현대 기업 환경에서 보안 담당자는 정보 보호의 최전선에 서 있으며, 기업의 자산과 데이터를 위협으로부터 지키는 핵심적인 역할을 수행하고 있다. 보안 담당자는 대게 관리 보안 , 기술 보안 형태로 나뉘기도 하는데 일반적으로 기술 보안 담당자의 업무는 네트워크 보안 관리, 시스템 취약점 분석, 보안 정책 수립 및 모니터링, 침해 사고 대응, 침투 테스트, 기술적 보안성 검토 와 같은 업무를 통해 기업의 자산과 서비스가 안전하고 또 지속적으로 운영 될 수 있도록 하는데 있다.
그러나 내가 기술 보안 업무를 수행하고 또 담당자로서 지내온 기간 경험을 토대로 비추어보면 기술 보안 담당자라면 단순히 보안 기술을 활용하여 기업 내에 보안 수준을 끌어올리는 한 편, 관리적 보안 담당자 및 유관부서(개발, 인프라)와 유기적인 협업을 통해 보안이 왜 필요하고 어떻게 기업에 기여하고 있다고 어필할 수 있을지 고민이 업무에 병행되어야 할 필요가 있다고 생각한다.
따라서 이 글에서는 기술 보안 담당자로서 업무를 수행하면서 경험했던 문제점 세 가지를 살펴보고 왜 이에 대한 해결 방안을 제시하면서 어떻게 업무를 수행하는 것이 기술 보안 담당자의 역할과 책임을 다 할 수 있는지 다루고 이야기해보고자 한다.
한국인터넷진흥원 에서 2024년 05월 07일에 발표한 2024 국가정보보호백서 (부록 제1장, 통계로 보는 정보보호, p.254)를 살펴보면 113개의 국가ㆍ공공 부문에서 정보보호 전담부서를 운영하는 기관은 61.95% 정도이며, 민간기업의 경우 6,500 여개의 조사 대상 기업 기준 5.4%에 불과한 것으로 확인된다. 겸임하는 조직을 운영하는 26.1%를 포함해도 31.5% 에 불과한데, 업종별로는 금융 및 보험업이 78.0%로 다른 업종에 비해 전담 조직을 운영하는 비율이 높고, 250명 이상의 규모를 갖춘 기업들이 22.4%로 확인되어 정보보호 조직은 어느정도 규모와 자본이 있어야 조직이 구성 및 운영되고 있음을 추정해 볼 수 있다.
| 구분 | 정보보호 조직 운영 | 전담조직 비율 | 겸임조직 비율 |
|---|---|---|---|
| 국가ㆍ공공 | 61.95% | ||
| 민간 | 31.5% | 5.4% | 26.1% |
흥미로운 점은 2022년 정보보호 공시 제도 가 의무화 되고 이후 2024년에만 600여개가 넘는 의무 대상 기업이 정보보호 공시를 수행하고, 90개 넘는 기업이 자율적으로 정보보호 공시를 해왔음에도 정보보호 조직을 갖춘 기업이 많지 않다는 점이다. 이러한 현상이 벌어지는 사유는 보안 조직은 돈을 지출하기만 하는 조직이라는 인식이 많기 때문이다.
문제점 하나, 보안 조직은 돈을 지출하기만 하는 조직이라는 인식
31.5%에 해당하는 보안에 대한 중요성을 인지하여 보안 조직을 운영하고 있는 기업에서도 보안에 지출되는 비용을 부담스러워 하여 줄이려고 하는 경우가 많은 것이 현실인데, 이에 해당하지 않는 보안 조직의 역할과 중요성에 대한 인식이 부족하고 필요성조차 재대로 인지하고 있지 못한 기업들에게 있어 보안 조직은 불필요하게 돈을 지출하기만 하는 조직이라는 부정적 인식이 많다.
앞서 언급한 2024 국가정보보호백서에서도 관련 사유를 간단하게 확인해 볼 수 있는데, 공공기관에서 정보보호 전담조직을 신설하지 않은 이유 63.89%로 첫 번째가 예산 및 인력의 부족이고, 22.22%로 두 번째를 따르고 있는 이유가 바로 기관장의 인식 부족에 해당된다. 민간 부문에서 정보보호 에로 사항 응답으로 42.9%가 정보보호 예산 확보에 어려움을 겪는 것으로 조사되었다.
