IT Consulting

정보보호체계 수립 및 인증대응을 위한 컨설팅 활용방안

신수정/넷시큐어테크놀로지 컨설팅본부장(sjs1234@netsecuretech.com)

연재제목: 정보보호 실행/관리 체계의 구조와 적용방안

1회: 주요 정보보호실행기준들의 구조 및 특징
2회: 정보보호 위험관리 체계의 적용현실 및 대안
3회: IT아웃소싱 구조하에서의 보안체계의 수립방안
4회: 정보보호 아키텍쳐 수립방안
5회: 정보보호 체계수립 및 인증대응을 위한 컨설팅의 활용방안

1. 정보보호체계

지난호들에서 필자는 정보보호체계의 구조와 적용방안을 몇 가지 핵심요소를 중심으로 다루어 보았다. 즉 정보보호체계를 정보보호 실행기준, 위험관리 , 정보보호 아키텍쳐 및 아웃소싱의 4가지 각도에서 바라보았다.
이번호에서는 제시된 정보보호체계를 수립하고 이행하며 유지관리하기 위한 실제적인 방안을 검토해보고, 정보보호체계와 연관된 인증의 요구사항에 대해 검토해보려 한다. 또한 이러한 체계의 수립, 관리 및 인증대응을 위한 컨설팅의 활용방안에 대해 검토해보려 한다.
정보보호체계는 지난호에서 기술했듯이 기술적, 관리적 체계의 결합형태로 존재한다. 그러나 일반적으로 정보보호체계는 관리체계의 프레임웍속에 기술체계가 포함되는 형태로 존재하므로 정보보호체계를 정보보호관리체계의 관점으로 서술해도 큰 무리는 없다. 또한 인증의 요구사항들은 관리체계에 초점이 맞추어져 있으므로 이하 정보보호관리체계의 관점에서 내용들을 기술하려 한다.
기업내 정보보호관리체계를 제대로 수립하고 이행한다는 것은 무엇인가? 이를 두 가지로 나누어 보면
1) 기업내에 전반적인 정보보호관리 과정을 정립하고 운영하는 것이다. 이때 정보보호관리 과정들은 정보보호 정책과 조직을 수립하며, 이의 기반하에 위험관리의 범위를 식별하며, 이에 따라 위험을 평가하여 이에 따른 위험 대응 계획을 수립하며, 이를 구현하고 운영하며, 사후관리 하는 것으로 구성되어 있다.
2) 전반적인 정보보호 관리 프로세스와 연관된 통제 항목들을 적절히 선택하고 이행 운영 하는 것이다.
라고 볼 수 있다. 물론 위의 사항들은 문서화로 증명되어야 한다. 이때 2)에서 제시되는 통제 항목들은 BS7799, NIST, OCTAVE, NSW, 정보통신부인증기준 등 적용기준과 강조 관점에 따라 그 분류구조가 조금씩 상이하게 표현된다. 그러나 그 핵심 내용들은 큰 차이를 보이지는 않는다. 그림 1에서는 정보통신부의 인증기준에 의거하여 1) 2)로 표현되는 정보보호관리체계를 표현하였다.

