로고

한국 CPO 포럼
회원가입 로그인
  • Let’s Privacy
  • Privacy Column
  • Let’s Privacy

    Privacy Column

    Leader's Opinion

    회원사들의 개인정보보호 관련 컬럼 으로 구성됩니다.


    리스크 관리 중심의 전략적 관점에서의 정보보호 접근

    페이지 정보

    profile_image
    작성자 나완집
    작성일Date 19-12-13 00:00

    본문

          농협은행 나완집 (전)부행장

     

                                                     

    정보유출 사고는 끊임없이 발생해왔다.지금 이 순간에도 공격자는 기업의 취약한 부분에 대해 들여다보고 있을 것이다. 아니, 들여다보고 있다. 심지어 아주 정교하고 자동화된 기법을 통해서 말이다.

    4차 산업혁명 신기술의 등장, 금융업과 다른 산업과의 융합, 이에 따른 빅블러 현상까지, 정보의 개방이라는 거대한 물결은 이제 거스르기 힘든 영역이 되어가고 있다. 20191030일 그렇게 오픈뱅킹은 시작되었다.

    오늘은 디지털 경제 시대에 정보의 활용보호의 균형점을 찾기 위한 방법에 대해 이야기 해보고자 한다. 어떻게 하면 정보를 보호하면서 잘 활용할 수 있는지, 쉽지 않은 주제에 대해 얘기하려니 부담이 커진다.

    수년 전만해도 활용보호는 다소 모순되는 단어로 보였는데, 아이러니하게도 요즘엔 자연스러워졌다. 오픈뱅킹으로 정보가 활용되는 것이 당연해진 요즘, 이제 보호의 최후방 수비수로써 어떻게 해야 균형잡힌 전략을 갖고 갈 수 있을까?

    데이터 기반 정보보호(Data Driven Security)

    우선 모든 데이터를 계량화하고 지속적으로 측정하고 분석해야 한다. 측정 가능한 지표들은 의외로 상당히 많다. 개인정보의 보유건수, 외부 발송건수, 출력건수, 악성코드 감염건수 등은 기본이고, 교육 분야만 해도 수료율만 보는 게 아니라 지연 수료율, 평가 점수 변화, 설문결과의 부적정 응답건수 등 생각보다 항목이 많이 존재한다. 조금 더 깊이 들어가 보면, 악성코드 감염메일 모의훈련 결과와 직급별, 업무별로 교육수료 여부와 연계 분석도 해볼 수 있을 것이다.

    예를 들면, 문서보안시스템을 통해 누가 어떤 문서를 얼마나 열람하고 저장하는지를 알 수 있다. 정기적으로 보내는 정보보호 소식지의 경우 사례 중심의 웹툰 등 밀레니얼 세대의 취향에 부합하여 최대한 재미있게 만드는 것이 열람율을 높일 수 있다는 것을 데이터로 확인할 수 있었다. 이처럼 정보보호 수준을 객관적으로 측정하고 변화한다는 것을 증명하려고 노력해야 한다.

    사람 중심 정보보호(People Centric Security)

    결국엔 사람이다. 아무리 좋은 솔루션도 완벽하게 방어할 순 없다. 데이터가 어떻게 흘러가는지는 비즈니스 분석과 더불어 직원들의 행위에 대한 이해도 필요하다.

    전자금융감독규정은 최소 교육시간을 정하고 있고, 대부분의 금융회사들은 모든 직원에게 일정 시간 이상의 교육을 시키는 것이 목표였을 것이다. 그러나 해당 조항은 충분한 교육을 통해서 정보보호 인식을 개선하라는 의미일 것이다.

    교육도 정교해질 필요가 있다. 이제 입사한 직원과 퇴직을 앞둔 직원에게 동일한 내용의 교육을 할 순 없다. 마케팅 기법 중에 STP 전략이 있다. 시장구조를 파악(Segmentation)하고 대상 고객을 선정(Targeting)하여 시장에서의 위치를 결정(Positioning)하는 전략으로, 정보보호 교육도 마케팅과 동일하게 적용해볼 수 있다.

    교육 대상의 특성을 이해하고 세분화하며, 컨텐츠를 모듈화하여 꼭 필요한 직원에게 해당한 내용을 교육시키는 것이다.

    지속가능한 정보보호(Sustainable Security)

    정보보호를 아무리 열심히 한다고 경영진이 관심이 없다면 임직원의 인식 변화를 쉽사리 유도할 수 없다. 다행히 정보보호를 리스크 관리 관점에서 접근하는 회사들이 점차 늘고 있는 것 같다. 금융권의 경우 재무리스크를 최우선으로 두지만, 정보유출로 인해 한 순간에 문을 닫아야 하는 상황이 올 수 있기 때문에 경영진의 인식이 점차 변화하고 있는 것이다.

    지속가능한 정보보호를 위해서 정보보호위원회를 실효성 있게 운영해야 한다. IT와 보안부서 뿐만 아니라 기획, 예산, 마케팅, 디지털 등 주요 관련부서가 직접 참여할 수 있도록 위원구성을 해야한다. 그리고 정보보호 이슈를 일부 부서의 업무로 한정시키지 말고, 모든 비즈니스와 촘촘하게 연결되어있음을 이해하고 폭넓게 논의하여야 한다.

    또한, 최고의사결정기구인 이사진과 적극적으로 소통해야 한다. 잘하고 있다는 내용을 보고하는데 그치는 것이 아니라 예상되는 정보보호 리스크에 대해서 더 많이 경영진에게 전달되고 관리되어야 한다.

    맺음말

    3가지 전략을 살펴보았다. 데이터를 기반으로 의사결정하고, 사람을 중심으로 이해하고 분석하며, 경영진과 지속적으로 의사소통해 나간다는 전략이다. 정보를 효과적으로 활용하면서, 안전하게 보호할 수 있는 이상적인 환경에 조금 더 가까이 다가갈 수 있을 것이다.

    마지막으로 무엇보다 중요한 것은 관심이다. 우리가 조금 더 정보보호에 관심을 갖고 귀 기울인다면, 그 어떤 솔루션 보다 가치있는 이해당사자들의 신뢰를 얻을 수 있을 것이다.

    직원 프로필에 다음과 같은 문구가 적혀 있던 게 생각난다.

    “Security is a journey, not a destination”

    모든 임직원들이 정보보호에 관심을 갖고 중요한 리스크로 받아들여 같이 고하는 시기가 분명히 올 것 이라 믿고, 그 여정을 즐겼으면 한다.