국내 ISMS 인증은 정보보안 거버넌스 체계로는 미흡
정부기관, 비용효율적이고 적절한 보안통제 구현해야
[보안뉴스= 임채호 KAIST 초빙교수] 그동안 거버넌스(Governance)는 경영과 행정 분야에서 주로 사용돼 왔던 용어다. 최근 거버넌스 용어의 의미를 보자면 정부의 통치 거버넌스가 아닌 참여 조직의 다원적 조직 네트워크간 상호작용 활동으로 보는 경영적인 관점으로 인식하고 있다.
1. 사이버보안 거버넌스의 정의
거버넌스는 ‘국가경영’ 또는 ‘공공경영’이라고도 번역되며, 최근에는 행정을 거버넌스의 개념으로 보는 견해가 확산되어 가고 있다. 거버넌스의 개념은 신공공관리론(新公共管理論)에서 중요시되는 개념으로서 국가·정부의 통치기구 등의 조직체를 가리키는 ‘government’와 구별된다. 즉, ‘governance’는 지역사회에서부터 국제사회에 이르기까지 여러 공공조직에 의한 행정서비스 공급체계의 복합적 기능에 중점을 두는 포괄적인 개념으로 파악될 수 있으며, 통치·지배라는 의미보다는 경영의 뉘앙스가 강하다. 거버넌스는 정부·준정부를 비롯해 반관반민(半官半民)·비영리·자원봉사 등의 조직이 수행하는 공공활동, 즉 공공서비스의 공급체계를 구성하는 다원적 조직체계 내지 조직 네트워크의 상호작용 패턴으로서 인간의 집단적 활동으로 파악할 수 있다.
그렇다면 사이버보안의 거버넌스란 무엇인가? 1993년 하버드 대학의 피터 드러커 교수(Peter Drucker)는 산업경영에서의 정보기술에 대하여 다음과 같이 이야기했다.
“정보기술의 확산과 상품화는 정보기술이 그동안 기업경영에서 누려온 부동산, 인력, 금융 자산과 동등한 수준으로 변화시키고 있다.”
하지만 근래에 정보기술에 대한 위협이 심각해지고 있어 보안 거버넌스의 중요성이 대두되고 있는 것이다.
“중요한 정보자산에 대한 사이버 범죄와 위협의 증가는 기업 이사회와 경영진이 정보자산에 대한 보안과 무결성을 보장하도록 하는 거버넌스에 주력하도록 강제화되고 있다.”
- HARMAN INTERNATIONAL INDUSTRIES
“정보의 가치, 저장, 사용, 처리 및 삭제 등에서의 바람직한 행동을 위한 적절한 결정과 책임추적(Accountability)이 이루어져야 한다. 여기에는 조직이 정보를 효과적(Effective), 효율적(Efficient)으로 사용하도록 하는 절차(Process), 책임(Role), 표준(Standard), 평가척도(Metrics) 등이 필요하다.”
- Gartner
사이버보안 거버넌스란 정보보안관리체계, 즉 ISMS(Information Security Management System)의 기반이라고 볼 수 있다. 보안전략과 보안 운영 프레임워크를 제공한다. 이는 기업 지속성 관리, 위험관리, 예산관리 및 연구 개발, 윤리 등의 총제적인 조직 거버넌스가 되어야 한다.
여기에는 다음 사안이 요구된다.
- 조직에서 정보 분야와 사이버보안의 적합성, 의존성(Criticality)을 이해할 것
- 조직에서 위험관리와 전략적 차원에서의 투자를 검토할 것
- 조직에서 적합한 사이버보안 프로그램 개발과 구현을 지지할 것
- 조직에서 보안 프로그램의 적절하고 효과적인 정기적인 보고를 요구할 것
이는 결국 정보자산에 대한 규모와 투자가 매우 적절한 상태(A급 보안 유지 상태)가 된다면 그 상태에 대한 보상을 해야 하며, 조직을 변화시키거나 실무경험 등이 새로운 가치와 비용을 감소시킨다는 사실을 경영자가 알아야 한다는 것이다. 사이버보안 거버넌스는 그 충실한 시행결과로서 다음 사항을 기대한다. 이를 위해서는 조직의 리더십과 함께 보안대책에 대한 구조적인 절차가 필요하다.
