규제의 역설을 넘어, 레질리언스와 자율적 책임의 시대로
[보안뉴스= 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장] 5월은 가정의 달로서 어린이날(5일)과 성년의 날(18일)이 공존하는 시기입니다. 어린이날이 보호자의 세심한 보살핌과 안전을 기원하는 날이라면, 성년의 날은 사회적 주체로서의 권리와 그에 따르는 무거운 책임을 자각하는 날입니다. 현재 대한민국 정보보호의 현주소를 반추해 볼 때, 우리의 보안 정책은 여전히 기업을 부모의 간섭이 필요한 어린아이로 취급하는 ┖5월 5일┖의 수준에 머물러 있다는 우려를 지우기 어렵습니다.
[출처: gettyimagesbank]
정부의 고뇌와 규제 강화의 이면
최근 잇따른 대형 침해사고와 개인정보 유출을 보며, 규제의 고삐를 죄려는 정부의 고뇌에는 깊이 공감합니다. 날이 갈수록 고도화되는 사이버 공격 앞에서, 그리고 급변하는 디지털 생태계의 흐름 속에서 기존의 ISMS/ISMS-P(정보보호 및 개인정보보호 관리체계) 인증기준을 개정하고 실효성을 높여야 한다는 시대적 요구는 분명 타당합니다.
그러나 지난 4월 발표된 ‘ISMS·ISMS-P 인증제 실효성 강화 방안’의 정책적 ‘방향성’을 살펴보면 조심스러운 아쉬움이 남습니다. 구체적인 관련 법규 개정이나 세부 기준 및 규정 개발은 현재 진행 중인 상황이지만, 발표된 방안의 방점이 의무화 대상 확대, 인증 등급의 차등화, 기술대책 상시 점검, 인증심사 방식 및 사후관리 강화 등 외부의 ‘강제성 부여’에 집중되어 있기 때문입니다.
규제의 역설: 주체성 상실과 위험관리의 실종
정부의 의도와 달리, 규제에 강제성을 더하는 방식은 경영 현장에서 치명적인 ‘규제의 역설’을 낳을 확률이 높습니다. 가장 우려되는 지점은 기업 보안의 주체성 상실과 진정한 의미의 위험관리(Risk Management) 실종입니다. 정부의 잣대가 엄격하고 세밀해질수록, 기업은 ‘우리 비즈니스 생태계에 내재된 진짜 위협이 무엇인가’를 치열하게 고민하는 대신, ‘어떻게 하면 심사 기준을 무사히 통과할 것인가’에 역량을 소진하게 됩니다. 스스로 리스크를 식별하고 통제하는 능동적 보안 거버넌스는 사라지고, 부모가 내준 숙제만 억지로 해내는 수동적인 시험 준비만 남게 되는 것입니다.
더욱이 이러한 강압적 인증 체계는 사고 발생 시 기업의 책임을 피하는 면피용 방패로 전락할 위험이 다분합니다. 정부가 요구하는 기술적 기준을 모두 충족하고 인증을 받았으니 우리의 책임은 다했다는 식의 도덕적 해이를 불러일으킬 수 있습니다. 규제의 장벽이 높아질수록 기업은 그 장벽 뒤에 숨어, 마땅히 져야 할 무거운 책임을 회피하게 되는 모순이 발생합니다.
작은 실패를 넘어 레질리언스(Resilience)와 자율의 길로
대한민국의 IT 및 제조 기업들은 이미 클라우드, 인공지능(AI), 제로 트러스트(Zero Trust) 등 복잡한 디지털 생태계를 주도하고 있습니다. 획일적인 기준과 체크리스트로는 진화하는 지능형 위험에 결코 대응할 수 없습니다. 따라서 이제 인증 제도의 개정 방향은 통제와 강제가 아니라, 기업의 ‘자율보안체계’와 ‘책임성’, 그리고 ‘레질리언스’(회복탄력성) 역량을 높이는 쪽으로 향해야 합니다.
물론 기업이 정부의 가이드라인에 의존하지 않고 스스로 리스크를 통제하는 자율보안체계로 가는 길은 멀고도 험합니다. 그 과정에서 완벽한 방어에 실패해 크고 작은 보안 사고를 겪을 수도 있습니다. 그러나 진정한 의미의 부모(정부)가 해야 할 일은 아이가 절대 넘어지지 않도록 안전한 방안에만 가두어 두는 것이 아닙니다. 아이가 세상 밖에서 뛰놀다 넘어지더라도 스스로 툭툭 털고 다시 일어날 수 있는 마음과 체력, 즉 위기에 대처하는 ‘레질리언스’ 역량을 키워주는 것이 올바른 양육입니다.