결과적으로 보안 인력의 충원이나 솔루션을 도입/교체하는 모든 과정에서 보안 담당자는 이러한 인식과의 줄다리기 싸움은 재직 기간 중 벗어날 수 없는 굴레가 된다. 이는 나 역시 피해 갈 수 없었던 문제이자, 어떠한 기업에 입사해 업무를 수행하던 정도의 차이가 있을 뿐 피할 수 없이 맞닥들이는 문제가 된다.
그러면 자본이 충족된 기업에서 업무를 수행하면 문제 없이 보안 업무를 수행할 수 있을까? 답은 그렇지 않다. 설령 기업의 규모가 커지고 보안에 대비하는 비용을 지출할 수 있는 여건이 있어 보안 조직을 운영하더라도 내부적으로는 벌어 들이는 수익 없이 지출만 발생하는 조직에 불과하다는 인식과 싸워야 하는 문제점이 발생한다. 이러한 인식 속에서 좀 더 유리한 위치를 확보하기 위해서는 기업이 보안에 투자하고 있는 본질에 대해 고려해볼 필요가 있다.
문제점 둘, 기업이 보안에 투자하고 있는 본질 인지
정보보호 조직을 운영하고 있는 국가ㆍ공공 및 민간 기업들은 왜 구태여 부담스럽고 부정적으로 생각하고 있음에도 불구하고 보안에 비용 지출을하고 있을까? 법으로 요구하기에 불가피하게 의무적으로 해야 할 필요가 있는 경우도 있겠으나, 상당한 비용을 지불하면서도 ISMS-P(ISMS 또는 PIMS) 등과 같은 인증까지 받는 근본적 이유는 결국 불가피하게 사고가 발생한 경우에 과태료 및 과징금을 감경 받거나, 보안 수준을 높이기 위해 충분한 노력과 조치를 수행 해왔음에도 불가피 하게 발생 할 수 밖에 없었던 사고라는 점을 인정받아 면책을 받기 위함이다.
이 본질적 사유를 충족하기 위해서는 단순히 시키는 업무를 수행하는 것이 아니라 능동적으로 미흡한 부분을 찾아서 어떻게 보충할지 고민하고, 불가피하게 예상하지 못한 사고가 발생하더라도 보안 수준 향상을 위해 해온 노력을 어떻게 객관적으로 인정받을 수 있게 준비하고 증빙 할 수 있을지 염두에 두고 업무를 수행해야 하는 것이다.
문제점 셋, 보안 조치는 별도 유관 부서의 담당자가 수행
보안 조직이 꾸려지고 운영하는 이유나 목적이야 어떠하든 간에 보안 업무를 수행할 수 있는 환경이 갖춰지고 보유한 기술을 이용해 보안 취약점을 점검했다면 그 다음에 따라오는 문제점은 바로 발견된 취약점에 대해 조치 계획을 수립하고, 관련 담당자에게 조치 요청을 하고 예정된 일자 또는 조치 점검 요청 시 해당 조치가 적절하게 되었는지 이행 점검을 수행하는 과정이 필요하다. 즉, 실질적인 조치를 하는 담당자는 보안 담당자가 아닌 관련 담당자인 경우가 많다.
웹이나 애플리케이션 등 서비스와 관련된 경우에는 개발자와의 협업이 발생하는 경우가 있고, 인프라 구성 및 장비와 관련해서는 인프라 담당자와의 협업이 발생하고, 기술이 아닌 관리적, 물리적 보안에 대해서는 그 외의 유관 부서의 담당자와의 협업이 필요불가결하다.
보안 담당자의 입장으로서야 기업의 자산과 데이터 및 지속 가능한 서비스 제공을 위해 당연히 해야 하는 조치 요청이라 할 수 있겠지만, 유관 부서의 입장에서는 가뜩이나 해야 할 일이 많아 바쁘게 업무를 수행하는 와중에 갑작스레 "문제점이 있으니 해결하시오" 라는 일방적인 요청을 받는 상황이 되어버리기 때문에, 자칫 잘못 하면 상호 불편한 관계를 형성할 수 있다. 이것이 바로 소위 말하는 커뮤니케이션의 중요성이 필요해지는 순간이다. 따라서 보안 담당자로서 조치를 요청해야 할 대상과 어떻게 커뮤니케이션을 가져가야 할 지, 어떻게 부담을 덜어주고서 상호간 협력을 효율적이고 기분 좋게 할 수 있을지 염두에 두어야 한다.
이 외에도 다루지 않은 다양한 문제점들과 경우가 존재하지만 앞서 제시한 조직의 인식을 개선하고 보안 투자의 본질을 충족하면서 유관 부서와의 협업을 효율적으로 하기 위한 해결 방안으로는 다음과 같은 노력을 해볼 수 있을 것이다.