1) 조직의 비즈니스 경영 목표와 부합되는 적합한 전략적인 사이버보안 체계
2) 조직의 피해를 측정하여 허용할 수준의 위험관리 체계
3) 조직의 사이버보안 능력과 보안 효과성, 효율성을 유지할 자원관리체계
4) 조직의 목적에 맞는 사이버보안을 수행하는 평가척도에 의한 측정, 모니터링 체계
5) 조직의 목표나 목적에 맞는 최적의 정보보안 투자
다음 그림 1은 사이버보안 거버넌스의 개념을 설명하고 있다. 이 전체 그림이 하나의 거버넌스 프로세스로 봐도 되며 중간에 피드백이 필요할 수 있다. 또한, 위험관리의 하나로 인식해도 되며, 보안성 구현은 조직의 비즈니스 목적에 알맞은 보안통제의 구현이 조직의 목적에 부합되는지 지속적인 모니터링이 중요하다. 사실 이는 ‘Metric’, 즉 조직의 목적에 적당한지 측정되어 비교분석하게 된다. 이러한 내용은 최근 현상분석 등과 함께 대시보드 형태로 경영진까지 보고되어야 한다. 어떤 보안 통제는 가능한 실시간 보고체계를 가져야 한다.
.jpg)
▲ 그림 1. 사이버보안 거버넌스 개념
사이버보안 거버넌스의 장점은 다음과 같다.
1) 거버넌스에 좋은 보안실무경험(Practice)의 조직 공유 공유 활성화
2) 조직의 보안위험을 줄이고 비즈니스 운영과정의 불확실성을 경감할 가능성
3) 정보의 부정확성, 부재 등으로 인한 법적 문제점이 증가되는 것을 막고 보호함
4) 제한된 보안자원을 최적으로 배치할 수 있는 프레임워크 제공
5) 효과적인 정보보안 정책과 법적 적합성 제공
6) 정보보안을 수행하면서 효과적이고 효율적인 위험관리, 빠른 사고관리 프로세스 개선으로 기업의 단단한 운영기반이 됨
7) 정보 부재로 인해 잘못된 결정을 내리지 않도록 보완
8) 기업 합병, 기업 획득, 비즈니스 복구, 법률 변경 등 중요한 기업 활동에 정보의 정확성과 책임 추적 기능을 제공함
2. 현실적인 사이버보안 거버넌스
사이버보안 거버넌스란 “조직의 경영에 필요한 보안 프로그램을 구현하고 지속적인 감시를 통하여 적합성을 판단, 경영진에게 보고하며 피드백되어야 하는 생존 주기”를 의미하기도 한다. 그림 2에서 바람직한 모델을 선보이고 있다.
보안 프로그램은 500종 이상의 글로벌 보안통제 중에서 조직에 필수적인 보안통제, Live 보안통제를 참조로 구현·운영되어야 한다. 운영결과는 대시보드를 통해 경영진에게 보고되는데, 이 때 중요한 참조 자료로 ‘Metric Target’이 있다. ‘Metric Target’이란 조직이 구현 운영할 각 보안통제 단계에서의 목표치를 담은 템플릿이다.
보안통제는 500여 종 이상의 일반 보안통제(Global Security Control), 실제 보안통제(Live Security Control), 지속감시 보안통제(Continuous Monitoring Security Control) 등으로 나누어진다. 결국 거버넌스 체계란 보안통제 감시결과를 토대로 점수화된 위험결과에 따라 보안 성능을 판단 유지하는 것이다. 결국 조직의 사이버보안은 조직 비즈니스에 따라 서로 다른 형태를 보이고 경영보안의 하나가 된다. 그동안 전산 및 IT 부서가 조직의 경영에 큰 역할을 했다면 이젠 사이버보안이 조직 경영상에 하나의 경영형태로 참여하는 것이다.