그림 1 정보보호관리체계

2. 인증의 요구사항

기업이 정보보호의 이슈를 효과적이며 체계적으로 대응하고 관리하기 위해서는 위에서 언급한 정보보호관리체계를 수립하고 유지하는 것이 필수적이다. 그러나 기업이 자체적으로 이러한 체계를 수립하고 유지하는데 있어서 두 가지 정도의 어려움에 직면한다. 한 가지는 이러한 체계를 수립하고 유지하기 위해서는 강력한 추진요인이 필요한데 이러한 추진요인을 확보하기 어렵다는 것이다. 정보보호관리체계를 수립하고 유지하기 위해서는 많은 시간과 노력을 필요로 한다. 그러므로 정부기관의 압력 같은 외부요인이나 경영층의 지속적인 의지 등의 강력한 추진요인이 없다면 중도에서 포기되기 쉽고 유지되기 어렵다. 두 번째는 설령 정보보호관리체계를 나름대로 수립하고 유지했다고 해도 이것이 제대로 된 것인지 판단하기 어렵다는 것이다. 과연 우리가 수립한 체계가 적합 한 것이고 우리의 관리 활동이 효과적인 것인가? 라는 의문을 가질 수 있다. 이러한 의문은 정보보호관리체계를 직접 수립하고 관리하는 조직만이 갖는 것은 아니다. 이러한 조직과 활동을 평가해야 하지만 평가할 정보가 부족한 경영층의 의문일 수 도 있다.
긍정적인 측면에서 이러한 어려움의 많은 부분을 해결해 줄 수 있는 제도가 ‘인증’이라는 제도이다. ‘인증’이라는 것은 공인되고 객관적인 제 3자가 기업의 정보보호관리체계 운영의 적정성에 대해 심사과정을 거쳐 증명하여 주는 것이다. 그러므로 인증제도가 효과적으로 활용될 경우 인증 획득이라는 목표점을 사용하여 최고 경영층의 강력한 지원을 이끌어 낼 수 있고 조직전체의 참여를 유도할 수 도 있다. 또한 정보보호체계를 수립하고 정착시킬 수 있도록 관련 담당조직에 상당한 힘을 실어줄 수 있게 된다. 물론 부정적인 측면에서는 이러한 제도가 그렇지 않아도 많은 어려움을 겪고 있는 정보보호 조직에게 또 다른 요구사항과 압박으로 다가올 수도 있다. 또한 과정을 중시하기 보다는 인증이라는 결과물에 초점을 맞추게 됨에 따라 정상적인 정보보호활동이 왜곡화될 수 도 있다. 어찌되었든 인증제도는 국내외적으로 대세화가 되어가고 있고, 기업에 대한 인증의 요구사항은 거세질 전망이다.
정보보호체계와 관련된 인증과 관련해서 현재 BS7799의 인증제도가 가장 널리 알려져 있다. BS7799인증은 주로 영국을 중심으로 유럽지역에서 이루어지고 있다가 최근에 들어서는 점차 기타 지역으로 확대되고 있는 추세이다. 국내에서도 몇 몇 기업들이 BS7799인증을 획득한 바있다. BS7799는 ISO에 의해 채택되었다는 점(현재는 PART1만 해당), 국제적으로 가장 광범위하게 알려졌다는 점, 기술적인 중립성을 가지고 있다는 점 등 많은 장점을 가지고 있다. 그러나 BS7799 인증은 인증을 받은 기업들이 대부분 유럽지역 중심이라는 점, 인증범위가 대상기업이 주관적으로 정의하고 인증의 많은 부분이 심사원의 주관에 달려 있다는 점, 관리적인 부분에 너무 초점 맞추어져 있는 점 등에서는 단점으로 지적되고 있다.
또한 민간인증으로서는 미국의 TRUSECURE 인증도 널리 알려져 있다. 이 인증은 민간인증의 특성상 컨설팅과 결합된 형태로 진행되며, 관리적 부분뿐 아니라 기술적인 부분을 중요시 한다. 이 인증 프레임웍에서는 인증의 요구사항을 제시하고 기업이 이러한 인증의 요구사항을 대응할 수 있도록 컨설팅하며, 기업이 인증의 요구사항을 충족시킬 수 있는 수준에 이르렀을 경우 인증을 부여하게 된다. 이 인증방법은 BS7799의 인증이 가지고 있는 문제점을 많이 해결하지만 범 국가적인 인증체계가 아니라 민간기업의 인증체계라는 점에서 국제적인 확산의 걸림돌을 가지고 있다. 또한 인증과 컨설팅이 결합되어 있다는 면은 장점이자 인증의 신뢰성 여부에 대한 단점을 지닌다.
국내에서는 정통부, 산자부의 두 기관을 중심으로 인증에 대해 많은 논의를 수행하였다가 2002년 4월 정통부에서 먼저 인증제도를 고시한바 있다. 이 인증제도는 BS7799의 인증체계를 많은 부분 수용하되, 관리체계의 분류와 통제사항을 BS7799보다 조금 더 명확하게 반영하였다. 또한 심사원의 주관성과 대상기업의 융통성을 조금 줄이는 방식으로 객관화 정도를 높이려 하였고 국내의 상황을 반영하려 하였다. 그러나 아직 이 인증을 받은 기업이 없으므로 그 장, 단점을 판단하기는 곤란한 상황이다. 그럼에도 불구하고 국내에서는 정부기관의 제도가 기업에 상당한 영향을 미치는 현실을 고려할 때, 정동부의 인증제도는 BS7799나 TRUSECURE등의 인증제도보다 국내에 훨씬 활발하게 확산될 가능성이 있고 정부의 의지여부에 따라 기업에 상당한 압박을 가할 가능성까지 내포하고 있다.

