2021.03.12

강은성의 보안 아키텍트ㅣ새삼스럽게 돌아보는 정보보안의 목적

강은성 | CIO KR
“정보보안(Information Security)의 목적(Why, Purpose)은 무엇인가?” 

새삼스럽게 혼자 묻고 혼자 답해 보면, 한 마디로 (비즈니스) 정보를 보호하는 것이다*. 그러기 위해 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 확보·보호해야 한다는 세 가지 원칙(목표)을 갖고 있다.

정보보안을 처음 대하는 분들도 줄줄이 꿰고 있는 내용이다. 기밀성, 무결성, 가용성에 인증(Authentication)과 부인방지(Non-repudiation)를 종합하면 웬만한 보안업무는 기술적으로 설명할 수 있다. 
 
ⓒGetty Images

*(Security를 ‘보안’이라고 번역하면서 Information Security를 굳이 ‘정보보호’라고 번역하여 보안 분야에서 일하는 사람들의 용어 혼란을 일으켜 왔다. 정보보호를 영어로 번역하면 Information Protection이다. 마찬가지로 개인정보 보호의 영어 표현은 Personal Information Protection이다. 그래서 이미 정보보호라는 용어가 많이 사용됨에도 ‘정보보호’와 ‘정보보안’의 차이를 설명하려는 시도도 있다. Information security는 정보보안이라고 하면서 이미 굳어진 정보보호도 같은 의미로 받아들이면 될 것 같다.)

2007년 RSA 컨퍼런스에서 빌 게이츠가 보안이 '비즈니스를 가능하게 하는 요인’(Business Enabler)'이 될 수 있다고 말한 적이 있다.

당시 보안기업에 근무하면서 가끔 외부에 보안에 관해 강의와 기고를 할 때라 보안의 필요성과 중요성을 어떻게 설명할지 고민을 많이 했는데, 보안을 기술적 관점이 아닌 사업적 관점에서 바라본 이 말이 신선해서 인용하기도 했다.

정보보안 인력들이 회사에서 경영진이나 다른 부서와 소통하기 위해서는 사업적·경영적 관점에서 정보보안을 설명해야 할 상황이 생긴다. 상대방이 이해하기 어려운 기밀성, 무결성, 가용성을 꺼내기 어렵고, ‘Business Enabler’로도 부족하다.
 
(그림 1) 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 중 관리체계 수립 및 운영

보안 활동 중 중요하게 생각하는 것 3가지를 뽑으라고 하면 많은 분이 그중 하나로 ‘위험 관리’를 선택할 것이다. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증에서는 ‘관리체계 기반 마련’ 바로 다음 단계로 ‘위험 관리’가 나온다.

자산을 식별하고, 위험을 평가하여 보안대책을 선정하는 보안 위험 관리 단계가 핵심 과정이라는 점에 보안을 조금만 아는 사람이라면 고개를 끄덕이게 된다.
 
(그림 2) ISO 31000(위험 관리)의 목적과 원칙 (출처: ISO)

아쉬운 점은 이 위험 관리가 ISO 31000(위험 관리)을 기반으로 하고 있음에도 불구하고, “조직에서의 가치 창출과 보호”라는 ISO 31000의 목적은 강조되지 않은 채 기술적 보안 위험 관리에 집중되어 있다는 점이다.

정보 기술 - 보안 기술(Security techniques)의 하위 영역으로 분류된 ISO 27005(정보보안 위험 관리)의 영향으로 보이지만, 위험 관리 본래의 목적에 충실할 필요가 있다.
 
(그림 3) 정보보안의 목적 - 사업적 측면

사업적 측면에서 정보보안의 목적은 무엇보다도 기업과 사업의 지속적 성장(지속성)에 기여하는 것이다. 이를 위해 정보보안의 목표를 다음과 세 가지로 정의할 수 있다. 

