정보보호관리체계의 필요성

1990년대 중반 이후 정보기술이 조직의 필수요소로 자리 잡고 인터넷이 광범위하게 활용되면서 금전과 관계된 정보들이 네트워크 상에서 교환되거나 네트워크를 통해 접근할 수 있게 되었다. 이에 따른 원치 않는 부산물로서 각종의 바이러스 및 해킹뿐만 아니라 인력, 하드웨어, 소프트웨어, 네트워크 등에서 발생하는 오류와 취약점들이 나타나게 되었고 이러한 것들이 조직에 미치는 영향은 급격히 증가하게 되었다. 이러한 위험을 감소시키기 위해서 새로운 대책, 시스템 등이 지속적으로 개발, 판매되고 있으나 새로운 취약성이 발견되는 속도에는 미치지 못하고 있는 실정이다.

예전에는 바이러스 백신, 방화벽 등을 설치함으로써 보안 문제가 해결되는 것으로 생각하기도 했으나 시스템과 네트워크가 복잡해지고 정책, 절차, 인력 등에 대한 위험과 그 대책이 발표되면서 이 대책과 기술들을 체계적으로 관리할 필요성이 대두하기 시작했다.

최근의 추세로는 2-3일 간격으로 새로운 취약성이 발표되고 있으며 이에 대응하기 위한 새로운 관리적, 절차적, 인적, 물리적, 기술적 대책들이 제안되고 있다. 각국의 여러 정보보호 관련 기관에서는 이러한 대책목록을 정리, 출판하고 있다. 이 대책목록은 보통 100여 가지 이상의 대책을 포함하고 있으며 이 목록에 포함되지 않은 세부기술적인 사항이나 기법들까지를 포함하면 수백 가지를 넘을 것이다.

조직의 정보보호를 담당하는 책임자들은 이러한 목록을 참조하면서 다음과 같은 질문을 떠올리게 된다. 이 목록에 나온 대책이 전부인가? 이 대책들을 모두 다 도입해야 하는가? 이 대책들을 어떻게 관리해야 하는가?

이러한 질문들에 대하여 여러 정보보호 책임자와 전문가들이 고민하여 찾아낸 답은 바로 ‘완전한 대책목록은 없다’는 것이다. 오늘 완전한 대책 목록을 내놓더라도 내일이면 또 다시 새로운 대책 항목이 나타날 것이다. 반면에 그 모든 대책을 다 구현할 필요는 없다. 조직에 필요한 대책만을 선정하여 구현하면 된다. 그러나 조직에 필요한 대책 역시 내일이면 변할 것이다. 따라서 지속적으로 우리에게 무엇이 필요한지, 필요한 대책이 다 구현되었으며 효과적으로 적용되고 있는지 관리해야 한다.

 

 

 

즉, 조직의 위험에 대한 단편적인 정보보호대책과 문제가 발생할 때마다 일회성으로 관리하는 부분적 보안은 조직의 정보보호에 큰 도움을 줄 수가 없다. 따라서 수많은 정보보호대책 가운데서 우리에게 반드시 필요한 대책을 찾아내고, 그러한 대책을 구현하고 체계적이고 지속적으로 운영, 유지관리하기 위해서는 정보보호관리체계 수립이 필요하다.