[전문가 기고] 정보보호 핵심은 '기술'이 아닌 '거버넌스'

작성일 07-15

<div id="layerTranslateNotice" style="display:none;"></div>  
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="ydTORpMU5q">
          <figure class="figure_frm origin_fig" contents-hash="6ac5f686df0bba011408a85a55761046a0fff1ad159b1551b176acb8bf8584f9" dmcf-pid="WJyIeURuXz" dmcf-ptype="figure">
           <p class="link_figure"><img alt="김태성 교수" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202507/15/etimesi/20250715160302881rlbu.jpg" data-org-width="500" dmcf-mid="x59uCJIiYB" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202507/15/etimesi/20250715160302881rlbu.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            김태성 교수
           </figcaption>
          </figure>
          <p contents-hash="474377c1ae7e4a2c8ed442d9718b52241dd941abaeb071440936f86aaccc5f8f" dmcf-pid="YiWCdue7X7" dmcf-ptype="general">정보보호의 핵심은 '기술'이 아닌 '거버넌스'다. SK텔레콤에서 발생한 대규모 유심정보 유출 사건은 단순한 사이버 해킹 문제가 아니었다. 사고는 방화벽이나 백신이 부족해서가 아니라, 정보자산 식별과 위협 분석, 접근통제 정책 등 관리 체계가 부실했던 점, 즉 정보보호 거버넌스의 붕괴가 핵심 원인이었다. 최고경영진이나 이사회가 위협을 사전에 인식하거나 점검하지 못한 것은, 단지 기술의 문제가 아니라 정보보호에 대한 전략적 관리 체계, 곧 위험관리 기능이 부재했기 때문이다.</p>
          <p contents-hash="4b46a94481c77c0a67e40246140820fa9ce421c0219f0aa3334a92e2112869c4" dmcf-pid="GdTORpMUGu" dmcf-ptype="general">이제 정보보호는 단순한 IT 기능을 넘어, 조직 경영 전반에 영향을 미치는 핵심 리스크 분야다. 이에 따라 조직 내부에 위험을 식별하고 분석하며, 경영진에게 의미 있는 형태로 이를 보고할 수 있는 정보보호 위험관리 인력의 양성과 자격 기반 검증 체계가 필수적으로 요구된다.</p>
          <p contents-hash="088b98e0e3aa8a4da0861762995089e6a4e87fde578fe56d02c7a25cca357c39" dmcf-pid="HJyIeURuXU" dmcf-ptype="general">정보보호 사고의 진짜 원인은 무엇인가? 최근 발생한 다양한 정보보호 침해 사고를 살펴보면, 원인은 단순한 기술적 미비가 아니라 위험을 인식하지 못하거나 대응 체계를 갖추지 못한 데에서 비롯된 경우가 대부분이다. 예스24 랜섬웨어 공격, 공공기관의 계정 탈취, 대학의 내부 정보 유출 등도 실제로는 “위험 분석 보고서가 없었다”, “접근 권한 관리 기준이 없었다”, “보안 정책을 이사회에 보고한 적이 없었다”는 지적이 많았다. 이러한 사례들은 공통적으로 정보보호 책임이 특정 부서나 기술자에게만 집중돼 있었고, 경영진은 관련 의사결정을 내릴 정보나 기준이 부족했음을 시사한다. 즉, 기술력보다 더 시급한 문제는 정보보호 거버넌스의 부재다.</p>
          <p contents-hash="c099e4d16b7b21821b7fb08953de4d600c18e43250d8bb24a505d8dbb6defba6" dmcf-pid="XiWCdue7Hp" dmcf-ptype="general">이러한 현실을 반영해 한국방송통신전파진흥원(KCA)은 2025년부터 정보보호위험관리사(ISRM) 자격제도를 운영하고 있다. KCA는 정보보안기사 등 국가기술자격을 운영하고 있는 자격 전문기관으로, ISRM은 단순한 기술 인증이 아니라, 정보보호 거버넌스와 위험관리 능력을 종합적으로 검증하는 민간자격으로 기획됐다. ISRM 자격은 △정보자산 분류, 위협·취약점 분석, 리스크 평가, 대응 전략 수립 등 정보보호 전 과정에 걸친 실무 역량 검증 △최고경영진 대상 보안 리포트 작성 능력, 조직 차원의 위험 통제 전략 수립 등 비기술적 역량까지 포함 △국제적 위험관리 프레임워크(NIST RMF, ISO/IEC 27005 등)를 기반으로 구성 등으로 인해 기존 자격과 차별화된다</p>
