반응형

" 보안은 비지니스다"  " 보안은 경영과 함께 한다"  "보안이 안된 기업은 하루 아침에 퇴출될 수있다"

이러한 보안에 대한 중요성을 일일이 열거 하지 않더라도 아직도 대한민국 정보보호의 수준은 미흡하기만 합니다. 그것은 빠른 성장과 기술의 발전으로 미쳐 사람의 인식이 변화 되지 않고 있기 때문입니다. 관련 분야에서는 보안이 중요하다고 외치고는 있지만 정작 경험해 보지 않고서는 인식의 변화는 쉽게 바꾸어지지 않습니다.

그 중심에는 조직의 최고 의사결정자인 CEO의 정보보호에 대한 마인드에 있습니다. 중요한 것은 알지만 그러나 쉽게 투자 하지 않는...늘 우선순위에서 밀려버리는 .....그리고 담당 업무 실무자도 정보보호에 대한 성과를 수치로 나타내지 못해 자신의 업무를 잘 하고  있음에도 성과가 드러나지 않는..

어쩌다 한번 정보 유출 사고가 난다면 실무담당자 처벌은 점점 강화되고 강력해지지만 보안을 담당하는 담당자들의 처후나 복지는 아직도 열악하기만 합니다. 새로 제정이 되려는 개인정보보호법에는 양벌규정도 있습니다. 담당자와 CEO가 함께 처벌 되는것이지요. 그러니 이제는 신경 좀 쓰셔야 합니다.

대한민국 CEO 여러분 ~~

감히 보안에 투자 하라고 말씀 드리겠습니다. 주제 넘지만  사업의 성장에만 주력을 하다보면 결국 내부에 집안 단속을 잘 못해 하루 아침에 사업에 커다란 위협이 될 수있습니다. 이러한 사항은 아마도 조직 내부에서 일어나는 것을 본다면 많은 공감을 하리라 생각합니다.
 
최고 의사결정 하시는 분이 정보보호에 대한 마인드를 조금이라도 더 가지고 대내외적인 부분을 신경을 쓴다면,  그것은 더 나은 조직에 발전을 가져 올 것입니다. 또한 그 기업에 대한 고객의 신뢰도도 더 높아질 것입니다.

그러한 대안중에 하나가 조직 경영과 밀접하게 접목 할수 있는 정보보호관리체계를 수립해 보시길 권해 드립니다. 정보보호수준제고를 하더라도 주먹구구식에서 빠져 나와 이제는 조직의 보안정책 수립과 자산의 식별, 그리고 위험도 산정을 통하여 자산의 중요성이 높은 것부터 위협으로부터 보호하는 위험관리가 되어야 하는 것입니다.


제가 알고 있는 지인분들 중에서 올해 ISMS 인증심사를 준비중인 분들이 몇분 계시는 듯합니다. 물론 정보의 중요성도 알고 보호적인 측면도 알지만 무엇보다 의사결정자의 마음을 열게 하는 것은 비용이 아닐까 생각합니다.  그 비용에 대한 부분이 문턱이 많이 낮아진게 아닌가 하는 생각을 합니다.  한국인터넷진흥원 홈페이지에서 한번 찾아 보았습니다.



                                                   <출처:  한국인터넷진흥원 홈페이지 >


위 사항을 보면 조직의 규모나 심사범위에 따라 다르겠지만 평균 700만원 정도 소요된다고 게시하고 있습니다. 이는 1회성이 아닌 3년동안 갱신 되는 사후관리 심사까지 포함한 금액이라는 것입니다..

또한 할인혜택이 많이 주어지고 있는데요...눈에 띄는 것이  위 빨간 네모안에 내용입니다. 상시 근로자수 50명 미만 또는 매출액 50억 미만으로 인정된사업자는 50% 할인 해 준다네요..

자...그러면 조금 욕심이 생기지 않나요?  평균 700만원에 50% 할인이면 350만원 정도 될것입니다. 해당기관에서 상당히 문턱을 낮춘 금액이라 생각이 듭니다. 정보보호관리체계를 수립하고 인증을 받는데 이 정도 금액이면 그리 비싼 금액은 아니라는 생각이 듭니다. 충분히 보안에 투자할 가치가 있다고 생각이 드네요.

하지만 가장 큰 문제는 해당 조직에서  ISMS 인증심사를 준비를 하기 위한 인력이나 스스로 준비를 할 수있는가에 대한문제입니다. 그러다 보니 컨설팅 업체에 도움을 받게 되는데 이 금액이 아마도 더 들어가지 않은가 싶네요..

앞으로 정보보호관리체계(ISMS ) 업무를 담당 할 수 있는 인력을 적극 배출해 내는 것이 주요 관건이라 하겠습니다. 물론 관련 업계는 이러한 컨설팅을 통하여 수익을 창출 하겠지만 근본적인 목적은 최초에는 컨설팅 도움을 받겠지만 그 이후에는 스스로 유지 관리 할 수있는 능력을 길러야 한다는 것입니다. 실무 담당자분들도 ISMS에 대해 연구할 수 있는 기회마련도 되어야 합니다. 이젠 체계적인 정보보호관리가 필요하다는 것입니다.

여러분 기업의 고객에게 신뢰를 주고 싶습니까?
그럼 정보보호관리체계 수립을 한번 계획해 보시기 바랍니다. 350만원이라는 금액이 많으면 많을수 있고, 어쩌다 영업을 위한 골프접대, 술접대보다는 고객에게 기업의 신뢰를 줄 수 있는 정보보호관리체계(ISMS)와 개인정보보호 관리체계(PIMS)에 투자하는 것이 더 효율적이지 않을까요? 뭐..제가 해당소속 기관에 있는 사람도 아니고 광고 하는것도 아니지만 단지 보안인식제고를 함께 하자는데 지금까지는 일반인상대, 보안실무자 상대였지만 오늘은 CEO분들을 상대로 글로써 표현하기에 이렇게 목소리 높여 외치게 되네요

대한민국 CEO 여러분 ~~

이젠 조직의 자산에 대한 보호와 고객의 정보인 개인정보를 보호하는데 투자를 아끼지 말아야 합니다. 곧 2월에 있으면 개인정보보호법 통과를 앞두고 관련 업계 및 관련 기관에서 상당히 준비를 많이 하고 있습니다. 실제 시행을 하기까지는 다소 시간이 걸리겠지만 미리 준비해 두시는게 좋겠습니다.

그 의지는 정보보호담당자가 아닌 바로 조직의 의사결정자인 CEO분들에게 있다는 사실을 기억하셔야 합니다. 아무리 실무담당자가 건의를 하고, 애로사항을 호소하여도 그대로 무시해 버린다면 양치기 소년이 될 것입니다. 그땐 진짜 해킹과 위협이 왔을땐 속수 무책이 될 것은 당연한 것입니다.

비록, 저는 네이버에서 보안 커뮤니티 보안인닷컴(http://www.boanin.com) 을 통하여 일반인들과 보안관련 그리고 비보안하시는 분들에게 보안인식제고를 외치고 있지만, 오늘은 감히 대한민국 ceo분들에게 당부에 말씀을 제 블로그을 통하여 한번 포스팅 해 보았습니다. 너무 주제 넘은게 아닌가 하는 생각도 해 보지만, CEO분들이니 너그러이 용서해 줄것으로 생각하며 포스팅을 마감해 봅니다. 이거 너무 오지랖이 넓은건지 보안에 대한 열정이 있는건지 이젠 저도 잘 모르겠네요..ㅎㅎ 
 @ 보안강국이 되는 그날까지 ~~

,