조직의 전반적인 정보보호 활동을 맡아서 쉽게 지칠 수 있는 조직의 정보보호 담당자에게 자신을 보호하고 재충전의 기회를 갖도록 함으로써 더욱 향상된 서비스를 제공할 수 있도록 지원하는 소진예방 프로그램이 필요하다.

필자가 소속한 대학교에서는 최근 사회복지사, 요양보호사, 간호사 등의 돌봄(care giving) 분야 전문인력을 대상으로 자신을 보호하고 재충전의 기회를 갖도록 함으로써 더욱 향상된 돌봄 서비스를 제공할 수 있도록 지원하는 소진예방 프로그램을 CYCM(caring for you, caring for me)이라는 명칭으로 개설해 사회복지 또는 상담 업무의 종사자들에게 큰 관심을 모으고 있다.
육체적이나 정신적으로 피곤한 돌봄 제공자가 돌봄 수혜자에게 고품질의 서비스를 제공하기 어려움은 두말할 필요도 없으니 충분히 합리적인 프로그램의 도입으로 여겨진다. 마찬가지로 조직의 전반적인 정보보호 활동을 맡아서 쉽게 지칠 수 있는 조직의 정보보호 담당자(information security staff)에게도 이러한 소진예방 프로그램의 도입이 필요하다.
일반적으로 정보보호 담당자는 위로는 정보보호 책임자(주로 임원급)의 의사결정을 돕고 아래로는 업무 담당자의 보안성 확보를 지원하기 위해 정보보호 관리자(주로 팀장급)와 함께 정보보호 정책/지침/절차의 제정, 정보자산 위험평가, 보안 취약성 점검, 시스템 도입 시 보안성 확인, 임직원에 대한 정보보호 교육 계획 수립, 정보보호 사고 예방 및 대응, 정기적 또는 비정기적 보안 모니터링 등 다양한 정보보호 활동을 주의 의무(due care)와 성실 의무(due diligence)에 따라 항상 긴장을 늦추지 않은 채 부지런히 수행해야 한다.
규모가 큰 조직일수록 또한 민감한 정보를 많이 보유한 조직일수록 정보보호 담당자의 책임은 막중해지며 이에 따른 피로감이 급격히 증가해 정보보호 활동에 오히려 역효과를 유발할 가능성이 높아진다.
또한 과도한 정보보호 업무는 자기 계발의 기회를 박탈하고 새로운 보안 위협이나 신기술에 대한 습득 부진으로 인해 정보보호 담당자로서의 자신감이 결여되기도 한다. 조직의 경영진은 정보보호 담당자의 피로감을 줄여주면서 자신감을 회복시켜줄 수 있는 대책을 반드시 수립하고 이행해야 한다.경영진이 정보보호 담당자에 대한 소진예방 프로그램을 수립하는데 필요한 노하우로 다음의 다섯 가지 아이디어를 제안해본다.

1.정기적인 휴가의 기회를 제공한다
흔히 비정기적인 휴가를 통해 정보보호 담당자의 업무 상 발생할 수 있는 권한의 악용이나 의무에 대한 준수 미흡을 확인하기도 한다. 보안 매뉴얼에도 나오므로 나름대로 의미가 있는 조치이기는 하지만 해당자는 당연히 마음 편하게 휴식을 취할 수 없을 것이다. 1년에 최소한 2 번 정도는 정기적으로 매번 1 주 이상의 휴가를 제공해 미리 계획된 휴가를 보낼 수 있도록 배려해야 한다.
물론 많은 사람들이 이용하는 여름이나 겨울은 피하고 가능한 봄, 가을로 휴가를 배정하는 것이 좋다. 정보시스템에 대한 관리가 소홀해지기 쉬운 휴가철에 해킹이나 불법적인 시도는 더 집중될 수 있기 때문이다.

2.업무를 지원할 수 있는 백업 인력을 양성한다
정보보호 담당자의 휴가 동안 보안 업무를 대신할 백업 인력이 필요함은 물론이다. 하지만 일상적인 근무 시간에도 정보보호 담당자의 업무를 분담해줄 수 있는 속칭 부사수를 붙여줌으로써 담당자의 수고를 일정 부분(업무 담당자에 대한 보안 지원이나 시스템 모니터링 등) 덜어줄 수 있으며 사수가 된 담당자는 관리적인 업무를 중심으로 정보보호 책임자 또는 정보보호 관리자의 의사결정에 필요한 정보를 생산하는데 주력할 수 있다.
당연히 부사수는 사수의 업무를 보고 익혀서 정보보호 담당자가 부재중일 때 백업을 할 수 있을 뿐만 아니라, 담당자가 정보보호 관리자로 승진하였을 때 담당자 역할을 맡아서 훌륭한 팀워크를 유지하게 될 것이다.