방안 하나, 주기적인 보안 수준 현황 및 침해 사고 사례 보고
지출하기만 하는 조직이라는 인식을 개선하기 위한 방법으로 우선 사고 발생 시 부과 되는 과태료 및 과징금을 활용하는 방법을 고려해 볼 수 있다. 개인정보보호위원회 보도자료 등을 통해 공표된 유사 기업에서 발생된 과태료 및 과징금 금액 및 위반 사항을 토대로 단순히 관리적, 기술적인 구분을 떠나 보안 조직 자체가 이러한 리스크 비용 발생을 방지하기 위해 노력하고 있다는 점을 어필하는 방법이고 실제로 근무했던 기업 중 일부에서는 이 방법을 활용 할 때 보다 신뢰 받고 지원을 얻어낼 수 있었다.
| 일자 | 대상 | 위반 내용 | 시정조치 |
|---|---|---|---|
| 2024.12.12 | 현대해상 화재보험 | - 수집ㆍ이용 동의 위반 - 개인정보 미파기 - CPO 내부통제 미흡 |
- 과징금 61억 9,800 만원 - 시정명령 |
| 2024.12.12 | 악사 손해보험 | - 수집ㆍ이용 동의 위반 - 개인정보 미파기 - CPO 내부통제 미흡 |
- 과징금 27억 1,500 만원 - 시정명령 |
| 2024.12.12 | 하나 손해보험 | - 수집ㆍ이용 동의 위반 - 개인정보 미파기 - CPO 내부통제 미흡 |
- 과징금 2억 7,300 만원 - 시정명령 |
| 2024.12.12 | 엠지 손해보험 | - 수집ㆍ이용 동의 위반 - 개인정보 미파기 - CPO 내부통제 미흡 |
- 과징금 2,170 만원 - 시정명령 |
| 2024.12.12 | 롯데 손해보험 | - 개인정보 미파기 | - 과태료 1,080 만원 - 시정명령 - 개선권고(CPO) |
| 2024.12.12 | 삼성화재 등 7개사 | - 개인정보 미파기 | - 시정명령(미파기) - 개선권고(CPO) |
| 2024.11.28 | 쿠팡(주) | - 안전조치의무 위반(접근통제) <고객 주문정보 유출> |
- 과징금 13억 1,000 만원 - 결과 공표 |
| 2024.11.28 | 쿠팡(주) | - 안전조치의무 위반(접근통제) 유출통지ㆍ신고 특례 위반 <배달원 개인정보 유출> |
- 과징금 2억 7,865 만원 - 과태료 1,080만원 - 결과 공표 - 개선권고 |
| 2024.11.28 | 테크놀로지 인... | - 개인정보의 파기 위반 <배달원 개인정보 유출> |
- 시정명령 - 결과 공표 |
| ... | ... 생략 ... | ... 이하 생략 ... | ... 이하 생략 ... |
물론 이러한 조치와 대비를 하기 위해서는 기술 보안 업무를 하더라도 관련 법, 시행령, 시행규칙, 고시 등에 대한 지식을 보유하고 있을 필요가 있고, 기술적으로 시행하고 조치한 부분에 있어서도 원인, 조치, 결과 내역을 가지고 업무를 진행하고 사고 대비에 있어 충분한 역할을 하며 만전을 기하고 있음을 어필하여 보안 조직이 신뢰받는 조직 또는 신뢰 할 수 있는 조직 으로 위치할 수 있도록 고려 해야 한다.
기존에는 과징금이나 과태료가 비교적 적게 부여되었던 반면, 근래에 들어 개인정보보호법이 점점 더 강조되고, 사건 사례들을 토대로 보면 충분한 조치가 되지 않은 경우에 과징금과 과태료가 기존 수 천 만원 선에서 끝났던 것 대비 억대 단위로 늘어나고 있는 점, 국제적으로도 GDPR 등 해외 에서도 위반 시 기업의 매출의 퍼센트 단위로 그 책임을 크게 물어가는 동향을 참고해 대응하면 좋을 것이다.
방안 둘, 법적 요건 충족 및 사고 발생 시 면책을 위한 근거 확보
두 번째 방안으로, 기업이 보안에 투자하고 있는 본질에 입각하여 정보 보호 및 보안과 관련된 법적 요건을 충족하기 위한 자료 유형과 형태를 준비하고, 객관적으로 보안 수준 향상을 위한 노력을 증빙 할 수 있는 근거를 확보해야 한다.