.jpg)
▲ 그림 2. 현실적인 사이버보안 거버넌스
3. 미국 정부의 IT 보안 거버넌스
美 연방기관들은 일상 업무를 실행하고 제품과 서비스를 제공하기 위해 정보기술(IT)에 크게 의존하고 있다. 연방 정부의 IT 인프라 복잡성이 증가하고, 끊임없이 변화하는 정보보안 위협으로 정보보안 업무는 필수적인 기능이 되고 있다. 이것은 연방정부의 운영에 위험을 감소시키고 연방정부의 기능을 보장하는 역할을 해야 한다. 정보보안 관리의 목적은 변화하는 정보보안 위험을 관리하는 동시에 정부기관이 사전에 비용 효율적인 방식으로 적절한 보안통제를 구현할 수 있도록 하는 것을 말한다.
정보보안 거버넌스 요구 사항
미국 정부는 연방정부 보안 거버넌스를 위해 법률, 규정, 지침을 정의했다. 이는 미국 의회와 예산청(OMB), NIST 등의 조직에서 이루어지고 법적 준수사항을 식별하고 있다. 각 연방 정부의 구현 감사는 정부회계감사원(GAO)에서 진행하고 있다.
.jpg)
▲그림 3. 미국 정부 IT보안 거버넌스 요구사항 모델
그림 3의 거버넌스 구조를 보면 각 연방정부 기관장은 행정(Executive)과 입법(Legislative)에 의해 예산과 법률감사로 통제되고 있음을 알 수 있다. 즉 법령과 소요예산으로 각 정부기관을 통제하게 된다.
현재 입법부는 연방정부보안관리법을 제정하고 법적준수사항(Compliane)을 제시하고 있으며 이 법령을 이행한 결과를 정량화된 위험관리 수치로 만들어 OMB가 집계하고 있다. 위험관리 방법은 NIST가 연방 표준이나 지침으로 만들어 배포하고 있다. 관련된 주요 법령은 다음과 같다.
.jpg)
▲ 표 1. 미국 관련 법령
미국의 사이버보안 거버넌스는 OMB가 매년 연방정부 거버넌스 결과를 GAO와 의회 및 백악관에 보고함으로서 정기적인 보안업무가 되고 있다.
▲ 그림 4. 2008년 FISMA 보안 거버넌스 결과(OMB)
보안 거버넌스 구성요소
그림 5에서 보안 거버넌스 구성요소를 보여주고 있다. 외부 환경 즉, 법령과 예산 및 감사의 통제로부터 각 연방정부는 1)전략기획 2)정보 보안 거버넌스 구조 3)역할과 책임(R&R) 4)연방 엔터프라이즈 아키텍처(FEA) 5)정책과 가이드라인 6)구현 과정을 거쳐 거버넌스를 구현하게 되며 이 구성요소들은 지속적으로 감시되어야 한다. 기본적으로 1년 회계연도마다 갱신되는 생명주기를 가져야 한다.
▲ 그림 5. 미국 정보보안 거버넌스 구성요소
▲ 표 2. 미국 정보보안 거버넌스 구성요소
성공 요인
정부의 사이버보안 거버넌스 목적은 각 연방정부가 IT 보안을 조직의 비즈니스에 적절하게 운영하여 국가의 주요 인프라를 보호하려는 것이다. 이를 위해 국가에서는 소요 예산을 지불하면서 연방정부의 사이버보안 능력을 강화시키고 매년 그 결과를 점검하는 것이다. 여기에서 나타날 수 있는 문제점을 보면 다음과 같다.
- 정부 법적 준수사항을 맞추지 못할 가능성
- 정부 요구사항을 넘어 더욱 엄격한 지침을 요구할 가능성
- 새로운 다른 요구 사항을 지원하기 위해 향상된 지침을 개발할 가능성
- 새로운 환경에 따라 우선순위가 변경된 예산 집행 가능성
4. 대한민국의 거버넌스 대응방안
사이버보안 거버넌스란 조직의 보안통제를 구현하고 운영하는데 있어 지속적인 감시를 통하여 보안상태를 확인하고 조직에 적합한 경영 차원에서의 보안을 향상시키는 것이다. 이를 통해 위협을 막는 것은 물론 막을 수 있는 상태를 계속 유지하는 데 목적이 있다. 보안 수준 및 역량을 강화하며 최적의 비용효과적인 사이버보안을 만드는 것이다.