3.전문적인 교육을 받을 수 있도록 지원한다
누구든 자신의 업무와 관련된 최신 지식을 부단히 연마하지 않으면 불안해지고 자신감이 결여되기 마련이다. 또한 동일한 작업이 반복되면 시스템의 취약점을 미처 발견하지 못하고 둔감해지기 쉽다. 결국 정보보호 담당자는 자신이 현재 수행하고 있는 정보보호 활동이 최적의 실무(best practice)라고 여기고 새로운 대책을 쉽게 받아들이지 못하는 상태가 된다.
꾸준한 교육을 통해 극복해야 하는데 틈틈이 시간을 내서 정보보호 전문기관(예: 한국인터넷진흥원)의 교육이나 세미나 또는 컨퍼런스 등에 참석할 수 있도록 허용해야 한다.
일반 임직원에 대한 정보보호 교육을 수립하는 인력이 정작 자신의 전문가적인 실력을 향상시킬 수 있는 기회는 만들지 못하는 경우가 허다하다.
경영진은 연간 정보보호 교육 프로그램에 정보보호 담당자에 대한 교육 일정도 반드시 포함시키도록 협조해야 한다.

4.성과 지표를 활용해 적절한 인센티브를 제공한다
정보보호는 특별한 보상도 없이 고생만 하는 업무라는 생각이 여전히 만연하다. 실제로 영업이나 제품 개발과 같이 가시적인 아웃풋은 없고 그저 침해사고만 발생하지 않으면 다행으로 여기는 직책으로 인식된다면 정보보호 담당자의 업무 능률도 저하되고 새로운 보안 위협에 대처할 방법을 적극적으로 모색하지도 않을 것이며 최악의 경우 조직의 기밀 정보를 악용하는 내부자 공격의 선봉에 설 수 있다.
경영진은 정보보호 담당자의 업무에 따른 결과를 핵심 성과 지표(KPI)로 측정할 수 있도록 노력하고 이에 따른 적절한 인센티브를 제공해야 한다. 정보보호 사고의 발생 건수, 대응 처리 시간, 가용성 확보율, 인력의 보안 교육 수준, 조직에 대한 외부인의 보안 평판도 등 다양한 측도를 성과 지표에 연계시킬 수 있다.
독립적인 내부 감사 또는 외부 감사를 통해서 측도에 대한 객관성을 유지하는 것도 도움이 된다. 미흡한 활동에 대한 꾸지람이나 징계보다는 잘하고 있는 활동에 대한 칭찬과 인센티브를 부여하기 위해 성과 지표가 사용돼야 함을 명심한다.

5.업무의 독립성을 확보할 수 있도록 보장한다
규모가 작은 조직일수록 정보보호 담당자를 전업으로 수행하는 경우는 찾기 힘들다. 서버 관리자, 네트워크 관리자, 심지어는 애플리케이션 프로그래머의 역할까지 맡고 있는 정보보호 담당자도 있다. 서로 상충되는 이해를 가진 업무는 각각의 독립적인 인력에게 분배해야 한다는 직무 분리(separation of duty)의 원칙에 따라야 한다. 정보보호 활동을 자신의 주업무로 간주하지 않으면 소홀하기 쉬우며 피곤한 업무가 된다.
이해관계에 얽매여 올바른 판단이 서지 않거나 원칙에 어긋난 결정을 내리게 되면 조직의 정보보호에 치명적인 손상을 줄 수 있다. 경영진은 정보보호 담당자가 조직의 전반적인 정보보호를 전담할 수 있도록 직무를 부여하고 외부의 입김으로부터 방어막의 역할을 자원해야 한다.

이상의 다섯 가지 아이디어는 정보보호의 중요성에 대한 경영진의 인식과 어느 정도의 비용 투자를 필요로 하지만 충분히 투자 대비 효과를 볼 수 있는 상식적이고 수행 가능한 내용이다.
실력과 경력을 갖춘 정보보호 전문가를 조직에 영입하는 것도 쉬운 일은 아니지만 조직을 잘 이해하고 성실하며 충성도가 높은 정보보호 담당자를 지속적으로 보유하는 것에 비할 바가 아니다. 지치지 않는 정보보호 활동을 수행할 수 있도록 모든 조직은 정보보호 담당자에 대한 소진예방 프로그램을 제공해야 할 것이다. 프로그램 명칭이 필요하다면 SYSM(securing for you, securing for me)이라고 불러도 좋겠다.
<글 : 박대하 고려사이버대학교 IT미디어학부 정보관리보안학과 교수(summer69@kdu.edu)>

[월간 정보보호21c 통권 제116호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>