3. 정보보호조직의 고민

최근 몇 년 사이 정보보호의 중요성에 대한 인식이 높아짐에 따라 많은 기업들은 규모에 따라 전담 또는 겸임의 정보보호조직을 신설하였다. 이에 따라 정보보호조직들은 나름대로 강한 사명감을 가지고 기업의 정보보호를 위한 청사진을 마련해보고자 노력하였으며, 위에서 제시한 바와 같은 정보보호관리체계를 수립하고 운영하려는 시도들을 해보았다. 그러나 많은 경우 정보보호조직은 정보보호관리체계를 수립하고 운영한다는 것이 그리 쉬운일이 아님을 발견하게 되었다. 이에 대해 여러 이유가 있겠지만 대표적인 이유를 찾아보면 다음과 같다.
1) 정보보호관리체계의 수립 및 운영은 기술적인 문제라기 보다는 프로세스와 사람이 연계된 문제이기 때문이다. IT분야의 개선의 영역은 흔히 기술, 프로세스, 사람 세가지로 표현된다. 그러나 불행히도 기술은 개선 시키기 쉽지만 사람과 프로세스는 개선이 어렵다. 기업내에 새로운 프로세스를 정착시키거나 현재의 프로세스를 변화시키는 것 보다 어려운 일은 없다. 그러므로 정보보호관리체계의 수립과 운영이 어려운 것이다.
2) 정보보호와 관련된 조직/책임/역할/권한이 불분명하고 협조체계가 미흡하기 때문이다. 이 부분은 ‘사람’과 관련된 부분이다. 정보보호라는 것이 특정 인력에 의해서만 수행된다면 간단할 것이다. 그러나 정보보호는 조직의 모든 인력이 연관될 뿐더러 조직과 관계를 가지는 제 3의 인력까지도 관계를 가지게 된다. 그러므로 정보보호관리체계가 제대로 수립되고 운영되기 위해서는 관련된 인력의 역할, 책임이 정의되어야 한다. 뿐만 아니라 관련 인력들이 이러한 역할, 책임, 권한 등에 대해 인식하고 이에 걸맞게 행동해야 한다. 그러나 많은 경우 여전히 정보보호는 정보보호조직만의 일이라고 인식되고 있다.
3) 기업내에 정보보호체계의 핵심요소인 위험평가 프레임웍 및 기법의 활용이 부족하기 때문이다. 정보보호관리체계의 핵심요소는 위험관리이다. 위험관리를 효과적으로 또한 반복적으로 수행하기 위해서는 기업에 적합한 위험관리 기법이 정착되어야 하고 이를 제대로 활용할 수 있어야 한다. 그러나 많은 경우 기업내에 위험관리의 기법들이 제대로 활용되고 내재화되지 않고 있다.
4) 정보보호체계의 운영은 장기간의 꾸준한 유지보수 활동을 요구하기 때문이다. 몇 개월간 컨설턴트의 도움을 받아 문서화를 하고 계획을 세우며 그럴싸한 모양을 만들기는 쉽다. 그러나 그 계획대로 꾸준하게 운영하여 증적을 산출하는 일은 지속적인 노력을 필요로 한다. 그러나 대부분의 사람들은 이러한 일들을 귀찮아 하고 쉽게 포기한다.
5) 정보보호체계에 대한 주기적인 감사와 측정이 부족하기 때문이다. ‘측정’이 없이는 ‘개선’이 없다. 특히 초기에 새로운 프로세스나 체계가 도입되고 정착되기 위해서는 어느 정도 기간동안 적절한 감사와 측정이 필수적이다. 이러한 감사와 측정이 없이 자발적으로 체계를 유지하고 개선해나가는 것은 상당히 어렵다.