미국은 백악관의 행정시행령, 의회에서의 FISMA 법령, 예산청(OMB)의 예산 지원, 감사원(GAO)의 사업감사 등 외부 지원 하에 각 연방정부에 대한 거버넌스를 요구하고 있다. 결과 OMB가 각 연방정부의 보안수준을 의회와 감사원, 백악관에 보고하는 체계를 가지고 있는 것이다. 반면, 우리나라는 중요 사업자에 대하여 다음과 같은 법령으로 보안관리체계를 촉진하고 있다.
1) “정보통신망 이용촉진 및 정보보호 등에 관한 법률” 제47조,
2) “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령” 제50조
3) 정보보호 관리체계 인증 등에 관한 고시(미래창조과학부고시 제2013-36호)
대상기관은 그림 6과 같다. 대상기관을 보면 대부분 중요하다고 판단되는 민간기업이 위주이며, 최근 문제가 되고 있는 한국수력원자력, 서울메트로 등 국가중요시설에 대한 거버넌스 체계는 마련되어 있지 않다.
▲ 그림 6. ISMS 대상기관(KISA)
▲ 표 3. 미국과 대한민국의 거버넌스 차이
미국의 사이버보안 거버넌스와 우리나라의 사이버보안 거버넌스의 차이점을 보면 다음 표와 같다. 결국 차이는 국가가 예산을 지불하면서 보안체계를 가지고 있느냐 차이다. 국내의 ISMS 인증은 거버넌스 체계로는 미흡하다. 이는 정부가 예산을 투입하지 않은 인증체계이므로 민간에 대한 보안관리 촉진 목적이라는 인상을 지울 수 없다. 그렇다면 한수원 사태, 서울메트로 사태, 농협 전산망 사고 등과 관련해서 해당 기관들은 어디서 거버넌스를 하고 있었고, 누가 책임을 지는 것인지 의문이 생긴다. 결국 국가주요시설을 관리하는 공공기관 및 공기업들에 대한 사이버보안 거버넌스 체계 확립이 무엇보다 선행되어야 하는 과제라고 할 수 있다.
[글 _ 임채호 KAIST 초빙교수, KAIST 전산학과 정보보호 전공(chlim@kaist.ac.kr)]
정부기관, 비용효율적이고 적절한 보안통제 구현해야
[보안뉴스= 임채호 KAIST 초빙교수] 그동안 거버넌스(Governance)는 경영과 행정 분야에서 주로 사용돼 왔던 용어다. 최근 거버넌스 용어의 의미를 보자면 정부의 통치 거버넌스가 아닌 참여 조직의 다원적 조직 네트워크간 상호작용 활동으로 보는 경영적인 관점으로 인식하고 있다.
1. 사이버보안 거버넌스의 정의
거버넌스는 ‘국가경영’ 또는 ‘공공경영’이라고도 번역되며, 최근에는 행정을 거버넌스의 개념으로 보는 견해가 확산되어 가고 있다. 거버넌스의 개념은 신공공관리론(新公共管理論)에서 중요시되는 개념으로서 국가·정부의 통치기구 등의 조직체를 가리키는 ‘government’와 구별된다. 즉, ‘governance’는 지역사회에서부터 국제사회에 이르기까지 여러 공공조직에 의한 행정서비스 공급체계의 복합적 기능에 중점을 두는 포괄적인 개념으로 파악될 수 있으며, 통치·지배라는 의미보다는 경영의 뉘앙스가 강하다. 거버넌스는 정부·준정부를 비롯해 반관반민(半官半民)·비영리·자원봉사 등의 조직이 수행하는 공공활동, 즉 공공서비스의 공급체계를 구성하는 다원적 조직체계 내지 조직 네트워크의 상호작용 패턴으로서 인간의 집단적 활동으로 파악할 수 있다.
그렇다면 사이버보안의 거버넌스란 무엇인가? 1993년 하버드 대학의 피터 드러커 교수(Peter Drucker)는 산업경영에서의 정보기술에 대하여 다음과 같이 이야기했다.
“정보기술의 확산과 상품화는 정보기술이 그동안 기업경영에서 누려온 부동산, 인력, 금융 자산과 동등한 수준으로 변화시키고 있다.”