하나의 예시로 Jira 또는 Confluence 등을 활용하는 기업에서는 임직원 들의 요청 및 처리 현황 등을 Jira 를 통해 관리/요약하여 주기적으로 요청 내용, 처리 내용, 특이 사항을 요약해 혹여 사고가 발생한 경우 어떠한 위험을 미리 사전에 고려하고 대응 책을 준비하며 준비해 왔음 등을 증빙 해볼 수 있을 것이고, 지침이나 안내 자료 등은 Wiki 와 유사한 Confluence 의 기능을 이용해 변경 이력과 함께 정리해볼 수 있을 것이다.
위의 Jira와 Confluence 는 하나의 예시이나 다른 도구들을 이용해서도 목적과 용도에 맞춘다면 대비할 수 있는 방안은 다양하게 있을 것으로 생각된다.
방안 셋, 복수의 대안 준비로 상대방을 배려한 커뮤니케이션 진행
보안 업무를 해오면서 보면 대게 사이가 보안 담당자와 조치 담당자 간 사이가 안 좋은 경우 대게 "이러한 점이 발견되었으니 조치하세요.", "나는 조치 요청을 했으니 (담당자 또는 담당 부서)에서는 조치를 해주셔야 합니다." 와 같은 일반적인 형태의 커뮤니케이션을 많이 볼 수 있었다. 조치 담당자는 앞서서도 언급했던 바와 같이 개발자가 될 수도 있고, 인프라 담당이 될 수도 있고, 그 외의 부서가 될 수도 있는데 관련 인력 및 부서 역시 별도로 담당하는 본연의 업무라는 것이 존재하기 때문에 조치해야 할 문제점이 나왔다 하여 바로 조치할 수 있는 상태가 아닌 경우가 많다.
즉, 조치 담당자 입장에서는 본 업무를 하고 있는 와중에 예상치 못하게 "취약점 등 문제점이 발생했으니, 이거 조치하세요." 라면서 갑작스럽게 업무가 추가되는 상황이 발생되는 것이니, 이는 퇴근 전에 업무를 맡기러 오는 누군가 처럼 반갑지 않은 손님이 될 수 밖에 없다. 그런데 이러한 손님이 "나는 문제점을 찾는 사람이고 찾았으니 너는 조치를 해야만 해" 라는 일방적인 커뮤니케이션을 해온다면, 진상 손님으로 분류 될 수 밖에 없다.
이 경우 내 경험으로 비추어 볼 때 개발자를 대상으로 조치 요청을 할 때에는 FM 에 가까운 A안과 법의 요건을 충족하는 선에서 손이 덜 가거나 신경을 덜 쓸 수 있는 간단한 조치인 B안을 포함해 두 가지 이상의 대안을 가져가서 원래는 A 처럼 해야 하나 업무가 과중하실 것 같아 B 안으로 조치하는 방법으로도 괜찮을 것 같은데 어떠십니까? 하며 물어보는 경우 대부분 B 안으로의 조치에 협조적으로 대응 해주는 경험을 많이 했다. 인프라 관련 담당자의 경우에도 마찬가지로 원래대로 FM에 따라 조치해야 할 부분을 법적 요건을 충족하는 선에서 대안을 가져가면 기분 상하는 일 없이 조율 할 수 있는 경우도 많이 있었고, 개발이나 인프라 쪽과 관련 없는 기획 담당자 등과 이야기 할 때에는 부족한 대응 등에 대해서는 조언을 줄 수 있는 담당자와 연결해 주거나 또는 외주 업체와 기술적 커뮤니케이션이 필요 할 때 대응해주는 것으로 상호간 완만한 커뮤니케이션을 달성 할 수 있었다.
더 좋은 방안을 갖은 담당자도 있을 테지만, 나의 경우 이러한 방법을 사용하였는데 혹여 더 나은 방안을 갖은 사람이 있다면 해당 방법을 사용하는 것도 좋은 방안이 될 수 있을 것이다.
마무리
위에서 언급한 문제와 방안이 아니더라도 언급되지 않은 다양한 문제점과 방안이 존재할 것이기 때문에 이러한 문제에는 "이러한 것이 정답이다" 라고 말하기에는 적절하지 않다고 생각한다.
다만 자신이 보안 담당자라면, 기업의 자산과 서비스가 안전하고 지속적으로 운영될 수 있도록 하기 위해 해결해야 할 문제를 인식/식별하고 개선하기 위해 고민하며, 대안을 찾아내고 문제를 해결하는 업무를 수행하고 있을 때야 말로 기술 보안 담당자로서 역할과 책임을 다 하고 있는 것이라고 나는 그리 판단해보며 이 글을 맺는다.
토론하기