          <p contents-hash="c67395d15c63297cdc848b1fb3b1d32aae2b77af2f655659894575d5b5c13b79" dmcf-pid="ZnYhJ7dzt0" dmcf-ptype="general">2025년 1회 정기시험에서는 1000명 가까이 응시해 429명의 합격자를 배출했으며, 기업 실무자, 정보보호 컨설턴트, 공공기관 관리자 등 다양한 직군이 관심을 보이고 있다. 해외에서는 이미 정보보호 위험관리를 별도 역량으로 구분하고, 다음과 같은 자격제도를 통해 전문성을 제도화하고 있다.</p>
          <p contents-hash="64f0e6ad21bb047208c22033ba09b3339e83bf7c84852be93c9bb583a709bebf" dmcf-pid="5LGlizJqG3" dmcf-ptype="general">CISM은 보안분야 유력 국제 협회인 ISACA가 주관하는 정보보호 거버넌스 및 전략 수립 역량에 대한 자격이며, CRISC은 ISACA가 IT 위험 식별 및 평가, 대응계획 역량에 대해 평가하는 자격이다. ISO 27005 리스크 매니저는 또다른 유력 국제협회인 IRCA 등이 주관하는 국제표준 기반 위험관리에 대한 실무자 인증이다. 반면 한국은 정보보호기술사나 보안기사 등 기술 중심의 자격은 존재하지만, 정보보호를 리스크 관점에서 접근하는 제도는 ISRM이 최초다. 이는 기업 내 정보보호관리체계(ISMS), 공공기관의 보안 감사, 중소기업의 자산 보호 등에서 매우 유용하게 활용될 수 있다.</p>
          <p contents-hash="402971efad9718760e08a1ae606accde49a7d0d229998800e3f048d8b459ed76" dmcf-pid="1oHSnqiB5F" dmcf-ptype="general">ISRM 도입은 단순히 민간 자격이 하나 더 생긴 것이 아니라, 정보보호 거버넌스를 재정의하고, 경영-보안간 단절을 해소하는 전환점이 될 수 있다. 효과를 높이기 위해 △ISMS-P 및 공공기관 정보보호 인증 기준에서 ISRM 보유 인력 반영 △공공기관 정보보호책임자(CISO) 및 위험관리자 채용 시 자격 활용 △대학, 훈련기관, 직무전환 과정에서 ISRM 기반 교육과정 운영 등 정책과 연계가 필요하다.</p>
          <p contents-hash="6b50f55fb442d3dab4eb28986a5282c69bd397a899f35fd6fe815cbb103e5209" dmcf-pid="tgXvLBnbZt" dmcf-ptype="general">4월에 개최된 RSA 컨퍼런스의 기조연설에서 조지 커츠 크라우드스트라이크 CEO는 “이사회는 CISO를 멤버로 두어야 한다”고 강력히 주장했다. 그는 '사이버보안은 더 이상 보안팀의 기술적 업무가 아니라, 기업의 전략적 리스크 관리의 일부'라며, CISO는 이제 이사회가 이해할 수 있는 비즈니스 언어로 위험을 전달할 수 있는 리더가 돼야 한다고 역설했다. 즉, 보안은 재무 리스크처럼 최고 의사결정 구조에 직접 보고되고 통제되어야 하는 체계이며, 이를 위해 CISO의 보드(이사회) 진입 역량 강화가 필수적이다.</p>
          <p contents-hash="e1ce891a6721b27ef0c98953dffa032d0479b93d9ea1ccfff0e5ef81ca34cfd1" dmcf-pid="FaZTobLKG1" dmcf-ptype="general">국제결제은행(BIS)의 운영리스크 건전성 원칙(PSMOR)도 사이버 거버넌스의 중요성을 강조한다. 기관은 ICT·사이버보안 정책을 문서화하고, 위험 소유 및 책임 소재를 명확히 하며, 정기적 평가와 위협 모니터링, 사고 대응 및 복구 절차를 갖추고 이를 주기적으로 테스트해야 한다. 이러한 절차는 기술 장벽을 넘어 이사회와 경영진이 직접 운영안전성을 진단하고 결정할 수 있게 하는 거버넌스 장치다.</p>
          <p contents-hash="3e90e510cb0451b929983fee5b4a1d8cbb2b5f0f05aa0328335a8653fd2a0033" dmcf-pid="3N5ygKo955" dmcf-ptype="general">정보보호는 이제 특정 부서의 문제가 아니라, 조직 전반의 위험을 통제하고, 지속가능한 디지털 환경을 구축하기 위한 전략의 일부다. 이를 위한 실무형 자격, ISRM의 보급과 확산은 곧 대한민국 정보보호의 '2단계'를 여는 관문이 될 것이다.</p>
          <p contents-hash="5c5ce41027719481c074c0c119a9af93c22ec350d843a106158a4f39c9b4d215" dmcf-pid="0j1Wa9g2XZ" dmcf-ptype="general">김태성 충북대 경영정보학과 및 융합보안학과 교수, 보안경제연구소장</p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © 전자신문. 무단전재 및 재배포 금지.</p>

이전

[과학기술이 미래다] 〈167〉1992년 대덕연구단지 준공…韓 과기 메카로

07-15
다음

"스테이블코인 위해 카카오 CIC에서 분사…발행 집중할 것"

07-15

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

[전문가 기고] 정보보호 핵심은 '기술'이 아닌 '거버넌스'

멤버랭킹

관련자료

멤버랭킹