정보보안 거버넌스의 효과적 수행...개인정보에 대한 투명한 관리와 개인의 정보주권 강화할 것
[보안뉴스= 김태성 한국정보보호학회 교육이사] 정보보안과는 거리가 있어 보이는 얘기지만 최근 동학개미라고 통칭하는 주식투자자들이 반대하는 ‘공매도(Short Selling)’은 특정한 시점에 고평가된 주가가 하락할 것이라고 판단하고 보유하지 않은 상태에서 주식을 매도하는 투자기법이다. 이론적으로 공매도는 존재하지 않는 주식을 매도할 수 있게 해 유동성(Liquidity)을 증가시킬 뿐만 아니라 주식의 적정가치에 대한 판단을 다양한 관점에서 가늠하게 함으로써 투명성(Transparency)을 제고하는 효과가 있다. 지난해 ‘제2의 테슬라’라고 불리던 수소전기트럭업체인 니콜라의 허상을 폭로한 것도 힌덴버그라는 공매도 전문 리서치 업체였다(한국경제, 2020.9.11. 기사 참조).
[이미지=utoimage]
일반적인 경영관리에서뿐만 아니라 정보보안 관리에서도 가장 중요한 원칙 중에 하나가 역할(Role)과 책임(Responsibility)의 균형이다. 흔히 R&R이라고 줄여서 부르는 기본원칙이다. 조직 구성원이 정보보안 업무를 수행할 때는 R&R이 업무수행시 담당해야 하는 역할(또는 행사할 수 있는 권한)과 문제가 발생하는 경우 부담해야 하는 책임이 되지만, 소비자의 관점에서는 제품과 서비스를 구매하는 경우(개인정보의 경우에는 태어나면서 또는 일정한 조건이 되면서 고유하게 보유할 수 있는) 당연하게 보장받아야 하는 권리(Right)와 그러한 권리의 주체로써 권리를 보장받기 위해 본인에게 부여되는 일정한 책임(Responsibility)으로 읽힐 수 있다.
거버넌스(Governance)의 사전적 의미는 ‘공동의 목표를 달성하기 위해, 주어진 자원 제약하에서 모든 이해 당사자들이 책임감을 가지고 투명하게 의사 결정을 수행할 수 있게 하는 제반 장치(네이버 사전, 2021.3.7. 조회)’다. 아울러 Fay와 Patterson이 공저한 Contemporary Security Management(2018)에 의하면 정보보안 거버넌스는 ‘정보보안의 전략적 방향을 제시하고, 목적 달성을 보장하고, 적절한 위험 관리를 확인하고, 합리적인 기업 자원의 사용을 검증하는 것을 목표로 최고경영진이 행사하는 책무와 관행의 집합’이다. 사용하는 단어는 다르지만, 일반 거버넌스이든 정보보안 거버넌스이든 조직의 전반적인 또는 특정한 목표를 달성하기 위해 부여된 일련의 권한과 책임의 조합이라고 이해할 수 있겠다.
정보보안 거버넌스가 효과적이고 효율적으로 수행된다면 조직 구성원 또는 소비자인 개인의 정보에 대한 투명한 관리가 보장될 수 있을 것이고, 궁극적으로 개인의 정보주권 또는 소비자주권이 강화될 수 있을 것이다. 본인 소유 신용정보에 대한 관리를 개인이 담당하게 되는 마이데이터 사업이 본격화되면, 다양한 형태의 개인 신용정보의 제공 및 활용 방식이 발생할 수 있기 때문에 소비자주권의 보호를 위해 정보보안 거버넌스에 대한 이해과 점검이 중요해질 것이다. 개인 신용정보에 대한 가치를 ‘투명하게’ 평가하고, 누가 어떻게 활용하고 있는지 ‘투명하게’ 관리하고, 오남용 등의 문제가 발생한 경우에 ‘투명하게’ 책임을 추적할 수 있게 하는데 정보보안 거버넌스가 중요한 역할을 할 것이다.
