[기고] 정보보호 거버넌스와 BMIS

인적자원, 자산, 프로세스, 기술 등 유기적 관계

밀고 당기는 힘, 장력 - 張力, tension

밀고 당기는 얘기가 나오니 남녀 사이의 연애의 기술 얘기가 아닌가 할 수 도 있을 것이다. 일상다반사에도 밀고 당기는 힘이 있듯이 정보보호 거버넌스의 프레임워크인 BMIS(Business Model for Information Security)를 설명하기 위해서는 장력의 얘기를 빼 놓을 수 없다.

어떤 물체에 줄을 연결해서 잡아당기면 팽팽해질수록 그 물체를 잡아당긴다. 팽팽히 당겨진 긴장상태에서 밀고 당기기를 하고 있는 것이 장력이다.

지난 시간 BMIS는 시스템적 사고방식으로 구성되어 있다고 했다. 이러한 시스템적 사고방식 안에는 4가지의 요소(elements)와 6가지의 동적접속자(dynamic interconnections)가 밀고 당기도 있다.

서로 떨어져 나가면 절대로 그 형태를 유지할 수 없는 3차원의 피라미드 형태를 갖고 있기 때문에 밀고 당기는 힘을 유지한다. 미는 힘이 셀수록 당기는 힘도 세어진다. 밀고 당겨질 때 그 힘의 세기를 잘 조절하여야 한다. 그렇지 않으면 망가져 버리게 된다.

정보보호 거버넌스를 이루기 위한 4요소와 6개의 접속자가

외부 환경의 강약에 따라 밀어내어지면 그만큼 당겨져야 하고

그 힘의 균형을 잘 유지해야 한다.

역할을 하고 그에 따라 적응하는 것이다.

BMIS가 갖고 있는 또 하나의 특성이다.

BMIS의 4요소에 대한 얘기

BMIS의 핵심을 이루는 4개의 동그라미가 4요소이다.

① Organization Design and Strategy(조직 설계와 전략),

② People(인적 자원)

③ Process(프로세스)

④ Technology(기술)이다.

Organization Design and Strategy(조직 설계와 전략)

기업 내의 조직은 여러 가지 구성요소로 되어있다. 인적자원, 자산, 프로세스, 기술 등이 유기적으로 관계를 맺고 있다. 정보보호를 위한 조직의 전략이 기업의 목적을 달성하기 위해 고안 되어야 한다.

전략은 달성되어야 하는 비즈니스의 목표와 목적이다. 전략은 또한 조직이 추구해야 할 가치와 임무이다. 설계는 조직이 전략을 구현하는 구체적인 방법을 말한다. 프로세스, 조직의 문화 아키텍처는 이러한 설계의 중요한 역할을 한다.

People(인적 자원)

Organization Design and Strategy(조직 설계와 전략)를 누가 수행할 것인가의 고민을 해결해야 하는 것이 People(인적 자원)이다. 또한 이러한 인적자원은 집합적인 보유가 되어야만 한다. 집합적인 보유란 누구 한 사람의 슈퍼맨이 필요한 것이 아니다. 그럴 수도 없을 것이다. 역할과 책임과 권한과 해명책임성(accountability)이 잘 배분된 인적 자원들이 집합적으로 있으면 된다.

그리고 인적 자원은 가치, 행동 양식, 편견과 같은 독특한 특성을 가지고 있음을 상기해야 한다. 예방차원의 직원채용이나 지속적인 직원배치와 인식교육, 퇴사시의 정보보호의 공지 등이 포함된다.

Process(프로세스)

Process(프로세스)는 가장 바쁘고 일을 많이 하는 역할을 한다. 6개의 동적접속자를 직접적으로 연결시키는 역할을 하므로 3차원의 피라미드 형태에서도 가장 가운데에 위치한다. 또한 프로세스는 공식적 혹은 비공식적 메커니즘을 가지고 있다.

프로세스는 조직의 정책과 전략에 연계되어야 하며 조직의 요구사항에 유연해야 한다. 문서화가 잘 되어야 있어야 인적 자원들의 평균이상의 결과를 기대할 수 있으며 프로세스를 그들에게 교육이니 회의 등의 형태로 의사소통 되어야 한다. 프로세스는 반드시 측정 가능해야 하며 주기적으로 검토되어야 한다.

Technology(기술)

Process(프로세스)를 보다 효율적으로 수행하기 위해서는 Technology(기술)가 필요하다. 툴이나 응용 프로그램(애플리케이션), 인프라 등으로 구성된 것이 Technology(기술)이다. Technology(기술)의 속성은 동적이므로 리스크가 높을 수 있다. Technology(기술)는 공공기관이나 기업의 조직문화에 크게 영향을 받는다.

Technology(기술)을 얼마만큼 신뢰하느냐에 따라 혹은 People(인적자원)이 Technology(기술)를 잘 사용하지 못하는 미숙함의 사용자에 따라 좌우되는 특성이 있다.

BMIS의 4요소와 6동적접속자는 밀고 당기면서 그 균형을 유지한다. 독자들은 하루 하루를 살아가면서 얼마나 많은 균형을 유지하고 사는지 생각해 보기 바란다. 일과 가정의 균형, 도전과 안정성의 균형, 유지와 발전의 균형, 나와 나를 제외한 모든 것들과의 균형 등등. 이 칼럼을 통해서 정보보호를 도구나 기술로만 보는 차원에서 기업이나 공공기관의 중요한 전략으로 끌어올리는 기회가 되기를 바란다.

[글 _ 조희준 IT거버넌스·컨설팅·감리법인 ㈜씨에이에스 컨설팅 이사(josephc@chol.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)

[기고] 정보보호 거버넌스와 BMIS - 4요소