첫째, 사업과 경영에 있는 보안 위험의 관리다. 인터넷 쇼핑몰 사업을 한다면, 보안 공격으로 서비스가 중단되거나 개인정보 등 중요 정보가 유출되는 것을 예방함으로써 사업의 보안 위험을 관리할 수 있다. 설계도면, 콘텐츠, 게임 등 보안 위험 관리가 중요한 사업은 매우 많다. 관련 보험을 들어서 보안 위험을 관리할 수도 있다. 

둘째, 조직과 임직원의 보안 위험 완화이다. 개인정보를 다루는 기업에서 개인정보취급자인 임직원이 개인정보보호법을 위반하면 기업도 문제가 되지만, 개인에게도 형사처벌 등 상당한 불이익이 돌아갈 수 있다. 산업기술보호법상 ‘산업기술’을 보유한 기업의 임직원도 마찬가지다. 보안이 잘 되면 이러한 위험에서 조직과 구성원을 보호할 수 있다.

셋째, 고객가치 창출이다. 스마트폰 등 각종 IT 기기에 있는 생체인증이 대표적이다. 비인가 접근과 사용이라는 보안위험을 완화할 뿐 아니라 간편한 인증 및 결제 방법으로서 고객가치를 제공한다. 애플이 2년 전부터 개인정보보호를 주제로 아이폰 광고를 내고 있는데, 보안제품이 아니면서 보안이 고객 가치가 된 제품은 별로 없지만, 아이폰이 그럴 가능성이 있어 보인다.

이제 정보 보안의 목적이 정보를 보호하기 위해서라거나 사업에서 보안이 중요하다는 선언적 의미를 넘어서서 기업과 사업의 지속적 성장과 이를 위한 조직의 성과 창출 및 보호라는 기업의 기본 목표에 정보보안이 어떻게 연계되고 기여하는지 정보보안의 목적과 목표를 통해 설명함으로써 기업에서 정보보안 조직의 역할에 적극적인 의미를 부여할 필요가 있지 않을까 싶다.


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr
 



2021.03.12

강은성의 보안 아키텍트ㅣ새삼스럽게 돌아보는 정보보안의 목적

강은성 | CIO KR
“정보보안(Information Security)의 목적(Why, Purpose)은 무엇인가?” 

새삼스럽게 혼자 묻고 혼자 답해 보면, 한 마디로 (비즈니스) 정보를 보호하는 것이다*. 그러기 위해 정보의 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 확보·보호해야 한다는 세 가지 원칙(목표)을 갖고 있다.

정보보안을 처음 대하는 분들도 줄줄이 꿰고 있는 내용이다. 기밀성, 무결성, 가용성에 인증(Authentication)과 부인방지(Non-repudiation)를 종합하면 웬만한 보안업무는 기술적으로 설명할 수 있다. 
 
ⓒGetty Images

*(Security를 ‘보안’이라고 번역하면서 Information Security를 굳이 ‘정보보호’라고 번역하여 보안 분야에서 일하는 사람들의 용어 혼란을 일으켜 왔다. 정보보호를 영어로 번역하면 Information Protection이다. 마찬가지로 개인정보 보호의 영어 표현은 Personal Information Protection이다. 그래서 이미 정보보호라는 용어가 많이 사용됨에도 ‘정보보호’와 ‘정보보안’의 차이를 설명하려는 시도도 있다. Information security는 정보보안이라고 하면서 이미 굳어진 정보보호도 같은 의미로 받아들이면 될 것 같다.)

2007년 RSA 컨퍼런스에서 빌 게이츠가 보안이 '비즈니스를 가능하게 하는 요인’(Business Enabler)'이 될 수 있다고 말한 적이 있다.

당시 보안기업에 근무하면서 가끔 외부에 보안에 관해 강의와 기고를 할 때라 보안의 필요성과 중요성을 어떻게 설명할지 고민을 많이 했는데, 보안을 기술적 관점이 아닌 사업적 관점에서 바라본 이 말이 신선해서 인용하기도 했다.

정보보안 인력들이 회사에서 경영진이나 다른 부서와 소통하기 위해서는 사업적·경영적 관점에서 정보보안을 설명해야 할 상황이 생긴다. 상대방이 이해하기 어려운 기밀성, 무결성, 가용성을 꺼내기 어렵고, ‘Business Enabler’로도 부족하다.
 
