[시큐리티 Q&A] 보안조직 구성방안

Q. 중견기업으로서 새롭게 보안조직을 구성하려고 한다. 보안조직을 구성하는 데 있어 예산 등 필수적으로 갖춰야 할 것은 무엇이 있을까? 그리고 전체 인력 대비 몇 퍼센트를 보안인력으로 두어야 하는가?

A-1. 우선 새롭게 보안조직을 구성하는데 있어 가장 중요한 것은 인력구성의 고려라고 생각된다. 인프라, 개발 등의 IT조직 및 영업, 서비스, 경영지원 등과 원활하게 커뮤니케이션 할 수 있는 핵심 인력의 세팅이 가장 중요하다. 보안이 고도화되지 않은 중견기업의 경우, 현재 잠재되어 있는 이슈를 도출하고, 또한 전 부서가 유기적으로 이러한 기준에 맞춰 업무를 정리하는 것이 중요하다. 이러한 과정에서 회사내 관련 부서에서 업무를 수행한 경험자를 팀내에 코디네이터로 배치하는 것도 잠재 이슈를 도출하는데 큰 도움이 될 수 있다.

인력의 배치는 기술과 관리를 약 6:4 정도로 배치해 유기적으로 결합한다면 리스크를 줄이는데 큰 도움이 되는 조직을 세팅할 수 있을 것이라고 판단된다. 예산적인 부분에 있어서는 인터넷 기업의 경우 전체 IT 예산(인력·예산포함)의 약 7~10% 사이를 보안에 투자하고 있고, 각 사의 수준을 고려해 예산을 투자하면 될 것으로 생각되지만 필수적으로 도입을 해야 하는 방화벽, 솔루션 등의 인프라 및 기술장비 등은 과감한 투자 결정이 필요하다.

침고로, 인터넷 기업 등 보안이 고도화된 회사의 경우 총 1,000명당 20명 정도의 인력이 배치된 회사도 있다. 중견기업에서 보안팀을 세팅할 경우 그 기능적인 부분을 보장하기 위해 최소 3인 이상으로 구성된 보안조직을 구성하기를 추천한다.

(신동혁 쿠팡 개인정보팀장)

A-2. 조직을 갖춘다면, 적정 인력의 수도 중요하지만, 보안담당자의 역량이 얼마나 높고, 열정이 있느냐도 중요하다. 전담인력이 한명이라도 열정과 역량이 있다면 어느 정도 보안 수준을 유지할 수 있다. 또한, 최고경영층의 확고한 지원이 매우 중요한 요인이다.

뿐만 아니라 보안조직의 위상도 매우 중요하다. 즉 전산조직 내에 보안기능을 위치할 것인가, 아니면 일반 경영조직 내에 위치할 것인가, 또한 보안상황을 최종적으로 누구에게까지 보고할 것인가 등이 위상과 관련해서 중요한 이슈이다. 따라서 가능하면 IT 부서 외에 보안기능을 위치하는 것이 현 추세이며 논리적으로도 적절하다고 개인적으로 판단된다. 앞의 예산과 마찬가지로 비율 접근방법은 비교 차원에서는 의미가 있을지 몰라도, 개별 조직·기업 입장에서는 큰 논리적 가치는 없다.

(김정덕 중앙대학교 교수/jdkimcau@gmail.com)

A-3. 침해사고 예방 및 대응 업무 처리과정은 CERT를 구성하고 있는 구성원의 개인 능력과 신뢰성에 의존하게 된다. 특히, 최근에는 CERT 업무가 침해사고 발생 시 필요한 기술적 대응뿐만 아니라, 예방활동을 위한 보안정책 수립,감사, 타 부서와의 업무 협의 등 다양한 업무를 수행해야 한다는 점에서 CERT 구성원의 개인능력은 더욱 중요해지고 있다. CERT 구성원이 갖춰야 하는 능력을 열거해 보면 다음과 같다.

△ 개인 Skills : Communication, Problem Solving, Team Interactions, Time Management

△ 기술 Skills : Security Principles, Risks Analysis,Vulnerability, Network Protocol, Security/Virus Issue, Application

△ 사고대응 Skills : Team Policy/Procedure, Communication, Incident Analysis, Recording, Tracking Information

△ 전문 Skills : Presentation, Leadership, Expert Technology, Programming Skill

또한, CERT 구성원은 침해사고의 처리를 위해 아래와 같은 IT 분야의 기본 기술들을 이해하고 있어야 한다.

△ 전반적인 데이터 네트워크(전화, ISDN, X.25, PBX, ATM, 프레임 릴레이 등)

△ 네트워크 프로토콜(IP, ICMP, TCP, UDP 등)

△ 네트워크 기반 요소(라우터, DNS, 메일서버 등)

△ 네트워크 응용 프로그램, 프로토콜(SMTP, HTTP, FTP, TELNET 등)

△ 기본 보안 원칙

△ 컴퓨터와 네트워크 위험 및 위협

△ 보안 취약성과 관련된 공격(IP 스니핑, 스니퍼와 컴퓨터 바이러스 등)

△ 네트워크 보안 이슈(침입차단 시스템, 가상사설망 등)

△ 암호 기술, 전자서명, 해쉬 알고리즘 등

△ 사용자와 시스템 관리자 측면의 호스트 시스템보안(백업, 패치 등)

(홍준석 한국산업기술보호협회 관제운영팀 팀장/jun0817@kaits.or.kr)

[김지언 기자(boan4@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)