결국 이러한 이유들로 인해 정보보호조직들은 정보보호관리체계를 제대로 수립하고 유지하는데 많은 곤란을 겪게 된다.
그러면 기업에서는 정보보호조직이 이러한 체계를 제대로 수립하고 유지하도록 독려하고 힘을 실어주고 있는가? 불행하게도 그 답변은 소수의 기업들을 제외하고는 부정적일 것이다. 정보보호란 그 특성상 이슈화가 되면 무엇보다 중요한 일처럼 느껴지지만, 이슈화가 되지않는 평상시에는 그 존재의 의미를 찾기 어려운 경우가 많다. 그러므로 기업은 사회적으로 심각한 해킹사고발생 등으로 문제가 발생되고 이슈화될 때는 정보보호조직에 대해 강한 관심과 지원을 보내지만, 대부분 시간이 지남에 따라 정보보호조직에 관심을 가지지 않게 될 뿐 아니라, 정보보호 조직을 어쩔 수 없이 존재시키는 조직으로 간주하는 경우도 있게 된다. 그러므로 정보보호 조직은 기업의 강력한 지원을 받기는커녕 때로 지원과 협조의 부족, 투자의 부족, 인력의 부족, 전문성의 부족 등의 곤란을 겪게 된다. 이에 따라 정보보호조직은 기업의 정보보호체계를 제대로 수립하고 운영함으로써 기업의 위험을 감소시키는 중추적인 역할을 수행하기 보다는 보안시스템을 들여오거나 운영하는 등의 국소적인 일을 하게 되는 경우도 종종 있게 된다.
이러한 기업들에게 ‘정보보호체계’를 수립하고 운영하라는 것은 무리한 요구일 수 있다. 게다가 이에 대한 ‘인증’의 요구까지 제시한다면….
결국 기업이나 기업의 정보보호조직은 한정된 자원과 지원의 제한하에 제대로된 정보보호체계를 수립하고 운영할 뿐 아니라 인증까지 획득해야 된다는 과제를 해결해야 할 고민에 빠질 수 밖에 없게 된다.

4. 대응방안

기업이 정보보호체계를 효과적으로 수립하고 유지하며, 게다가 인증의 요구까지 대응하기 위해서는 어떻게 해야 하는가?
이에 대한 답변은 다양하게 할 수 있지만 근본적으로 이러한 과제를 해결하기 위해서는 다음과 같은 부분이 이루어져야 한다는 것이 필자의 생각이다.
첫째 정보보호를 ‘이행과 관리’에 중점을 두고 추진해야 한다. 지금까지 정보보호에 대한 접근의 초점은 평가와 설계였다. 특히 ‘평가’에 많은 시간과 노력을 투입했다. 컨설팅을 활용하는 경우도 현재상태의 취약성을 평가하기 위해 도움을 받는 경우가 많았다. 또한 조금 더 인식이 있는 조직의 경우 대책과 계획을 수립하는데 힘을 쏟았다. 그러나 불행하게도 이행과 관리에는 많은 관심을 쏟지 않아왔다. 그 결과 수 많은 문제는 파악되었고 수 많은 숙제는 자신의 앞에 놓여있는데 그것을 이행할 사람이 없거나, 이행할 능력이 없거나, 지속적으로 추적 관리할 방안이 없다는 것이 진정한 문제로 대두되었다. 물론 평가와 설계가 중요하지 않다는 것이 아니다. 그러나 기업의 정보보호의 초기단계에는 이 부분에 중점을 둘 수 있지만(그림2) 시간이 진행될수록 무게중심을 이행과 관리쪽으로 두어야 한다(그림2). 아무리 좋은 계획도 이행하지 않으면 무용지물이고 지속적으로 관리되지 않으면 정착될 수도 없고 개선될 수도 없는 것이다.
최근 정보보호에 많은 노력을 기울여 왔던 기업들이 이러한 문제점들을 인식하고 있고 이에 따라 과거와 다른 형태의 접근을 시도하고 있음은 환영할 만 일이다. 필자도 최근에는 기업이나 정보보호 컨설팅이 ‘평가’에 초점을 맞추어서는 안되고 ‘설계’중심으로 그 초점을 전환하여야 하며, ‘이행과 관리’를 수행할 수 있는 방안을 습득해야 함을 강조하고 있다. 이러한 강조점을 이해하는 기업들이 늘어난 것은 사실이지만 아직도 많은 기업들, 심지어 컨설팅 회사들도 그저 열심히 문제점만 드러내고 이행할 수 없는 멋있는 숙제들만 그려놓고 있다.