[글_김태성 충북대학교 경영정보학과 교수/보안경제연구소 소장]
[보안뉴스= 김태성 한국정보보호학회 교육이사] 정보보안과는 거리가 있어 보이는 얘기지만 최근 동학개미라고 통칭하는 주식투자자들이 반대하는 ‘공매도(Short Selling)’은 특정한 시점에 고평가된 주가가 하락할 것이라고 판단하고 보유하지 않은 상태에서 주식을 매도하는 투자기법이다. 이론적으로 공매도는 존재하지 않는 주식을 매도할 수 있게 해 유동성(Liquidity)을 증가시킬 뿐만 아니라 주식의 적정가치에 대한 판단을 다양한 관점에서 가늠하게 함으로써 투명성(Transparency)을 제고하는 효과가 있다. 지난해 ‘제2의 테슬라’라고 불리던 수소전기트럭업체인 니콜라의 허상을 폭로한 것도 힌덴버그라는 공매도 전문 리서치 업체였다(한국경제, 2020.9.11. 기사 참조).
[이미지=utoimage]
일반적인 경영관리에서뿐만 아니라 정보보안 관리에서도 가장 중요한 원칙 중에 하나가 역할(Role)과 책임(Responsibility)의 균형이다. 흔히 R&R이라고 줄여서 부르는 기본원칙이다. 조직 구성원이 정보보안 업무를 수행할 때는 R&R이 업무수행시 담당해야 하는 역할(또는 행사할 수 있는 권한)과 문제가 발생하는 경우 부담해야 하는 책임이 되지만, 소비자의 관점에서는 제품과 서비스를 구매하는 경우(개인정보의 경우에는 태어나면서 또는 일정한 조건이 되면서 고유하게 보유할 수 있는) 당연하게 보장받아야 하는 권리(Right)와 그러한 권리의 주체로써 권리를 보장받기 위해 본인에게 부여되는 일정한 책임(Responsibility)으로 읽힐 수 있다.
거버넌스(Governance)의 사전적 의미는 ‘공동의 목표를 달성하기 위해, 주어진 자원 제약하에서 모든 이해 당사자들이 책임감을 가지고 투명하게 의사 결정을 수행할 수 있게 하는 제반 장치(네이버 사전, 2021.3.7. 조회)’다. 아울러 Fay와 Patterson이 공저한 Contemporary Security Management(2018)에 의하면 정보보안 거버넌스는 ‘정보보안의 전략적 방향을 제시하고, 목적 달성을 보장하고, 적절한 위험 관리를 확인하고, 합리적인 기업 자원의 사용을 검증하는 것을 목표로 최고경영진이 행사하는 책무와 관행의 집합’이다. 사용하는 단어는 다르지만, 일반 거버넌스이든 정보보안 거버넌스이든 조직의 전반적인 또는 특정한 목표를 달성하기 위해 부여된 일련의 권한과 책임의 조합이라고 이해할 수 있겠다.
정보보안 거버넌스가 효과적이고 효율적으로 수행된다면 조직 구성원 또는 소비자인 개인의 정보에 대한 투명한 관리가 보장될 수 있을 것이고, 궁극적으로 개인의 정보주권 또는 소비자주권이 강화될 수 있을 것이다. 본인 소유 신용정보에 대한 관리를 개인이 담당하게 되는 마이데이터 사업이 본격화되면, 다양한 형태의 개인 신용정보의 제공 및 활용 방식이 발생할 수 있기 때문에 소비자주권의 보호를 위해 정보보안 거버넌스에 대한 이해과 점검이 중요해질 것이다. 개인 신용정보에 대한 가치를 ‘투명하게’ 평가하고, 누가 어떻게 활용하고 있는지 ‘투명하게’ 관리하고, 오남용 등의 문제가 발생한 경우에 ‘투명하게’ 책임을 추적할 수 있게 하는데 정보보안 거버넌스가 중요한 역할을 할 것이다.
[글_김태성 충북대학교 경영정보학과 교수/보안경제연구소 소장]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
.jpg){kind=spacer}
.jpg)
 THJ.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
