"현장에서 정보보호 업무를 하면서 "우리가 잘하고 있는지"를 증명하는 일이 늘 가장 어려웠습니다. 국내외의 정보보안 인증서를 내밀거나 사고가 없었음을 소극적으로 항변하는 것, 그리고 투자 규모나 관심도를 수치화하는 간접적인 방식 외에는 방법이 마땅치 않았고, '체크리스트 충족'이 곧 '보안 성과'라는 오랜 관성은 쉽게 바뀌지 않았습니다. 이 연구가 그 관성에 작은 균열이라도 내고, 정보보안이 소모되는 비용이 아닌 가치 창출의 파트너로 자리매김하는 데 기여할 수 있기를 바랍니다. 훗날 이 프레임워크가 더 나은 방법론으로 대체될 수 있기를 기대하며, 정보보안 업계의 더 많은 동료들이 이 논의에 함께하여 업계 전체의 패러다임이 한 걸음 나아가길 소망합니다."(장세인 토스증권 Head of Security)
"이번 연구반을 통해 정보보호 조직의 KPI가 단순히 보안활동의 성과를 계량화하는 지표가 아니라, 조직의 성장과 경영성과에 직결되는 '경제적 가치 창출 도구'로 발전해야 함을 깊이 인식하게 되었습니다. 특히 투자 대비 효과(ROI)와 조직 성숙도 간의 연계를 분석하면서, 정보보호가 기업의 비용이 아닌 지속가능한 성장의 기반 자산임을 실증적으로 제시할 수 있었던 점이 뜻깊었습니다. 이번 연구 결과가 향후 정보보호 조직의 전략적 KPI 설계와 성과 중심의 보안 거버넌스 정착에 기여하기를 기대합니다."(최병훈 한국생산성본부인증원 센터장)
기업들이 보안을 위해 비싼 장비를 도입하고 인증을 받아도 막상 사고가 터지면 속수무책인 경우가 많다. 이는 겉으로 보이는 수치에만 치중할 뿐, 실제 보안을 운영할 기초 체력이 부족하기 때문인 경우가 대부분이다.
이러한 문제를 해결하기 위해 한국침해사고대응팀협의회(CONCERT, 회장 원유재)가 기업의 진짜 보안 실력을 숫자로 측정하는 새로운 기준인 ‘GCI(Global Compliance-Integrated) 프레임워크’를 개발, 4일 제시했다.
측정지표 개발을 위한 연구반의 작업결과로 탄생한 'GCI 프레임워크'는 ‘기반이 없으면 성과도 인정하지 않는다’는 엄격한 원칙을 세웠다. 연구반은 겉은 멀쩡해 보이지만 속은 부실한 상태를 방지하기 위해 2단계 검증 방식을 제안했다. 1단계는 보안 정책이 문서로 있는지, 담당자가 지정되었는지, 실행할 시스템이 있는지를 확인하고, 이 세 가지 기초 요건 중 하나라도 부족하면 아무리 기술적으로 뛰어난 활동을 했더라도 해당 항목의 최종 점수는 0점 처리된다.
보안 성적표는 네 가지 영역을 종합해 계산하는데, 대표와 경영진이 보안에 얼마나 관심을 갖는지에 가장 높은 비중(30%)을 뒀다. 또 해킹 예방(25%), 사고 시 탐지와 복구 속도(25%), 그리고 법규 준수(20%)를 합산한다. 특히 경영진의 관심이 높을수록 다른 보안 활동의 효과가 커진다는 경제학적 원리를 반영한 것이 특징이다.
보고서에 따르면, 최신 보안 장비를 대거 도입한 가상의 스타트업을 모델로 시뮬레이션을 진행한 결과, 기술력은 우수하더라도 전담 책임자가 없고 보안 규정을 만들지 않은 조직은 결국 ‘미성숙’ 등급을 받는다. 이는 장비만 사놓고 관리할 사람과 규칙이 없는 조직은 언제든 무너질 수 있다는 위험 신호를 시뮬레이션을 통해 입증한 것이다.
관련기사
- "올해 보안예산 증액 37%"...CONCERT, '2026 보고서' 발간2026.02.04
- "사내 보안 콘텐츠 리사이클링을"...CONCERT-한국CPO포럼, 공모전2025.09.25
- 코스피 12%↓, 9.11 테러 이후 최대 폭락…시총 527조 증발2026.03.04
- 현대차 '모베드' 본격 상용화…로봇 플랫폼 전략 시동2026.03.04
CONCERT 심상현 사무국장은 "기업들이 보안을 단순한 비용이 아닌, 회사의 가치를 높이는 소중한 자산으로 인식하게 하는 것은 모든 보안담당자의 오랜 희망"이라면서 "앞으로 이 지표를 효율적으로 활용하는 기업에 인증 심사를 간소화해 주는 등 실질적인 혜택을 주는 방안도 정부에 제안할 계획"이라고 밝혔다.
이 보고서는 CONCERT 홈페이지의 공지사항 게시판을 통해 누구나 확인할 수 있다.
