1. 임직원 증가에 따른 보안 거버넌스 수립의 필요성
배경: 기업 규모 확대에 따라 내부자에 의한 정보 유출 위험과 관리 포인트가 급증하며, 이를 통제할 전담 부서 및 체계적인 정책 수립이 필수적임.
목적: 정보자산의 기밀성, 무결성, 가용성(C.I.A)을 보장하고 보안 사고 시 대응 및 복구 능력을 확보하여 비즈니스 연속성(BCP)을 유지함.
2. 가. 정보보호정책(Information Security Policy)의 개념
정의: 조직의 정보자산을 보호하기 위해 경영진의 의지를 반영하여 수립한 최고 수준의 지침이자 보안 관리의 근간이 되는 문서.
계층적 구조: 효율적 운영을 위해 정책, 표준, 절차, 지침의 4단계 구조를 가짐.
| 구분 | 주요 내용 | 성격 |
| 정책 (Policy) | 상위 수준의 보안 목표 및 방향성 제시 | 강제적, 포괄적 |
| 표준 (Standard) | 정책 준수를 위한 하드웨어/소프트웨어 공통 규격 | 강제적, 기술적 |
| 절차 (Procedure) | 업무 수행 시 따라야 하는 단계별 실행 방법 | 강제적, 운영적 |
| 지침 (Guideline) | 업무 효율을 돕기 위한 권고 사항 및 사례 | 선택적, 참고용 |
3. 나. 정보보호 시점별 보안 활동 (Security Action Cycle)
보안 사고의 발생 시점을 기준으로 예방, 탐지, 대응, 복구의 선순환 구조를 가집니다.
| 활동 단계 | 핵심 보안 활동 내용 | 주요 기술 및 도구 |
| 1. 예방 (Prevention) | 사고 발생 전 침입을 원천 차단하는 활동 | 방화벽(FW), 암호화, 보안 교육, 접근 제어 |
| 2. 탐지 (Detection) | 이상 징후 및 침입 시도를 실시간 식별 | IDS, SIEM, 로그 분석, 취약점 점검 |
| 3. 대응 (Response) | 사고 발생 시 즉각적인 피해 확산 방지 | IPS, 악성코드 격리, 침해사고 대응팀(CERT) |
| 4. 복구 (Recovery) | 손상된 시스템을 정상 상태로 원상 복구 | 백업/복구, DRP, 포렌식, 재발 방지 대책 |
4. 다. 정보보안 전문가의 역할과 역량
보안 부서 신설 시 필요한 전문 인력은 기술적 전문성뿐만 아니라 관리적 식견을 고루 갖추어야 합니다.
1) 주요 역할 (Roles)
보안 아키텍처 설계: 조직 인프라에 최적화된 보안 솔루션 및 네트워크 구성 설계.
취약점 분석 및 조치: 시스템/네트워크의 약점을 사전에 파악하여 보완 대책 수립.
컴플라이언스 준수: 개인정보보호법, ISMS-P 등 관련 법규 및 인증 기준 대응.
보안 관제 및 사고 대응: 실시간 위협 모니터링 및 침해 사고 발생 시 기술적 지원.
2) 필수 역량 (Competencies)
기술 역량: OS/네트워크 지식, 암호학, 클라우드 보안, 화이트 해킹(모의해킹) 기술.
관리 역량: 위험 관리(Risk Management) 능력, 보안 감사 스킬, 정책 수립 및 거버넌스 이해.
소프트 스킬: 유관 부서와의 소통 및 협상 능력, 보안 윤리 의식, 문제 해결을 위한 논리적 사고.
5. 기술사적 제언: '사람' 중심의 보안 문화 정착
Security by Design: 시스템 구축 초기 단계부터 보안 전문가가 참여하여 보안 요건을 내재화하는 프로세스 정립 필요.
지속적 교육 및 훈련: 임직원 증가에 따른 보안 인식 저하를 방지하기 위해 정기적인 피싱 메일 대응 훈련 등 체감형 교육 실시.
결언: 보안은 기술적 솔루션만으로 완성되지 않음. 기술사는 보안 전문가로서 경영진의 지원을 이끌어내고 전 임직원이 보안 주체가 되는 **'보안 내재화 문화'**를 조성해야 함.