하지만 근래에 정보기술에 대한 위협이 심각해지고 있어 보안 거버넌스의 중요성이 대두되고 있는 것이다.
“중요한 정보자산에 대한 사이버 범죄와 위협의 증가는 기업 이사회와 경영진이 정보자산에 대한 보안과 무결성을 보장하도록 하는 거버넌스에 주력하도록 강제화되고 있다.”
- HARMAN INTERNATIONAL INDUSTRIES
“정보의 가치, 저장, 사용, 처리 및 삭제 등에서의 바람직한 행동을 위한 적절한 결정과 책임추적(Accountability)이 이루어져야 한다. 여기에는 조직이 정보를 효과적(Effective), 효율적(Efficient)으로 사용하도록 하는 절차(Process), 책임(Role), 표준(Standard), 평가척도(Metrics) 등이 필요하다.”
- Gartner
사이버보안 거버넌스란 정보보안관리체계, 즉 ISMS(Information Security Management System)의 기반이라고 볼 수 있다. 보안전략과 보안 운영 프레임워크를 제공한다. 이는 기업 지속성 관리, 위험관리, 예산관리 및 연구 개발, 윤리 등의 총제적인 조직 거버넌스가 되어야 한다.
여기에는 다음 사안이 요구된다.
- 조직에서 정보 분야와 사이버보안의 적합성, 의존성(Criticality)을 이해할 것
- 조직에서 위험관리와 전략적 차원에서의 투자를 검토할 것
- 조직에서 적합한 사이버보안 프로그램 개발과 구현을 지지할 것
- 조직에서 보안 프로그램의 적절하고 효과적인 정기적인 보고를 요구할 것
이는 결국 정보자산에 대한 규모와 투자가 매우 적절한 상태(A급 보안 유지 상태)가 된다면 그 상태에 대한 보상을 해야 하며, 조직을 변화시키거나 실무경험 등이 새로운 가치와 비용을 감소시킨다는 사실을 경영자가 알아야 한다는 것이다. 사이버보안 거버넌스는 그 충실한 시행결과로서 다음 사항을 기대한다. 이를 위해서는 조직의 리더십과 함께 보안대책에 대한 구조적인 절차가 필요하다.
1) 조직의 비즈니스 경영 목표와 부합되는 적합한 전략적인 사이버보안 체계
2) 조직의 피해를 측정하여 허용할 수준의 위험관리 체계
3) 조직의 사이버보안 능력과 보안 효과성, 효율성을 유지할 자원관리체계
4) 조직의 목적에 맞는 사이버보안을 수행하는 평가척도에 의한 측정, 모니터링 체계
5) 조직의 목표나 목적에 맞는 최적의 정보보안 투자
다음 그림 1은 사이버보안 거버넌스의 개념을 설명하고 있다. 이 전체 그림이 하나의 거버넌스 프로세스로 봐도 되며 중간에 피드백이 필요할 수 있다. 또한, 위험관리의 하나로 인식해도 되며, 보안성 구현은 조직의 비즈니스 목적에 알맞은 보안통제의 구현이 조직의 목적에 부합되는지 지속적인 모니터링이 중요하다. 사실 이는 ‘Metric’, 즉 조직의 목적에 적당한지 측정되어 비교분석하게 된다. 이러한 내용은 최근 현상분석 등과 함께 대시보드 형태로 경영진까지 보고되어야 한다. 어떤 보안 통제는 가능한 실시간 보고체계를 가져야 한다.
▲ 그림 1. 사이버보안 거버넌스 개념
사이버보안 거버넌스의 장점은 다음과 같다.
1) 거버넌스에 좋은 보안실무경험(Practice)의 조직 공유 공유 활성화
2) 조직의 보안위험을 줄이고 비즈니스 운영과정의 불확실성을 경감할 가능성
3) 정보의 부정확성, 부재 등으로 인한 법적 문제점이 증가되는 것을 막고 보호함
4) 제한된 보안자원을 최적으로 배치할 수 있는 프레임워크 제공
5) 효과적인 정보보안 정책과 법적 적합성 제공
6) 정보보안을 수행하면서 효과적이고 효율적인 위험관리, 빠른 사고관리 프로세스 개선으로 기업의 단단한 운영기반이 됨
7) 정보 부재로 인해 잘못된 결정을 내리지 않도록 보완
8) 기업 합병, 기업 획득, 비즈니스 복구, 법률 변경 등 중요한 기업 활동에 정보의 정확성과 책임 추적 기능을 제공함
2. 현실적인 사이버보안 거버넌스
사이버보안 거버넌스란 “조직의 경영에 필요한 보안 프로그램을 구현하고 지속적인 감시를 통하여 적합성을 판단, 경영진에게 보고하며 피드백되어야 하는 생존 주기”를 의미하기도 한다. 그림 2에서 바람직한 모델을 선보이고 있다.
