“정보보안 이점, 비즈니스 용어로 재해석해야”
상태바
“정보보안 이점, 비즈니스 용어로 재해석해야”
  • 데이터넷
  • 승인 2019.10.11 10:32
  • 댓글 0
이 기사를 공유합니다

정보보안 비즈니스 가치 모델 개발 필요 … 솔직한 피드백으로 보안 신뢰 높여야
▲ 톰 숄츠(Tom Scholtz) 가트너 최고 VP 애널리스트

[데이터넷] 기업 경영진은 사이버 보안 위험에 대해 높은 수준으로 인지하고 있지만 보안 및 위기 관리 리더들은 보안 프로그램에 투자할 확실한 비즈니스 사례를 만드는 데 어려움을 겪고 있다.

이에 정보보안의 이점은 비즈니스 용어로 재해석이 필요하다. 정보보안의 비즈니스 가치를 명확히 설명하는 데 사용할 수 있는 4I(Integrity, Investment, Insurance and Assurance, Indemnity) 모델 소개를 통해 보안 및 위기 관리 리더들이 보안 프로그램과 전략을 원활히 관리할 수 있는 방안을 살핀다. <편집자>

일반적으로 기밀성, 무결성, 가용성으로 대표되는 정보보안의 편익은 보안 및 위기 전문가들의 시각에서는 분명하게 드러난다. 그러나 이를 명확하게 표현하는 언어는 경영진들의 입장에서 제대로 이해하기 어려운 경우가 많다.

보안 전문가들에게 있어 보안 업무가 비즈니스 가치가 있음을 경영진에게 분명히 전달하는 것은 매우 중요하다. 따라서 정보보안 조직은 정보보안 활동과 계획이 비즈니스에 어떻게 기여하는지 보여주는 방식을 지속적으로 개선해야 한다. 확실한 비즈니스 가치를 보여주지 못하는 이니셔티브는 결코 재정적 지원을 받아낼 수 없다.

보안 리더들은 가치를 확보하고 이를 명확하게 표현하는 메커니즘을 지속적으로 발전시켜 나가야 한다. 프로젝트 단계에서 가장 적합한 접근법은 기대되는 파급효과에 기반해 균형 잡힌 비용과 편익을 분석하고, 위험 축소와 정량화가 가능한 재정적 수익, 기타 예상되는 개선 사항 등 다양한 편익을 명확히 설명하는 것이다.

그러나 이러한 접근법은 보다 전략적인 단계, 즉 이사회로부터 정보보안 프로그램에 대한 전략적 지원과 투자를 얻어내고자 하는 단계에서 효과적으로 사용하기에는 너무 세세한 성격이 짙다. 이 단계에서 보안 조직에게 요구되는 것은 정보보안의 전략적 이익을 비즈니스 가치로 표현하는 접근법이다.

정보보안 비즈니스 가치 모델 개발

보안 리더들은 정보보안의 편익을 비즈니스 가치의 메시지로 명확하게 설명할 수 있는 모델을 개발해야 한다. 가트너의 ‘4I(Integrity, Investment, Insurance and Assurance, Indemnity)’ 모델은 전략적 정보보안 활동에 투자하는 비즈니스 가치를 확보, 요약하고 이를 간단명료한 형태로 전달할 수 있는 다음과 같은 4가지 요소를 제시한다.

· 무결성(Integrity): 일상적인 비즈니스 운영에 있어 신뢰성과 가용성의 영향력을 강조한다. 비즈니스 정보 및 과정에 대한 기밀성과 가용성, 정확성이 지속적으로 개선되는 양상으로 편익이 나타난다.
· 투자(Investment): 기대 수익을 확보한다. 가치는 일반적으로 기대되는 재정 수익, 브랜드 제고, 경쟁사와의 차별성, 민첩한 미래 대처 능력, 조직 차원의 적응성 등으로 표현될 수 있다.
· 보험과 보증(Insurance and Assurance): 위험 관리의 편익을 나타낸다. 조직이 직면하고 있는 정보 위험 요소들에 대한 인사이트가 증대되면서 나타나고, 보다 효과적이고 적절한 위험 식별, 평가 및 관리 활동으로 이어진다. 위기 관리 옵션에는 평가된 위험 요소의 허용, 회피, 이전, 완화 혹은 무시 등이 포함된다.
· 보상(Indemnity): 규제와 이해 관계자 노출을 제한하면서 얻을 수 있는 준수 편익을 강조한다. 이는 인식 제고, 책임 증대, 이해 관계자 지원 강화, 법률 및 규제 준수 개선을 통해 나타난다.

겉보기에는 이러한 가치 요소들이 전통적인 정보보안의 3가지 편익이 전달하는 메시지와 크게 다를 바 없어 보이지만 이들은 비즈니스가 당면한 과제들과 관련되는 방식으로 보안 부문에 투자했을 때 발생하는 긍정적인 결과를 대략적으로 보여준다. 비즈니스 가치를 표현하는 정확한 단어를 개발하려는 경우, 한 명 이상의 비즈니스 관리자들에게 용어를 검토 받고 추가적인 제안을 받아 조직의 비즈니스와 연관성을 더 높이도록 해야 한다.

