[박나룡 쿠팡 정보보안실장. 사진] 최근에 보안 사고 등이 지속적으로 발생하면서 많은 기업들이 정보보호에 대한 투자를 확대하고 있다. 정보보호의 투자 측면은 크게 예산적인 부분과 인력적인 부분으로 생각해볼 수 있다. 특히 인력에 대한 투자를 통해 정보보호를 ‘잘’ 수행하기 위해서 어떻게 하면 효과적인 정보보호 조직을 구성할 수 있는가에 대한 고민이 정보보호를 수행하는 관리자의 큰 고민중의 하나일 것이다.
 
효과적인 보안 조직을 구성할 수 있을 것인가? 효과적인 보안 조직이 가능하기는 한 것인가? 라는 여러 의구심이 들지만, 고민하는 차원에서 정리해 본다.
 
효과적인 보안 조직을 구성하기 위해서 가장 먼저 필요한 것은 전담인력의 확보다. 그렇다면, 어느 정도의 전담 인력이 있어야 보안 활동을 ‘잘’ 수행할 수 있을까?
 
결론부터 얘기 하자면, 정보보호 전담 인력은 많으면 많을수록 좋다고 생각한다. 모든 전사 구성원이 정보보호 인식이 확고하고, 맡은 부분에 대해 자체적으로 보안 활동을 ‘잘’ 수행할 수 있다면 문제가 없겠지만, 현실적으로 이 부분이 어렵기 때문이다. 교육을 통해 일정 수준 이상의 전 사원 ‘보안인’화가 이루어질 때 까지는 많은 시간이 소요된다.
 
많은 시간을 들여 전사 인력에 대한 교육과 인식개선활동을 열심히 진행했음에도 불구하고 현실적으로 실천에 대해서는 한계가 존재한다. 또한 모든 것을 솔루션(기술적 도움)으로 해결하는 것도 한계가 있을 수 밖에 없다.
 
따라서 전담 인력을 확보하여 시간과 효율을 보완할 수 밖에 없기 때문에 정보보호 업무를 수행할 전담인력의 확보는 그 조직의 보안 수준을 나타낼 수 있는 ‘척도(Depth)’이며, 회사의(또는 경영진) 정보보호에 대한 ‘의지’로 볼 수 있을 것이다.
 
하지만 여전히 많은 기업의 정보보호 관리자들은 ‘어느 정도의 전담 인력 확보가 적정한가?’라는 질문을 던지고 있다. 여기에 대한 답은 아무도 해 줄 수 없겠지만, 적정성에 대한 판단 기준은 다음과 같은 사항들을 고려해서 참조할 수 있을 것이다.
 
첫째, 보호해야 할 대상 즉 정보자산, 데이터, 인력 등의 범위가 얼마나 존재하는가.
무엇보다도 비즈니스 환경에 따라 기업이 보호해야 할 정보자산의 범위를 식별할 수 있을 것이다. 여기에는 고객정보, 사내 생성 데이터, 사람 등 다양한 보호 대상이 포함될 수 있고 이러한 수치에 따라 기술적, 관리적, 물리적 부분에서 인력의 비중을 어떻게 가져갈 것인지에 대한 모습도 그려낼 수 있을 것이다.
 
둘째, 회사의 비즈니스 유형의 복잡성, 사업 부서의 형태 및 수는 얼마나 되는가.
한 회사에서 다양한 비즈니스 유형을 가지고 있다면, 비즈니스 유형을 고려하여 업무 담당자를 배정하는 것도 고려해 볼만하다. 예를 들어 크게 3가지의 비즈니스 모델을 가지고 있는 기업이라면 해당 비즈니스 유형별로 3명의 업무 담당자의 배치도 고려할 수 있을 것이다. 이를 통해 각 사업부 담당자는 해당 사업부에 대한 비즈니스 이해도가 높아지고 해당 사업의 조직원들과 자연스럽게 연결 됨으로써 잠재된 이슈를 지속적으로 도출할 수 있는 업무 유형을 만들어 낼 수 있다.
 
셋째, 기술적, 관리적 보호조치 중 어떤 부분을 선행할 것인가.
인력에 대한 확보를 진행하다 보면, 기술적 인력과 관리적 인력에 대한 비율 등을 고민할 수 있다. 이 경우 회사의 비즈니스 유형에 따라 기술적 부분이 많다면 기술 전문인력을 먼저 확보한 후 다른 부분으로 점차 확대하는 식으로 할 수 있을 것이고, 관리적 이슈가 많다면 그 부분을 먼저 책임질 수 있는 인력을 확보하고 확대하는 방식을 고민해 볼 수 있다. 법률부분에 대해서는 전담인력의 확보가 가능하다면 좋겠지만, 그렇지 못할 경우에는 보안 전문 로펌 등을 활용하는 것도 한 가지 방법일 수 있다.
 
조직의 협업 프로세스와 조직문화가 잘 구축된 곳에서는 전담인력을 최적화해서 최고의 효과를 얻을 수도 있겠지만 이게 처음부터 가능하긴 쉽지 않은 일이다.
 
만일 위에서 언급한 몇 가지 고려사항에도 불구하고 적정한 인력에 대한 고민이 어렵다면, 정보보호 관리 체계의 통제 항목을 활용한 조직과 인력의 구성 방법을 고려할 수 있다.
 
예를 들어 ISMS 접근통제를 살펴본다면, 해당 요구사항을 만족시키기 위해 수행해야 할 세부 Activity가 도출될 것이다. 또한 도출된 과제가 기술적, 관리적 부분인지 구분이 가능할 것이고 이에 대한 업무를 세부적으로 식별하다 보면 필요한 인력 수를 산출할 수 있을 것이다.
 
큰 틀에서 본다면, 정책 등 기준을 마련하고, 교육, 이행 점검하는 관리 조직이 필요하고, 기술적 보호조치를 위해 취약점을 보완하기 위해 기술적 조치를 마련하고, 솔루션 도입 및 운영하는 기술 보안 조직, 기준 준수 및 페널티를 관리하는 내부감사 조직 등이 필요하다고 볼 수 있다.
 
다만, 효과적인 조직을 구성하기 위해서는 예산과 인력이 투입 되는 만큼 의사결정자에게 필요성을 설득하는 과정은 정보보호를 담당하는 관리자의 몫이다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
[글. 박나룡 포워드벤처스(쿠팡) 정보보안실 실장 tree@coupang.com]