GRC, 거버넌스·리스크매니지먼트·컴플라이언스 의미
기업보안 성패, GRC가 좌지우지
[보안뉴스 김경애] 최근 카드사 및 보험사 개인정보 유출, KT 홈페이지 해킹 등으로 기업 정보보호에 비상이 걸렸다. 하루가 멀다하고 발생하는 보안사고에 기술적· 관리적 보호조치 허술 등 다양한 원인이 제기되고 있다. 특히 ‘GRC’에 대한 전략적인 대응이 미흡했다는 지적이 나오면서 GRC에 대한 관심이 높아지고 있다.
|
▲ 중앙대 김정덕 교수가 제시한 GRC 가치 생태계 |
여기서 말하는 GRC는 거버넌스(Governance), 리스크매니지먼트(Risk Management), 컴플라이언스(Compliance)의 영문 첫자의 조합이다. 기업에서 거버넌스는 보안정책, 리스크매니지먼트는 위험관리, 컴플라이언스는 내·외부 규제 준수를 의미하며, 이 세 가지는 보안에 있어 매우 중요한 역할을 한다.
GRC의 중요성에 대해 한국EMC RSA보안사업부 신호철 상무는 “최근 발생하는 보안 사고를 보면 이전에 보안사고가 발생한 곳에서 재발하고, 비슷한 유형으로 발생되는 경향이 있다”며 “공격자 입장에서는 전체를 보면서 가장 취약한 곳을 찾는 반면, 방어의 입장은 그렇지 못하다. 이제는 새롭게 생각을 바꿔 해커의 관점 그 이상을 바라보는 능력이 필요하다”고 말했다.
이어 신 상무는 “카드 정보유출사고와 KT홈페이지 해킹 등을 통해 내부통제, 거버넌스 이슈가 발생하고 있고, 사람과 프로세스가 중요해지면서 GRC가 기업운영에 있어 크게 부각되고 있다”며 “기업은 GRC를 왜 해야 하고, 어떻게 활용해야 하는지 연구해야 한다”고 강조했다.
중앙대 김정덕 교수도 ‘정보보호 거버넌스 프레임워크’를 주제로 GRC의 중요성을 강조했다.
김 교수는 먼저 “보안을 어떻게 보느냐가 매우 중요하다”며 “경영적인 측면에서 보안은 비용이라는 부정적인 인식 때문에 투자가 잘 안되고 있다. 기업에서는 보안 성과 측정 등을 통해 보안이 새로운 사업을 가능케 하는 가치가 될 수 있도록 마인드를 바꿔야 한다”고 강조했다.
이는 보안이 허술할 경우 각종 위험을 초래해 비즈니스에도 악영향을 주지만, 이와 반대로 보안이 잘 되어 있으면 기업 이미지를 높여주고 새로운 가치 창출로 이어진다는 얘기다.
남아공 B. Solms 교수가 2006년 발표한 ‘정보보안 패러다임’의 흐름도를 통해서도 GRC의 중요성을 알 수 있다.
|
| ▲ 2006년 남아공 B. Solms 교수가 발표한 ‘정보보안 패러다임 흐름도’ |
우선 ‘정보보안 패러다임’을 단계별로 살펴보면, 1단계(1950~1980년대까지)는 컴퓨터 상용화 단계로, 보안은 기술의존도가 높았다. 2단계(1980~1990년대)는 인터넷이 미국과 유럽을 중심으로 보급되는 시기로, 보안이 기술 못지 않게 관리조직이 필요하다는 관리 패러다임으로 바뀌었다 .
3단계(1990년대 후반부터 2000년대 초반까지)는 정보보안을 위해서는 관리조직+기술+전체조직 모두의 노력이 필요하다는 인식으로 변화됐다. 보안은 조직구성원이 따라주지 않으면 얼마든지 구멍이 생길 수 있으므로 기업 문화로 녹아들어가야 한다는 것. 이 단계에서는 보안 측정과 효율적인 관리가 중요시된다.
4단계(2002년부터 현재까지)는 이른바 ‘거버넌스 시대’다. 9·11사태로 거버넌스에 대한 관심이 높아졌고, 골드만삭스의 회계부정사건 등으로 내부통제시스템 이슈가 부각됐다. 이때부터 보안은 전사적인 노력+탑매니지먼트 리더십이 요구되는 패러다임으로 변화했다.
이와 관련 김 교수는 “보안이 IT 위주에서 비즈니스로 이동하고 있다”며 “보안은 기술적 도구도 중요하지만 사람의 문제로 관리적 보안이 굉장히 중요하다. 보안사고가 미치는 영향이 커지면서 CEO가 사임하는 것 뿐 아니라 회사가 문 닫는 상황까지 이어지고 있는 등 비즈니스 이슈로 패러다임이 변화하고 있다”고 말했다.
특히 지난해 3.20·6.25사이버테러가 발생함에 따라 거버넌스에 대한 관심이 높아지고 있다는 것. 따라서 기업의 거버넌스는 IT를 어떻게 지시하고, 통제할 것인지, 누가 의사결정을 하고, 어떤 전략으로 할 것인지 등을 연구해야 한다는 게 김 교수의 설명이다.
또한 컴플라이언스는 내부 보안정책 준수가 핵심으로, 내부적 요구사항과 위탁 등 외부업체 간의 계약상 요구사항을 만족해야 한다고 덧붙였다.
이와 관련 김 교수는 “이제는 GRC가 각각 독립적인 게 아니라 서로 유기적으로 연결합해 강한 영향력을 끼친다”며 “거버넌스를 크게 정의하면 컴플라이언스와 리스크매니지먼트를 포함하고 있는 등 이미 외국에선 2005년부터 GRC를 통합하려는 움직임이 활발히 이뤄지고 있다”고 설명했다.
출처 : http://www.boannews.com/media/view.asp?idx=40329&page=1&kind=1&search=title&find=
'old > 관리적 보안' 카테고리의 다른 글
| [자료] 정보보호 컨설팅 업무 절차 및 필요 역량 (0) | 2014.05.14 |
|---|---|
| [기사] ISMS vs ISO27001 (0) | 2014.04.23 |
| [자료] NIST 사이버안보 프레임워크 (0) | 2014.03.18 |
| [자료] 주요정보통신기반시설 기술적 취약점 분석평가 방법 상세가이드 (0) | 2014.03.13 |
| [기사] ISMS, PIMS, PIPL 간략 비교 (0) | 2014.01.14 |