보안 프로그램은 500종 이상의 글로벌 보안통제 중에서 조직에 필수적인 보안통제, Live 보안통제를 참조로 구현·운영되어야 한다. 운영결과는 대시보드를 통해 경영진에게 보고되는데, 이 때 중요한 참조 자료로 ‘Metric Target’이 있다. ‘Metric Target’이란 조직이 구현 운영할 각 보안통제 단계에서의 목표치를 담은 템플릿이다.
보안통제는 500여 종 이상의 일반 보안통제(Global Security Control), 실제 보안통제(Live Security Control), 지속감시 보안통제(Continuous Monitoring Security Control) 등으로 나누어진다. 결국 거버넌스 체계란 보안통제 감시결과를 토대로 점수화된 위험결과에 따라 보안 성능을 판단 유지하는 것이다. 결국 조직의 사이버보안은 조직 비즈니스에 따라 서로 다른 형태를 보이고 경영보안의 하나가 된다. 그동안 전산 및 IT 부서가 조직의 경영에 큰 역할을 했다면 이젠 사이버보안이 조직 경영상에 하나의 경영형태로 참여하는 것이다.
▲ 그림 2. 현실적인 사이버보안 거버넌스
3. 미국 정부의 IT 보안 거버넌스
美 연방기관들은 일상 업무를 실행하고 제품과 서비스를 제공하기 위해 정보기술(IT)에 크게 의존하고 있다. 연방 정부의 IT 인프라 복잡성이 증가하고, 끊임없이 변화하는 정보보안 위협으로 정보보안 업무는 필수적인 기능이 되고 있다. 이것은 연방정부의 운영에 위험을 감소시키고 연방정부의 기능을 보장하는 역할을 해야 한다. 정보보안 관리의 목적은 변화하는 정보보안 위험을 관리하는 동시에 정부기관이 사전에 비용 효율적인 방식으로 적절한 보안통제를 구현할 수 있도록 하는 것을 말한다.
정보보안 거버넌스 요구 사항
미국 정부는 연방정부 보안 거버넌스를 위해 법률, 규정, 지침을 정의했다. 이는 미국 의회와 예산청(OMB), NIST 등의 조직에서 이루어지고 법적 준수사항을 식별하고 있다. 각 연방 정부의 구현 감사는 정부회계감사원(GAO)에서 진행하고 있다.
▲그림 3. 미국 정부 IT보안 거버넌스 요구사항 모델
그림 3의 거버넌스 구조를 보면 각 연방정부 기관장은 행정(Executive)과 입법(Legislative)에 의해 예산과 법률감사로 통제되고 있음을 알 수 있다. 즉 법령과 소요예산으로 각 정부기관을 통제하게 된다.
현재 입법부는 연방정부보안관리법을 제정하고 법적준수사항(Compliane)을 제시하고 있으며 이 법령을 이행한 결과를 정량화된 위험관리 수치로 만들어 OMB가 집계하고 있다. 위험관리 방법은 NIST가 연방 표준이나 지침으로 만들어 배포하고 있다. 관련된 주요 법령은 다음과 같다.
▲ 표 1. 미국 관련 법령
미국의 사이버보안 거버넌스는 OMB가 매년 연방정부 거버넌스 결과를 GAO와 의회 및 백악관에 보고함으로서 정기적인 보안업무가 되고 있다.