4I 모델의 4가지 요소가 설명하는 비즈니스 가치는 신뢰성의 표현으로 요약될 수 있다. 나아가 조직 차원에서 신뢰성을 위한 구체적인 목표를 설정해야 한다.

대부분의 조직은 이러한 목표를 갖고 있지만 이 목표가 분명하게 설명돼 있지는 않다. 종합적으로 볼 때, 보안 프로그램을 통해 얻는 결과는 고객, 협력사, 직원, 기타 이해 관계자들 사이에서 조직에 대한 신뢰를 강화하는데 크게 기여할 것이다.

▲ 가트너 4I 모델

비즈니스 가치와 연계
4I 모델이 제시하는 유효하지만 포괄적인 편익들은 기업이 갖고 있는 독특한 상황과 직접적으로 연관돼야 한다. 그 시작은 조직 내에 나타나는 기존 비즈니스 동인을 포착하는 것이다. 이러한 동인들은 실제 비즈니스 전략 및 연계 이니셔티브와 관련이 있어야 한다.

보안 가치와 관련된 주요 메시지들은 조직의 비즈니스 전략과 관련돼야 한다. 대부분의 영리단체들은 다음 사항 중 1~2개 사항에 기반한 기본 전략을 두고 있다.

· 서비스 리더십(경쟁사보다 긴밀한 고객 관계 형성)
· 품질 리더십(경쟁사보다 좋은 품질)
· 가격 리더십(경쟁사보다 저렴한 가격)

기본 비즈니스 전략 이론에 따르면 영리 단체는 위의 세 가지 사항 중 하나에서는 무조건 두각을 나타내고, 또 다른 하나는 평균을 웃돌 수 있다. 세 영역을 모두 선도하는 것은 불가능하며, 그러한 시도는 실패로 끝날 공산이 크다.

정보보안 전략과 기저에 깔린 비즈니스 가치에 대한 기대는 비즈니스 전략을 뒷받침해야 한다. 이는 여러 전략 사이의 직접적이고 일대일로 상응하는 관련성을 의미하지는 않는다. 즉, 가격 리더십이라는 비즈니스 전략을 지원하는 것이 사실상 품질에 기반한 IT 및 정보보안 전략을 필요로 할 수도 있다는 뜻이다. 이런 경우, 현대적이고 탄탄하며 안전한 IT 환경을 통해 가격 경쟁력을 갖출 수 있다.

간단한 기법은 비즈니스 전략 지원 차원에서 시행되고 있는 특정 비즈니스 이니셔티브를 확인하고, 이러한 이니셔티브와 보안 메시지를 연결하는 것을 수반한다. 여기서 비즈니스 이니셔티브는 신제품 혹은 신규 서비스 개발, 신규 납품 모델, 비용 절감 프로젝트, 인수합병 활동 등을 예로 들 수 있다.

어떤 비즈니스 이니셔티브의 이면에 깔린 동기를 분석하고 그 이니셔티브가 전반적인 비즈니스 전략에 어떻게 기여할 것인지를 이해하면 정보보안과 관련성 높은 비즈니스 동인을 쉽게 파악할 수 있다. 예를 들어 시장 점유율을 높이기 위해 공격적인 전략에 착수하고자 한다면 이는 제품에 대한 기밀성, 마케팅 기획, 인수 계획, 지리적 확장 계획 등을 포함하고 있을 것이다.

비즈니스 이니셔티브에 적합한 소스로는 전략적 비즈니스 계획, 경영진 간 소통, 연간 보고서, 특정 경영진과의 인터뷰 등이 있다. 일반적으로 비즈니스 이니셔티브에 기반한 동인으로는 다음과 같은 것들이 있다.

· 제품 브랜드 및 자원 보호: 제품 브랜드는 자체적인 가치를 지니고 있으며, 지적 재산권과 지식 등 각 브랜드와 관련된 자원에 대한 경쟁적이고 악의적인 피해에 노출된다.
· 기업 브랜드 및 관련 가치 보호와 강화: 여기에는 보안 사고로 인한 비즈니스 가치와 기업 이미지에 대한 부정적 영향을 미연에 방지하는 것이 포함된다. 또한 선제적인 조치를 통한 브랜드 제고도 포함되는데, 예를 들어 신뢰성, 모범 시민, 거버넌스 등의 이미지를 구축하는 것이다.
· 시장 점유율 전략 지원: 판매 또는 상품 전략 정보의 유출은 치명적일 수 있다. 예컨대, 제품 출시 계획 등이 노출된다면 적시성과 경쟁력에 심각한 타격을 입을 수 있다.
· 비즈니스 프로세스 가용성: 고객 대응 프로세스의 중요성은 두말할 나위 없지만 이와 함께 재정 시스템, 공급자 인터페이스 등 백엔드 프로세스에 미칠 영향도 고려해야 한다.
· 신속성 및 적응성: 사업 및 기술 환경 변화에 보다 빠르게 대응해야 하며, 신제품과 새로운 채널을 개발할 수 있는 기술을 안정적으로 활용할 수 있는 능력을 갖춰야 한다.
· 지속적인 보안 부문 투자와 활동에 대한 비용 및 편익을 파악하는 통찰력 강화
· 국내외 정보보안 동향: 보안 투자 동향, 모범 사례 및 접근법, 경영진이 집중하는 분야에 대해 파악하고, 사업 차별화를 위해 정보 보안을 활용한다.
· 과거 교훈: 조직에 영향을 미쳤던 보안 사고들을 참고한다. 예를 들면 최근 바이러스/웜 공격 동향, 웹사이트 해킹, 내부 보안 실패 사례 등이다.
· 규제 환경 변화: 법률 또는 규제 상의 변화가 보안 차원에서 갖는 함의에 대해 대응한다. 예를 들면 기업 경영 구조, 개인 정보, 감사, 공개/투명성 법률 규정 또는 규제, 부문별 법률 규정, 전자서명/전자상거래/전자사업 규제 등이 있다.
· 사업 환경 변화: 지정학적 위험과 같은 사업 환경 변화가 보안 차원에서 갖는 함의에 대해 대응한다.