정부 역시 부모의 마음으로, 세세한 점검표를 강요하기보다 기업이 자율적으로 방어 프레임워크를 설계하도록 유도해야 합니다. 면피성 인증 획득이라는 환상을 깨고, 보안 투자를 게을리해 막대한 피해를 입혔을 때는 징벌적 손해배상과 같은 무거운 사후 책임을 지게 해야 합니다. 반면, 성실히 자율보안체계를 가동했음에도 불가피한 사고가 발생했다면, 그 위기를 얼마나 빠르고 투명하게 극복해 내는지 그 회복의 과정을 평가하고 지지해 주는 성숙한 제도가 필요합니다.
계절의 여왕 5월, 대한민국 보안의 진정한 ‘성인식’을 염원하며
▲김정덕 중앙대 명예교수 [출처: 김정덕 교수]
정부가 규제의 칼날을 세우려는 고뇌는 십분 이해합니다. 그러나 진정한 보안의 실효성은 촘촘한 통제가 아닌, 주체적인 리스크 관리와 실패를 딛고 일어서는 회복력에서 나옵니다. 다행히 지난 4월 발표된 강화방안은 뼈대일 뿐, 세부 규정 개발은 이제 시작입니다. 앞으로의 제도화 과정에서는 단순한 ‘통제’를 넘어 기업의 ‘자율’과 ‘레질리언스’, 그리고 무거운 ‘책임’을 유도하는 철학이 담기기를 바랍니다.
만물이 생동하는 계절의 여왕 5월입니다. 봄의 꽃들이 거친 비바람을 이겨내며 5월에 만발하듯이, 우리 기업들 역시 규제라는 온실을 벗어나 스스로 변화하는 환경에 적응하며 자생하는 강인한 생명력을 보여주기를 바라는 마음이 간절합니다. 보호자의 가이드라인만 쫓아서는 글로벌 사이버 전장에서 살아남을 수 없습니다. 정부는 성숙한 부모의 자세로 주도권을 넘겨주고, 기업은 스스로 전략을 세우며 결과에 책임지는 ‘거버넌스 성인식’이 찬란한 5월에 아름답게 치러지기를 간절히 기대합니다.
[글_김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장]
필자 소개_ 중앙대학교 산업보안학과 명예교수, 인간중심보안포럼 의장, 한국정보보호학회 부회장, 금융 정보보호관리체계 인증위원, 전 JTC1 SC27 정보보안 국제표준화 전문위 의장 및 의원, 전 ISO 27014(정보보안 거버넌스) 에디터 등 역임
[보안뉴스= 김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장] 5월은 가정의 달로서 어린이날(5일)과 성년의 날(18일)이 공존하는 시기입니다. 어린이날이 보호자의 세심한 보살핌과 안전을 기원하는 날이라면, 성년의 날은 사회적 주체로서의 권리와 그에 따르는 무거운 책임을 자각하는 날입니다. 현재 대한민국 정보보호의 현주소를 반추해 볼 때, 우리의 보안 정책은 여전히 기업을 부모의 간섭이 필요한 어린아이로 취급하는 ┖5월 5일┖의 수준에 머물러 있다는 우려를 지우기 어렵습니다.
[출처: gettyimagesbank]
정부의 고뇌와 규제 강화의 이면
최근 잇따른 대형 침해사고와 개인정보 유출을 보며, 규제의 고삐를 죄려는 정부의 고뇌에는 깊이 공감합니다. 날이 갈수록 고도화되는 사이버 공격 앞에서, 그리고 급변하는 디지털 생태계의 흐름 속에서 기존의 ISMS/ISMS-P(정보보호 및 개인정보보호 관리체계) 인증기준을 개정하고 실효성을 높여야 한다는 시대적 요구는 분명 타당합니다.
그러나 지난 4월 발표된 ‘ISMS·ISMS-P 인증제 실효성 강화 방안’의 정책적 ‘방향성’을 살펴보면 조심스러운 아쉬움이 남습니다. 구체적인 관련 법규 개정이나 세부 기준 및 규정 개발은 현재 진행 중인 상황이지만, 발표된 방안의 방점이 의무화 대상 확대, 인증 등급의 차등화, 기술대책 상시 점검, 인증심사 방식 및 사후관리 강화 등 외부의 ‘강제성 부여’에 집중되어 있기 때문입니다.
규제의 역설: 주체성 상실과 위험관리의 실종
정부의 의도와 달리, 규제에 강제성을 더하는 방식은 경영 현장에서 치명적인 ‘규제의 역설’을 낳을 확률이 높습니다. 가장 우려되는 지점은 기업 보안의 주체성 상실과 진정한 의미의 위험관리(Risk Management) 실종입니다. 정부의 잣대가 엄격하고 세밀해질수록, 기업은 ‘우리 비즈니스 생태계에 내재된 진짜 위협이 무엇인가’를 치열하게 고민하는 대신, ‘어떻게 하면 심사 기준을 무사히 통과할 것인가’에 역량을 소진하게 됩니다. 스스로 리스크를 식별하고 통제하는 능동적 보안 거버넌스는 사라지고, 부모가 내준 숙제만 억지로 해내는 수동적인 시험 준비만 남게 되는 것입니다.
