"부서간 협업 없이 보안도 없다"

일반입력 :2014/01/07 17:52

손경호 기자

보안은 특정 부서만의 일이 아니라 여러 부서들 간 유기적인 협업에 기반해야 한다.

한국EMC는 7일 비즈니스 혁신을 위한 보안 위원회(SBIC)가 내놓은 정보 자산 보호 및 활용 프로세스 혁신 연구 보고서를 인용해 이 같이 밝혔다.

SBIC는 EMC를 포함해 전 세계 1천여 개 기업의 최고정보보안책임자(CSO)들을 회원으로 두고 있는 국제 위원회로 정보 보안 발전을 위한 연구를 실시해 보고서를 발표하고 있다.

이번 SBIC 보고서는 EMC, 인텔, JP모건, HSBC 홀딩스, 코카콜라, 월마트 등 19개의 기업 CSO들이 공동연구해 발표한 결과다.

보고서에 따르면 점점 고도화 되고 있는 사이버 위협에 빠르게 대응하고 자사의 비즈니스를 보호하기 위해서는 기존 모니터링 중심으로 이뤄지는 수동적 경계기반 보안체계를 넘어 새로운 차세대 정보 보안 프로세스가 필요하다.

또한 각종 공격과 위협에 선제적으로 대응할 수 있는 보안 프로세스를 구축하기 위해 기업 정보 보안 부서가 사내 다양한 비즈니스 사업 부서들과 밀접한 협력체계를 구축해야 한다고 강조했다.

SBIC는 보고서를 통해 ▲비즈니스 관점의 위험 관리체계 수립 ▲사업 부서들과 협업을 기반으로 한 보안 프로세스 정립 ▲지속적이고 일상화된 정보 보안 관리 및 감독 ▲주기적인 외부 보안 평가 실행 및 결과 반영 ▲데이터 분석 기반의 인텔리전스 위협 탐지 시스템 구축 등 전반적인 정보 보안 체계와 프로세스의 개선이 이루어져야 한다고 설명했다.

김경진 한국EMC 대표는 다양한 보안 위협에 대응하기 위해서는 정보 보안 부서는 물론 모든 사업 부서들과의 유기적인 협업이 필요하다며 보안 강화를 위한 기술 투자와 함께 사업적 관점에서 위험을 측정하고 대응할 수 있는 업무 프로세스를 수립하고 이를 준수해야 할 것이라고 말했다.

정보 보안 체계와 프로세스의 혁신을 위해 SBIC가 이번 보고서에서 제시한 '미래를 대비하는 새로운 정보 보안 프로세스 확립을 위한 5가지 핵심 지침'은 다음과 같다.

1. 정보 흐름에 따른 정보 보안 업무 프로세스 구축: 서버나 애플리케이션과 같은 인프라 기준이 아닌 정보의 흐름에 따른 보안 프로세스를 구축하고, 관련된 사업 부서들과 함께 보안 위험에 대응하는 업무 프로세스를 문서화해 이를 준수하는 전사적 협업이 필요하다.

2. 보안 위협에 대한 정량적 손실 평가 체계 수립: 정보 보안 위협을 사업적인 관점에서 설명할 수 있어야 하고 각각의 정보 보안 사고에 의한 손실을 재무적인 관점에서 정량화해야 한다.

3. 비즈니스 관점의 전사적 정보 보안 프레임워크 구현: 보안 사고를 자동으로 추적하고 사업적인 관점에서 연계성과 위험도를 측정할 수 있는 자동화된 정보 보안 관리 프레임워크가 준비돼야 하고, 이를 바탕으로 정보 보안 부서는 물론 모든 관련 사업 부서들이 전사적으로 사이버 공격에 대응할 수 있어야 한다.

관련기사

4. 정보 보안 활동의 객관적 점검과 평가: 보안 위협을 측정하고 반영할 수 있는 데이터 수집은 물론, 정보 보안의 효과를 입증할 수 있는 데이터를 수집하고 지속적으로 이를 보완해야 한다.

5. 데이터 분석을 위한 인프라와 관리 프로세스 구축: 정보 보안과 관련된 모든 데이터를 저장 및 분석하고 전사적인 보안 체계와 프로세스를 정기적으로 평가하고 보완할 수 있는 IT 인프라와 관리 프로세스가 구축돼야 한다.