▲ 정보보안 비즈니스 가치 테이블

기대되는 비즈니스 가치 전달
가트너의 4I 모델 그 자체가 경영진과의 성공적인 의사소통을 이끄는 만병통치약이 될 수는 없다. 가트너 4I 모델이 제시하는 비즈니스 가치는 전달 대상인 경영진들이 받아들일 수 있고 이해할 수 있는 형태로 전달돼야 한다. 경영진을 대상으로 한 프레젠테이션, 전략 보고서, 경영진 대상의 제안서 혹은 다른 적절한 메커니즘을 통해 전달될 수 있다.

여기에는 예상 비용 및 소요 재원의 요구사항에 대한 요약과 모든 활동들을 통틀어 예상되는 추진 기간이 고차원적인 지표로 제시돼야 한다. 기본적인 소통 및 마케팅 이론들을 활용해 해당 메시지는 듣는 사람의 특성과 기업 문화에 맞게 적절히 조절돼 전달돼야 한다.

좋은 전략은 최적의 메시지 전달 형식을 결정하기 전에 대상 경영진이 선호하는 소통 수단이 무엇인지 조사하는 것이다. 예를 들어 어떤 경영진은 정식 프레젠테이션을 선호하는 반면 어떤 경영진은 보고서와 대면 회의를 선호할 수도 있다.

메시지를 구성할 때에는 1명 이상의 비즈니스 관리자가 보고서 초안에 대한 검토를 하도록 하고, 이들의 피드백을 활용해 설득하고자 하는 대상에게 적합한 언어로 보고서를 수정하는 과정을 거치는 것이 좋다. 효과적인 의사소통을 막는 주요 요인에는 다음과 같은 사항들이 있다.

· 정보 자원 위험 관리에 있어 각 사업 경영진의 책임 소재가 없는 경우가 있다. 일차적으로는 경영 구조의 문제지만 성공적인 의사소통을 이끌어 낼 확률을 높이기 위해서는 위험의 소유권에 대한 현 상황을 이해하는 것이 중요하다.
· 기업 차원에서 공식적인 신뢰도 목표치가 없는 경우가 있다. 예를 들어, XYZ라는 기업은 신뢰받기 위해 정보보안 프로그램의 전체 성숙도를 최고 수준으로 끌어올리고 이를 유지하기 위해 노력할 것이다. 만약 이 기업이 자체적인 신뢰도 목표치를 적절히 설정하지 않았다면, 비즈니스 가치를 전달하려는 모든 시도는 미미해졌을 것이다. 때로 가장 좋은 출발점은 경영진에게 위험 관리 및 신뢰도 목표치를 공개적으로 정하도록 요청하는 것이다.

경영진에 명확한 피드백 제공
기업 내 대부분의 사람들이 보안팀의 존재에 대해 모르고 있다면 보안팀은 업무를 잘 수행하고 있는 것이다. 딱 한 가지 눈에 띄는 부분은 정보보안 예산일 것이다. 이 때 경영진들은 “보안 관련 문제가 없다면 우리가 왜 보안 부문에 이렇게 많은 예산을 써야 하나”라는 질문을 던지게 된다.

경영진 수준에서 가지는 보안 관리에 대한 신뢰도는 경영진의 지지를 이끌어내고 유지하는 데 큰 도움이 된다. 신뢰성 유지의 핵심은 보안 활동과 성과에 대한 지속적이고 솔직한 피드백을 제공하는 것으로, 구체적으로는 기대 편익과 실제 결과를 비교하는 것이다. 이러한 작업은 보안 및 위험 관리 활동과 관련해 ▲프로젝트(프로젝트 결과) ▲프로그램(현황 및 진행상황 보고) ▲운영(활동 및 현황 지표) ▲전략(보안과 위험 평가점수 카드) 등 다양한 차원에서 시행돼야 한다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.