 강화를 위해 개인정보, 영업비밀, 산업기밀 등 중요 자원을 보호해야 하는 보안조직에서는 더욱 그렇다.

*강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 개인정보보호 및 정보보호 컨설팅과 교육 사업을 하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)이 있다. ciokr@idg.co.kr
 



2020.04.13

강은성의 보안 아키텍트 | 다시 보안 GRC를 생각한다

강은성 | CIO KR
GRC는 거버넌스(Governance), 리스크 관리(Risk management), 규제 준수(Compliance)의 영문 첫 글자를 따 만들어진 단어다. 단순하게 정리하면, 기업에서 거버넌스는 조직이 사업 목표를 향해 나아가도록 이사회와 경영진이 지휘, 통제하는 것이고, 리스크 관리는 조직의 활동이 품고 있는 다양한 리스크, 특히 사업 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 관리하는 것이며, 규제 준수는 말 그대로 법규와 규제 내에서 조직의 활동이 이뤄질 수 있도록 하는 것이다. 

기업 거버넌스의 개선에 관해서는 정부와 기업, 사회의 다양한 제도와 관심, 운동이 있다. 리스크 관리는 2008년 세계 금융위기 이후 금융회사를 중심으로 리스크관리위원회가 만들어지는 등 강화되고 있다. 오너 리스크와 같이 거버넌스와 리스크가 직접 연결되기도 한다. 컴플라이언스는 GRC에서 별도로 정의했지만, 기업 현장에서는 법규와 행정 규제에 관한 리스크로 관리하는 곳이 많다.

<그림> GRC 개념도
ⓒzastavki.com

위 그림은 GRC 개념을 나타낸다. 기업이 사업 목표를 향해 나아갈 때 다양한 리스크를 잘 관리해야 한다. 목적지를 향해 가는데 중간에 다리가 끊겨 있으면 가기 어려운 것과 같은 이치다. 기업의 리스크에는 재무 리스크, 평판 리스크, 신규 사업 리스크 등 다양한 리스크가 있는데, 보안 리스크는 그 중 하나다. 

GRC는 인사 GRC, 재무 GRC, IT GRC, 보안 GRC와 같이 분야별로 세분화할 수 있다. 

<그림> 보안 GRC 개념도
ⓒzastavki.com

보안 GRC는 GRC 개념에 그대로 대입하여 설명할 수 있다. 즉 보안조직이 사업 목표 달성을 위해 설정된 보안 목표를 달성하기 위해 나아갈 때 발생할 수 있는 리스크를 식별하여 관리하고, 관련 규제 안에서 활동하는 것이다. 이때 리스크 관리는 전통적으로 하는 보안위협에 따른 위험 평가와 대책 수립뿐만 아니라 보안 목표를 달성하는 데 생길 수 있는 인력, 조직, 예산, 경영진의 지원, 협업 등으로 확장할 필요가 있다. 다리를 건널 때 생길 수 있는 위험을 총체적으로 살펴봐야 하기 때문이다(개인정보보호 GRC도 보안 GRC와 같은 방법으로 정의할 수 있다).

보안 GRC가 기업에서 제대로 작동하려면, 사업 목표를 위한 보안의 목표 설정과 이를 달성하기 위한 거버넌스의 역할, 보안 목표(또는 사업 목표)를 달성하기 위한 업무를 수행할 때 발생할 수 있는 리스크에 대한 관리를 종합적으로 인식하여 설계해야 한다. G와 R&C가 긴밀하게 연계되지 않으면 설득력도 효용성도 떨어진다. 경영진의 일원 또는 경영진과 보안 실무부서의 다리로서 정보보호최고책임자(CISO)의 역할이 중요한 지점이다.

보안기업의 사업 관점에서도 수요처의 보안 GRC를 이해하는 것이 바람직하다. 수요처에서 보안솔루션이나 보안서비스를 구매하는 것은 사업 목표를 달성하는 데 발생할 수 있는 보안 리스크를 줄이기 위한 것이다. 따라서 특정한 보안 솔루션 제공을 넘어서 고객사의 사업 목표와 그에 따른 보안 리스크를 이해할 때 고객사와 파트너로 일할 수 있다.

좀 더 넓히면 기업뿐 아니라 공공기관, 학교, 비영리단체 등 웬만한 조직이라면 GRC 관점이 필요하다. 기획서를 작성할 때 GRC 개념을 적용해 보면 어떨까? 전사적 관점에서 사업이나 제품, 서비스, 교육의 목표, 목표를 달성하는 데 발생할 수 있는 리스크와 그에 대한 대책, 경영진(또는 관리자)이 지원해 줄 일을 포괄하면 더 의미 있는 보고서를 작성할 수 있을 것이다.
 
GRC를 단지 개념이나 솔루션으로 받아들일 것이 아니라 조직과 사업, 업무의 기획, 수행, 평가의 과정에서 적용하면 좋겠다. 기업의 경쟁력 강화를 위해 개인정보, 영업비밀, 산업기밀 등 중요 자원을 보호해야 하는 보안조직에서는 더욱 그렇다.

*강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. CISO Lab을 설립하여 개인정보보호 및 정보보호 컨설팅과 교육 사업을 하고 있다. 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)이 있다. ciokr@idg.co.kr
 

X