▲ 그림 4. 2008년 FISMA 보안 거버넌스 결과(OMB)
보안 거버넌스 구성요소
그림 5에서 보안 거버넌스 구성요소를 보여주고 있다. 외부 환경 즉, 법령과 예산 및 감사의 통제로부터 각 연방정부는 1)전략기획 2)정보 보안 거버넌스 구조 3)역할과 책임(R&R) 4)연방 엔터프라이즈 아키텍처(FEA) 5)정책과 가이드라인 6)구현 과정을 거쳐 거버넌스를 구현하게 되며 이 구성요소들은 지속적으로 감시되어야 한다. 기본적으로 1년 회계연도마다 갱신되는 생명주기를 가져야 한다.
▲ 그림 5. 미국 정보보안 거버넌스 구성요소
▲ 표 2. 미국 정보보안 거버넌스 구성요소
성공 요인
정부의 사이버보안 거버넌스 목적은 각 연방정부가 IT 보안을 조직의 비즈니스에 적절하게 운영하여 국가의 주요 인프라를 보호하려는 것이다. 이를 위해 국가에서는 소요 예산을 지불하면서 연방정부의 사이버보안 능력을 강화시키고 매년 그 결과를 점검하는 것이다. 여기에서 나타날 수 있는 문제점을 보면 다음과 같다.
- 정부 법적 준수사항을 맞추지 못할 가능성
- 정부 요구사항을 넘어 더욱 엄격한 지침을 요구할 가능성
- 새로운 다른 요구 사항을 지원하기 위해 향상된 지침을 개발할 가능성
- 새로운 환경에 따라 우선순위가 변경된 예산 집행 가능성
4. 대한민국의 거버넌스 대응방안
사이버보안 거버넌스란 조직의 보안통제를 구현하고 운영하는데 있어 지속적인 감시를 통하여 보안상태를 확인하고 조직에 적합한 경영 차원에서의 보안을 향상시키는 것이다. 이를 통해 위협을 막는 것은 물론 막을 수 있는 상태를 계속 유지하는 데 목적이 있다. 보안 수준 및 역량을 강화하며 최적의 비용효과적인 사이버보안을 만드는 것이다.
미국은 백악관의 행정시행령, 의회에서의 FISMA 법령, 예산청(OMB)의 예산 지원, 감사원(GAO)의 사업감사 등 외부 지원 하에 각 연방정부에 대한 거버넌스를 요구하고 있다. 결과 OMB가 각 연방정부의 보안수준을 의회와 감사원, 백악관에 보고하는 체계를 가지고 있는 것이다. 반면, 우리나라는 중요 사업자에 대하여 다음과 같은 법령으로 보안관리체계를 촉진하고 있다.
1) “정보통신망 이용촉진 및 정보보호 등에 관한 법률” 제47조,
2) “정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령” 제50조
3) 정보보호 관리체계 인증 등에 관한 고시(미래창조과학부고시 제2013-36호)
대상기관은 그림 6과 같다. 대상기관을 보면 대부분 중요하다고 판단되는 민간기업이 위주이며, 최근 문제가 되고 있는 한국수력원자력, 서울메트로 등 국가중요시설에 대한 거버넌스 체계는 마련되어 있지 않다.
▲ 그림 6. ISMS 대상기관(KISA)
▲ 표 3. 미국과 대한민국의 거버넌스 차이
미국의 사이버보안 거버넌스와 우리나라의 사이버보안 거버넌스의 차이점을 보면 다음 표와 같다. 결국 차이는 국가가 예산을 지불하면서 보안체계를 가지고 있느냐 차이다. 국내의 ISMS 인증은 거버넌스 체계로는 미흡하다. 이는 정부가 예산을 투입하지 않은 인증체계이므로 민간에 대한 보안관리 촉진 목적이라는 인상을 지울 수 없다. 그렇다면 한수원 사태, 서울메트로 사태, 농협 전산망 사고 등과 관련해서 해당 기관들은 어디서 거버넌스를 하고 있었고, 누가 책임을 지는 것인지 의문이 생긴다. 결국 국가주요시설을 관리하는 공공기관 및 공기업들에 대한 사이버보안 거버넌스 체계 확립이 무엇보다 선행되어야 하는 과제라고 할 수 있다.
[글 _ 임채호 KAIST 초빙교수, KAIST 전산학과 정보보호 전공(chlim@kaist.ac.kr)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpeg)
.jpg){kind=spacer}
.png){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