그림 2. 추진 중점의 변화

둘째 컨설팅회사와의 적절한 파트너쉽을 맺는 것이 필요하다. 기업의 내부에서 많은 수의 전문인력을 가져갈 수 없다. 또한 인력을 가져가더라도 그들의 전문성을 지속적으로 유지하기도 어렵고 다양한 기업들의 경험을 거치기도 어렵다. 객관성을 가지기도 어렵다. 그러므로 내부에서 모든 것을 수행한다는 것은 거의 불가능 하다. 좋은 컨설팅 인력들의 도움을 받는다면 정보보호관리체계를 수립하고 유지하는데 상당한 효과를 거둘수 있다.
셋째 결국은 시스템화 해야 한다. 정보보호관리체계에는 많은 프로세스들이 포함되어있고, 많은 문서화 들을 필요로 한다. 이러한 것들을 수작업으로 한다는 것은 쉽지 않은 일이다. 그러므로 이러한 부분들은 시스템화로서 해결해야 한다. 정보보호관리체계를 하나의 시스템으로 수립하고 유지 관리할 수 있다면 수 많은 노력과 수고를 절감하며 이행의 지속성을 강화할 수 있을 것이다.

5. 컨설팅의 활용

위에서 제시한 대응방안 중 먼저 컨설팅의 활용부분을 고려해보자. 컨설팅을 적절히 활용한다면 정보보호관리체계의 신속한 구축에 상당한 도움을 가져올 수 있을 뿐 아니라 전사적인 참여를 유도할 수 있다. 또한 기업은 컨설팅회사의 노하우를 빠른 시간내 습득할 수 있을 것이다.
그러면 컨설팅은 관리체계의 수립 및 인증의 이슈를 해결하기 위해 어떻게 접근하는가? 사실 컨설팅의 접근 방식은 그림 3과 같이 상식적이다. 평가를 하고 기준과의 GAP을 도출하고, GAP을 해결하기 위한 개선계획을 수립하고, 이행을 지원하며 심사를 지원하는 것이다. 조금 더 세부적으로 이야기 한다면 정보보호관리체계에서 제시하는 과정을 한단계 한단계 고객이 적용할 수 있도록 수행하는 방법을 보여주고 기업이 수행할 수 있도록 도와주는 것이다.