(그림 1) 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증 중 관리체계 수립 및 운영

보안 활동 중 중요하게 생각하는 것 3가지를 뽑으라고 하면 많은 분이 그중 하나로 ‘위험 관리’를 선택할 것이다. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증에서는 ‘관리체계 기반 마련’ 바로 다음 단계로 ‘위험 관리’가 나온다.

자산을 식별하고, 위험을 평가하여 보안대책을 선정하는 보안 위험 관리 단계가 핵심 과정이라는 점에 보안을 조금만 아는 사람이라면 고개를 끄덕이게 된다.
 
(그림 2) ISO 31000(위험 관리)의 목적과 원칙 (출처: ISO)

아쉬운 점은 이 위험 관리가 ISO 31000(위험 관리)을 기반으로 하고 있음에도 불구하고, “조직에서의 가치 창출과 보호”라는 ISO 31000의 목적은 강조되지 않은 채 기술적 보안 위험 관리에 집중되어 있다는 점이다.

정보 기술 - 보안 기술(Security techniques)의 하위 영역으로 분류된 ISO 27005(정보보안 위험 관리)의 영향으로 보이지만, 위험 관리 본래의 목적에 충실할 필요가 있다.
 
(그림 3) 정보보안의 목적 - 사업적 측면

사업적 측면에서 정보보안의 목적은 무엇보다도 기업과 사업의 지속적 성장(지속성)에 기여하는 것이다. 이를 위해 정보보안의 목표를 다음과 세 가지로 정의할 수 있다. 

첫째, 사업과 경영에 있는 보안 위험의 관리다. 인터넷 쇼핑몰 사업을 한다면, 보안 공격으로 서비스가 중단되거나 개인정보 등 중요 정보가 유출되는 것을 예방함으로써 사업의 보안 위험을 관리할 수 있다. 설계도면, 콘텐츠, 게임 등 보안 위험 관리가 중요한 사업은 매우 많다. 관련 보험을 들어서 보안 위험을 관리할 수도 있다. 

둘째, 조직과 임직원의 보안 위험 완화이다. 개인정보를 다루는 기업에서 개인정보취급자인 임직원이 개인정보보호법을 위반하면 기업도 문제가 되지만, 개인에게도 형사처벌 등 상당한 불이익이 돌아갈 수 있다. 산업기술보호법상 ‘산업기술’을 보유한 기업의 임직원도 마찬가지다. 보안이 잘 되면 이러한 위험에서 조직과 구성원을 보호할 수 있다.

셋째, 고객가치 창출이다. 스마트폰 등 각종 IT 기기에 있는 생체인증이 대표적이다. 비인가 접근과 사용이라는 보안위험을 완화할 뿐 아니라 간편한 인증 및 결제 방법으로서 고객가치를 제공한다. 애플이 2년 전부터 개인정보보호를 주제로 아이폰 광고를 내고 있는데, 보안제품이 아니면서 보안이 고객 가치가 된 제품은 별로 없지만, 아이폰이 그럴 가능성이 있어 보인다.

이제 정보 보안의 목적이 정보를 보호하기 위해서라거나 사업에서 보안이 중요하다는 선언적 의미를 넘어서서 기업과 사업의 지속적 성장과 이를 위한 조직의 성과 창출 및 보호라는 기업의 기본 목표에 정보보안이 어떻게 연계되고 기여하는지 정보보안의 목적과 목표를 통해 설명함으로써 기업에서 정보보안 조직의 역할에 적극적인 의미를 부여할 필요가 있지 않을까 싶다.


* 강은성 대표는 국내 최대 보안기업의 연구소장과 인터넷 포털회사의 최고보안책임자(CSO)를 역임한 정보보호 및 개인정보보호 전문가다. 현재는 이화여대 사이버보안학과 산학협력중점교수로 있다. 저서로 「IT시큐리티」(한울, 2009)와 「CxO가 알아야 할 정보보안」(한빛미디어, 2015)이 있다. ciokr@idg.co.kr
 

X