정보화 산업이 발전함에 따라 그 반대급부로 크고 작은 정보보안사고가 지속적으로 발생하고 있다. 특히 2014년에는 기관/기업에서 주요 기밀정보 및 대량의 고객정보 유출사고 등이 발생함에 따라, 정보보안과 관련된 수요가 큰 폭으로 증가할 것으로 예상됐지만 관련사업 진행은 아직 미진한 상황이다.
정보보안 산업이 사고 발생시에는 전국민적인 주목을 받으면서도 지속적으로 성장하지 못하고 있는 이유는 무엇일까? 찾아본다면 여러 이유가 있겠지만 가장 큰 이유는 아직 많은 기업들이 기업의 성장에 큰 영향을 미치지 않는 추가적인 비용 또는 계륵으로 정보보안 사업을 바라보고 있기 때문일 것이다.
하지만 다행스럽게도 몇몇 기업은 기업의 지속 가능한 성장을 이해관계자들에게 공개하는 ‘지속가능경영보고서’에 정보보안과 관련된 내용을 연계시키며, 기업의 핵심 전략으로 인식하고 있다.
‘지속가능경영보고서에 활용되는 ‘지속가능 경영지표’와 정보보안관리체계의 연관성을 분석함으로써 기업 경영측면에서 정보보안의 중요성에 대해 얘기해보고자 한다. 분석에 활용한 ‘지속가능 경영지표’는 기업의 사회적 책임에 대한 글로벌 표준인 다우존스 지속가능경영지수의 내용을 포함하고 있다.
전체적인 범주에서 지속 가능한 성장을 위한 경영지표와 정보보안의 연관성은 다음 표와 같이 정리할 수 있다. 이 중 일반지표, 사회지표, 경제지표에 대해 세부적으로 논의해 보도록 하겠다.
| 지속가능 경영지표 |
| 정보보안 | ||
| 범주 | 관련사항 |
| ||
| 일반지표 | 이해 관계자 참여, 거버넌스 등 | ↔ | 정보보안 조직구성 | |
| 경제지표 | 경제 | 경제 성과, 시장 지위, 조달 관행 등 | ↔ | 기업 기밀정보 보안 |
| 환경지표 | 환경 | 원재료, 에너지, 환경평가 등 | ↔ | - |
| 사회지표 | 노동 관행 및 일자리 | 고용, 노사관계, 교육 및 훈련 등 | ↔ | 기업 내부보안과 Privacy 간의 가치충돌 |
| 인권 | 투자, 차별금지, 보안 관행 등 | ↔ | 기업 가치사슬 전반에 대한 보안 | |
| 사회 | 지역 사회, 공공정책, 고충처리 등 | |||
| 제품 책임 | 고객개인정보보호, 고객 안전 등 | ↔ | 고객 정보보호 | |
■일반지표에 대한 연관성 분석
일반지표 중 ‘지속 가능한 성장을 위한 조직의 전략, 핵심 리스크 관리’와 관련된 내용을 다루고 있는 지표는 2가지이다. ▲지속 가능한 성장을 위한 전략을 포함하는 지표 G4-1은 정보보호를 위한 중장기 전략 수립과 ▲핵심 영향, 위험과 기회를 포함하는 지표G4-2는 정보보호 현황분석 및 리스크 식별과 긴밀하게 연관되어 있다.
실제로 글로벌 시가총액 상위 2,500대 기업을 포함하는 주요 기업 중 일부는 ‘고객 중심 경영 및 정보보호를 통한 고객 가치 창출’을 중요 이슈로 반영하고, ‘고객 정보 보호’를 상위 이슈 7개 중 하나로 꼽는 등 정보보호를 지속가능 경영을 위한 핵심 리스크로 관리하고 있음을 확인할 수 있었다.
일반지표 중 ‘윤리경영’과 관련된 내용을 다루고 있는 지표는 조직 내외부의 윤리 및 준법, 청렴도와 고발 제도 내용을 포함하는 G4-58이며, 이는 내외부자에 의한 정보보안관리체계 위반 신고제도 운영 및 ‘정보보호관리체계 인증제도(Information security management system, 이하 ISMS)’ 중 ‘12.1 침해사고 절차 및 체계’와 밀접히 연관되어 있다. 실제로, 주요 기업 중 일부는 ‘비밀정보 보호와 정보 보안’ 및 ‘회사 자산과 사업 기회 보호’를 윤리강령에 포함하여 사규화하고 있음을 확인할 수 있었다.
■사회지표에 대한 연관성 분석
한 해 동안의 근로자 1인 평균 교육시간을 평가하는 훈련 및 교육 지표(G4-LA9)의 경우, 정보보안 교육이 필수적으로 포함되어 있으며, 주요 기업 중 대부분이 정보보호 기본, 보안 변화 관리, 개인정보 취급자 교육 등 정보보호와 관련된 교육을 수행하고 있었다.
컴플라이언스(법규와 규제)와 관련된 내용을 다루는 4개 지표(G4-SO8 등)들은 법률 위반으로 인한 벌금 또는 비금전적 제재건수 공개 및 고객정보 유출사고 대응 방안과 연관되어 있었으며, 주요 기업들은 아래와 같이 법률의 위법사항 및 고객 정보 유출사실에 대해서 공개하고 있다.
■경제지표에 대한 연관성 분석
경제지표 중 정보보안관리체계와 관련된 지표는 기반시설 투자와 지원서비스의 개발 및 영향 분석 내용을 포함하는 G4-EC7로 년간 정보보호 시행계획의 일부분인 정보보호 예산책정 및 영향 식별 항목과 밀접하게 연관되어 있다. 특히 기업이 경제활동을 하는 전반적 과정에서 생산되는 모든 산업기밀은 유출 방지를 위해 정보보안관리체계 측면에서 면밀하게 관리돼야 하는 사항이다.
지금까지 ‘지속가능 경영보고서’의 경영지표와 정보보안관리체계의 연관성을 분석해 보았다. ‘변화는 삶의 규칙이다. 과거나 현재만 바라보는 사람은 미래를 놓친다’ 라는 말이 있다. 변화와 혁신을 수용할 때 비로소 새로운 기회를 얻을 수 있음을 강조하는 이 명언은 오늘날 정보보안의 중요성을 증명하기에 더할 나위 없이 적합한 말이라 할 수 있을 것이다.
나날이 정교화되는 보안 위협에 따라 정보보안 관리가 기업의 생존과 지속적 성장에 큰 영향을 미칠 것으로 예측되는 만큼, 오늘날 기업과 조직들은 전사적인 경영 측면에서 정보보안 관리의 중요성을 인지하고 적극적인 투자를 통해 선제적인 방어 체계를 하루 빨리 구축해야 할 것이다.