2024.05.03 (금)
이지혜 팀장 jh_lee@ciociso.com
금융권을 비롯한 국내 모든 산업군에서의 정보보호 프로젝트가 활발히 구축 수행되고 있다.
하지만 일각에서는 정보보호 프로젝트를 일반 IT프로젝트의 일환으로 여기는 경우가 허다한 가운데 정보보호 프로젝트 관리 부실에 대한 우려하는 시선을 보이고 있다.
IT프로젝트는 분석 설계 완료 후 바로 비즈니스에 바로 투입돼 운영되지만, 정보보호 프로젝트의 경우 완료 시점부터의 관리 및 안정화 중요성이 더욱 크기 때문이다.
또한 보안 취약점 대응을 위한 정보보호 프로젝트를 완료해도 새로운 보안 취약점이 지속적으로 발견될 수 있으며, 아웃소싱 또는 IT 자회사의 전문 인력들이 빠져나가며 정보보호를 전문화되고 계속적으로 유지할 역량이 사그라들 수 있다는 의견들도 지적되고 있다.
정보화프로젝트와 IT프로젝트는 프로젝트 조직 구성, 운영방법 및 이해당사자와 조직 간 소통방법에서부터 다르게 운영돼야 한다는 것이 업계 내 전문가들의 의견이다.
일반 IT프로젝트는 전사에서 사용되는 시스템과 연관돼 프로젝트 초기부터 관련부서들의 TFT를 구성하고 참여를 유도해 적극적인 의사개진이 이루어지지만 정보보호 프로젝트는 IT부서, 인사, 총무 등 일부부서에 국한돼 있고 참여보다는 정보공유 수준에 그치지 않아 전사적 보안통제를 적용하려는 시점에서부터 어려움을 겪게 될 수 있기 때문이다.
이에 정보보호 프로젝트 추진 시 프로젝트 초기부터 관련부서 TFT를 구성해 적극적인 참여가 이뤄질 수 있도록 함과 동시에 사전에 전사 보안 통제 적용으로 인한 효과를 충분히 검토해 적용 시 현업부서의 협조를 얻게 하는 것이 중요하다는 의견이다.
정보보호 프로젝트 진행 시 가장 주안점을 둬야할 사항으로는 사용자 등 현업 조직에 최소한의 효율성 저하와 불편함을 최소화 시키는 것이다. 이를 위해서는 각 조직 간 소통을 기반으로 한 공감대 형성이 핵심이다.
특히 정보보호 프로젝트는 정보보호 정책과 통제 및 보안관리 취지 등이 현업에 최대한 설명돼야 하며 이러한 움직임이 향후 업무에서 일어날 수 있는 부작용을 최소화 시킬 수 있다.
정보보호 프로젝트로 인한 사용자 불편함은 당연히 발생하지만 가능하면 사용자 입장에서 정책적용 이후의 불편함을 가능한 범위 내에서 최소화하는 방안에 중점을 둬야 한다는 것이다.
한편 정보보호 프로젝트는 완료 후부터의 관리가 더 중요하다. 이는 프로젝트 완료 후 새로운 보안위협의 증가, 신규자산의 증가 및 새로운 취약점 증가라는 범위추가적인 이슈가 발생하기 때문이며 기업에서는 이를 해결하려는 방안을 고려하는데 집중해야 한다.
이를 위해서는 정보보호 프로젝트도 이행 및 적용을 위한 별도의 프로젝트를 수행하거나 프로젝트 추진단계부터 이행하는 방안을 고려해 볼 수 있다.
또한 무분별한 정보보호 프로젝트의 개발보다는 기존 구축했던 정보보호 프로젝트들의 취약점이 어디이고 홀은 어디인지 살펴보는 단계도 필요하다는 의견도 일고 있다.
이를 위해서는 직원들이 도입한 정보보호 프로젝트에 대해 모의훈련 등을 통해 효율성을 높이는 한편 정기적인 모니터링이 필요하다 의견이 강하게 일고 있다.