그림 3 컨설팅의 접근절차

컨설팅은 실제적으로 기업에 얼마나 도움이 되는가? 사실 이러한 의문은 단지 정보보호뿐 아니라 모든 영역에 공통적으로 제시되는 의문이다. 혹자는 컨설팅의 무용론을 이야기 하기도 하고 혹자는 컨설팅이 없으면 일이 추진되지 않는다고도 한다. 컨설팅 만큼 그 효과에 대해 논란이 극과 극인 것이 없을 것이다. 결국 의문에 대한 답도 정보보호의 영역에서만 해당되는 답이 아니다. 모든 영역, 모든 IT 컨설팅 영역에서 공통적으로 제시될 수 있는 답일 것이다. 답은 단순하다. ‘얼마나 도움이 되는지는 컨설팅을 주는 기업과 컨설팅 회사에 달려있다’는 것이다. 특히 컨설팅을 주는 기업 즉. 고객의 책임이 더욱 크다.
먼저 기업이 진정 도움을 받기 위해서는 제대로된 컨설팅 회사, 컨설팅 인력을 선정해야 한다. ‘제대로 되었다’는 의미는 ‘전문업체’ 등의 타이틀을 보유하고 있다는 의미가 아니다. 필자가 ‘제대로 되었다’는 것은 컨설팅 회사나 컨설팅 인력들이 ‘제대로된 철학과 사상을 가져야 한다’는 것이다. 무슨 거창한 ‘철학과 사상이냐?’ 라고 반문할 수 있을 것이다.
그러면 컨설팅 회사의 품질을 구분지을 수 있는 다른 요소가 있는지를 살펴 보자. 실제로 현재 보안 컨설팅 회사들을 구분지을 수 있는 요소는 그리 많지 않다. 혹자는 ‘방법론’이 차이가 나지 않는가? 라고 말할 수 있다. 물론 다들 초기에는 방법론들을 구성하기 위해 많은 시간을 투자했다. 그리고 다양한 환경에 대해 적용할 수 있는 다양한 방법론들을 구상했다, 그러나 생각외로 다양한 환경은 많지 않아 실제 활용되는 부분들은 거의 정형화되어 있고, 실제 필드에서의 적용은 다양한 방법론 매뉴얼에 의해서가 아닌, 대부분 기존의 타 회사에 적용한 산출물이나 템플릿의 수정보완 방식으로 이루어지고 있다. 필자의 관찰에 의하면 여러 보안 컨설팅 회사들이 고객에게 제시하는 실제 산출물들의 형식과 내용은 서로간에 거의 차이가 없다. 뿐만 아니라 때로 자체 방법론이 어떤 것인지도 파악하지 못하는 경우도 있고, 자체 방법론들에서 제시하는 엄격한 논리를 따르지 않는 경우도 있다. 그럼에도 불구하고 여전히 파워포인트로 작성된 방법론 요약자료를 몇 십분 설명 들으면서 어느 회사들의 방법론은 제대로 되었고, 어디는 안되었고 등을 판단할 수 있다고 생각하는 분들이 있다는 것은 참으로 신기하게 느껴진다.
실제 제대로된 컨설팅 회사를 고르기 위해서는 보안 컨설팅 회사에도 CMM같은 성숙도 평가를 적용하는 것이 바람직 할 수도 있다. 실제 보안컨설팅회사를 CMM방식으로 평가하는 평가 프레임웍이 미국에서 제시된바 있다.
그러나 현재 국내에 적용되지 않으니 활용하기 어렵고 결국 차별할 수 있는 요소는 ‘사람’들에 대한 것이다. 사람들이 가진 ‘능력’ 과 또 그 보다 더 중요한 것은 그들이 가진 ‘철학과 사상’에 대한 것이다. 어떤 컨설팅 회사나 컨설턴트 들은 고객의 진정한 문제를 해결해주고 같이 고민해주기 보다는 기한내에 빨리 요구된 산출물들을 내고 빠져 나오는 것에 초점을 둘 수 있다. 또한 컨설턴트 들은 대상기업에 책임이 없기 때문에 무 책임하게 대안을 제시할 수 있다. 심지어는 고객을 도와주기 보다는 대상 기업의 정보들을 통해 자신의 경험과 경력만 쌓고 빠져나올 수도 있다. 컨설팅 이후 도입될 보안시스템 팔 궁리만 할 수도 있다. 물론 ‘저가 수주’의 풍토속에서 진정 고객중심의 컨설팅을 기대하기 어려울지 모르지만 컨설팅 회사나 인력들의 생각이 진정 고객을 도와 고객이 정보보호관리체계를 제대로 구축하고 이행하며 관리하는 것을 성공시키려 하는지를 보아야 한다. 그들이 건전한 ‘철학과 사상’을 지니고 있는지를 보아야 한다. 물론 이 요소는 아주 정성적인 부분이므로 측정하고 파악한다는 것은 무리일 수 있다. 그러나 투입될 책임자들과 인력들을 직접 면담해보고, 그들이 일했던 기업으로부터의 피드백을 들어보는 등의 방법을 활용한다면 개괄적인 판단은 할 수 있을 것일 것이다.
컨설팅회사나 인력들이 위의 소양을 갖추었다면 그 외 다음과 같은 사항들에 능력이 있는지 파악해야 할 것이다.
- 기존의 취약성 분석중심과는 다른 설계, 구현, 유지보수 방안을 수립하고 도울 수 있는 접근에 익숙한가?
- 감사의 시각, 심사원의 시각을 반영할 수 있는가?
- 위험관리의 경험이 풍부한가?
- 기업 스스로가 이행할 수 있는 힘을 길러 줄 수 있는가?
- 복잡한 관리를 시스템화 할 수 있는 아이디어와 설계도를 제시할 수 있는가?