더욱이 이러한 강압적 인증 체계는 사고 발생 시 기업의 책임을 피하는 면피용 방패로 전락할 위험이 다분합니다. 정부가 요구하는 기술적 기준을 모두 충족하고 인증을 받았으니 우리의 책임은 다했다는 식의 도덕적 해이를 불러일으킬 수 있습니다. 규제의 장벽이 높아질수록 기업은 그 장벽 뒤에 숨어, 마땅히 져야 할 무거운 책임을 회피하게 되는 모순이 발생합니다.
작은 실패를 넘어 레질리언스(Resilience)와 자율의 길로
대한민국의 IT 및 제조 기업들은 이미 클라우드, 인공지능(AI), 제로 트러스트(Zero Trust) 등 복잡한 디지털 생태계를 주도하고 있습니다. 획일적인 기준과 체크리스트로는 진화하는 지능형 위험에 결코 대응할 수 없습니다. 따라서 이제 인증 제도의 개정 방향은 통제와 강제가 아니라, 기업의 ‘자율보안체계’와 ‘책임성’, 그리고 ‘레질리언스’(회복탄력성) 역량을 높이는 쪽으로 향해야 합니다.
물론 기업이 정부의 가이드라인에 의존하지 않고 스스로 리스크를 통제하는 자율보안체계로 가는 길은 멀고도 험합니다. 그 과정에서 완벽한 방어에 실패해 크고 작은 보안 사고를 겪을 수도 있습니다. 그러나 진정한 의미의 부모(정부)가 해야 할 일은 아이가 절대 넘어지지 않도록 안전한 방안에만 가두어 두는 것이 아닙니다. 아이가 세상 밖에서 뛰놀다 넘어지더라도 스스로 툭툭 털고 다시 일어날 수 있는 마음과 체력, 즉 위기에 대처하는 ‘레질리언스’ 역량을 키워주는 것이 올바른 양육입니다.
정부 역시 부모의 마음으로, 세세한 점검표를 강요하기보다 기업이 자율적으로 방어 프레임워크를 설계하도록 유도해야 합니다. 면피성 인증 획득이라는 환상을 깨고, 보안 투자를 게을리해 막대한 피해를 입혔을 때는 징벌적 손해배상과 같은 무거운 사후 책임을 지게 해야 합니다. 반면, 성실히 자율보안체계를 가동했음에도 불가피한 사고가 발생했다면, 그 위기를 얼마나 빠르고 투명하게 극복해 내는지 그 회복의 과정을 평가하고 지지해 주는 성숙한 제도가 필요합니다.
계절의 여왕 5월, 대한민국 보안의 진정한 ‘성인식’을 염원하며
▲김정덕 중앙대 명예교수 [출처: 김정덕 교수]
정부가 규제의 칼날을 세우려는 고뇌는 십분 이해합니다. 그러나 진정한 보안의 실효성은 촘촘한 통제가 아닌, 주체적인 리스크 관리와 실패를 딛고 일어서는 회복력에서 나옵니다. 다행히 지난 4월 발표된 강화방안은 뼈대일 뿐, 세부 규정 개발은 이제 시작입니다. 앞으로의 제도화 과정에서는 단순한 ‘통제’를 넘어 기업의 ‘자율’과 ‘레질리언스’, 그리고 무거운 ‘책임’을 유도하는 철학이 담기기를 바랍니다.
만물이 생동하는 계절의 여왕 5월입니다. 봄의 꽃들이 거친 비바람을 이겨내며 5월에 만발하듯이, 우리 기업들 역시 규제라는 온실을 벗어나 스스로 변화하는 환경에 적응하며 자생하는 강인한 생명력을 보여주기를 바라는 마음이 간절합니다. 보호자의 가이드라인만 쫓아서는 글로벌 사이버 전장에서 살아남을 수 없습니다. 정부는 성숙한 부모의 자세로 주도권을 넘겨주고, 기업은 스스로 전략을 세우며 결과에 책임지는 ‘거버넌스 성인식’이 찬란한 5월에 아름답게 치러지기를 간절히 기대합니다.
[글_김정덕 중앙대 산업보안학과 명예교수/인간중심보안포럼 의장]
필자 소개_ 중앙대학교 산업보안학과 명예교수, 인간중심보안포럼 의장, 한국정보보호학회 부회장, 금융 정보보호관리체계 인증위원, 전 JTC1 SC27 정보보안 국제표준화 전문위 의장 및 의원, 전 ISO 27014(정보보안 거버넌스) 에디터 등 역임
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