다음으로 기업이 컨설팅으로부터 효과를 얻기 위해서는 기업 스스로 협력 전략이 준비되어야 한다. 적절한 컨설팅회사를 선정하는 것보다 더 중요한 것은 기업들이 컨설팅을 제대로 활용할 수 있는 능력과 전략을 가지는 것이다.
기업들은 절대 컨설팅회사에 모든 것을 맡기는 방식으로 일을 해서는 안 된다. 만일 영원히 맡긴다면 그럴 수 있다. 그러나 컨설팅 회사가 어느 주어진 기간동안 도움을 주고 떠난다면 결국 그 뒤의 몫은 기업에게 있다. 아무리 고객을 도우려는 의지가 있고 능력이 있는 컨설턴트들이 와도 기업이 움직이지 않고 수동적이면 결실을 볼 수 없다.
그러므로 기업들은 컨설팅회사를 활용할 때 어떠한 부분에 도움을 받아야 할지 목표를 명확히 설정해야 하고 실무담당자들은 내가 이번 컨설팅 과정을 통해 사내 컨설턴트가 된다는 생각으로 접근해야 한다. 최대한도로 컨설턴트들을 활용하고 도움을 받아야 한다. 컨설턴트의 문제해결과정을 습득해야 하고 제시된 프로세스들을 기업에 체득시킬 방법을 강구하며 도움을 받아야 한다. 목표없이 그저 컨설턴트에게 모든 것을 맡겨둔다면 기업이 할 수 있는 일은 결과 보고서에 제시된 보안 시스템을 구입하는 것 뿐 일 것이다. 뿐만 아니라 컨설턴트들이 작업한 과정을 재 생산하지 못함으로 인해 일방적으로 컨설턴트에게 의존하거나 아니면 컨설팅 하기 전 상태로 되돌아 갈 것이다.
또한 인증을 목표로 컨설팅을 활용할 경우에는 인증자체의 획득만을 위해 무리하게 프로젝트를 추진해서는 안된다. 짧은 시간에 인증을 목표로 하는 경우 시간의 제한상 고민과 논의도 별로 없이 컨설턴트의 강력한 리딩하에 그들이 만든 모범답안을 그저 수용하고 문서화하여 바인딩 할 가능성이 크다. 결국 수 억을 투자한후 ‘인증서’ 한 장 받고 모든 문서는 캐비닛으로 돌아가고, 모든 프로세스는 원래의 상태로 환원할 가능성이 크다. 그러므로 기업과 정보보호조직은 ‘인증’을 정보보호관리체계의 수립과 이행을 위해 활용하는 추진 수단으로 생각해야지 목표로 생각해서는 안될 것이다.
요약하자면 기업의 측면에서는 컨설팅을 제대로 활용하려면
1) 전담자들과 작업그룹을 할당하고
2) 컨설팅을 받는 명확한 목표를 수립하고 요구사항을 정립하며
3) 컨설팅에 들어가기전에 먼저 충분한 교육을 통해 최대한 컨설팅의 전반의 절차와 내용을 파악하며
4) 컨설팅의 보고, 교육, 세미나 등을 통하여 경영층의 지원과 조직의 지원과 관심을 지속적으로 끌어내며
5) 컨설팅 기간중 항상 목표와 요구사항을 tracking하고
6) 담당자들은 최대한 컨설팅의 절차를 숙지하여 사내 컨설턴트로서의 역할을 준비하며
7) 컨설턴트들이 제시한 방안들이 그저 일반적으로 좋은 방안이 아닌 자신의 기업에 적합하도록 수정하여 이행단계를 고려하며
8) 컨설턴트들로 부터는 구체적인 단계별 TO-BE모델을 조언받고
9) 컨설턴트 들이 떠난후에도 이행과 유지관리 단계에서 제시된 방안과 프로세스들을 정착시킬 수 있는 방안과 능력을 전수받으며
10) 이행과 유지관리 단계에서도 지속적인 도움을 받을 수 있도록 컨설턴트들의 투입을 보장 받아야 한다.
물론 이를 위해서는 기업은 컨설턴트에게 이에 합당한 충분한 보상을 해야 할 것이다. 아무리 양심적이고 철학이 있는 컨설턴트라도 자신의 인건비도 건지지 못하는 형편에서 고객을 끝없이 도울 수는 없을 것이기 때문이다.

6. 시스템의 구축과 활용

컨설팅의 활용만큼 중요한 부분이 시스템의 구축이다. 다양한 컨설팅을 하면서 필자가 결론을 내린 부분은 결국 정보보호관리체계의 관리도 시스템화 해야지만 제대로된 유지관리가 이루어질 수 있다는 것이다. 여기에서의 시스템이라는 것은 위험평가도구를 의미하거나 보안 시스템들을 통합관리하는 ESM을 의미하는 것이 아니다.
여기에서 말하는 시스템은 기업의 보안관리 과정, 즉 범위설정-위험평가-계획-이행-유지보수의 모든 프로세스를 추적하며 관리하고, 통제항목들의 선정 및 이행을 관리하고, 관련되는 보안 정책/지침/절차 및 보고서 들을 관리하며, 각종 보안의 증적 및 문서들을 관리하는 시스템을 의미한다.(그림 4) 또한 스스로 모의평가를 수행하고 인증을 대비할 수 있도록 하는 시스템이다. (그림 5) 즉 정보보호조직이 중심적으로 활용하는 시스템을 의미한다. 이러한 시스템화가 이루어진다면 기업의 정보보호관리체계는 조금 더 효과적으로 계획되고 관리되어 갈 수 있을 것이다.

****그림 4. 정보보호관리체계 시스템 예시도(1) ***************

****그림 5. 정보보호관리체계 시스템 예시도(2) ***************

7. 맺음말…

정보보호체계의 구축과 정착의 성공 핵심요소는 강력한 추진 의지, 이행과 관리활동의 중요성 인식, 컨설팅 업체와의 효과적인 파트너쉽, 시스템화 등으로 요약할 수 있다. 또한 점차로 이슈화가 되고 있는 인증제도를 정보보호체계를 구축하고 정착하게 하는 주요한 추진요인으로서 활용한다면, ‘인증제도의 활용’ 또한 정보보호체계의 구축과 정착의 또 다른 성공의 핵심요소로서 역할을 할 수 있을 것이다. 그러나 성공 핵심요소 중 특히 컨설팅은 기업의 활용전략이 적절하지 못한 경우 도리어 실패요소로 전락할 수도 있다. 그러므로 기업은 컨설팅을 활용할 경우 명확한 목표와 협력 전략을 수립해야 할 것이다.

참고문헌
신수정, 정보보호관리체계 인증전문가 초청세미나, 정보보호관리체계 인증요구사항 및 컨설팅의 활용, 2002
김정덕, 정보보호관리체계 인증전문가 초청세미나, Evaluation and Certification of ISMS & related Issues, 2002
정보통신부고시 제 2002-22호, 정보보호관리체계인증심사기준,2002
TTA, 정보통신단체표준 TTAS.IS-17799, 정보보호관리 표준,2002
신수정, E-Biz Security Conference, 정보보호전략 및 아키텍쳐 수립방안, 2002
BSI, Information security management Part1, 2, 1999
Marne E. Gordan, TRUSECURE, 7799 and TruSecure, 2002