게시판
      
상위분류 : 잡필방 중위분류 : 서류가방 하위분류 : 전산과 컴퓨터
작성자 : 문시형 작성일 : 2015-07-10 조회수 : 4,424
제 목 : 보안관리, IT거버넌스의 핵심 구현과제로 등장

보안관리, IT거버넌스의 핵심 구현과제로 등장

2007.06.07 09:32:03 / 이유지 yjlee@ddaily.co.kr

관련기사

“IT거버넌스가 기업 비즈니스 성과 결정한다”

“IT리스크에 둔감한 기업은 곧 퇴출” IT거버넌스의 경고

비즈니스와 IT보안 연계, 위험·컴플라이언스관리가 핵심

 

IT의 경쟁력이 기업의 비즈니스 성과를 좌우하는 시대로 접어들면서 'IT거버넌스'가 주목받고 있다.

 

특히 IT거버넌스는 IT인프라의 효율성을 높이는 것 외에 최근에는 '위험'(Risk)을 효과적으로 관리하는 수단으로서의 역할도 중요해 지고 있다.

 

따라서 기업의‘IT거버넌스’구현과정에서 강조되는 '보안'은 단연 IT거버넌스를 완성하기 위한 핵심 요소가 되고 있다.

 

IT기술을 기업의 내부 정책에 맞게 이용할 수 있도록 통제하기 위해서는 보안관리가 제대로 수반될 때만이 가능하다.

 

또한 IT거버넌스 환경이 구현됐을 경우에도 보안은 수립된 기업의 거버넌스 체계를 유지하도록 강제하고 감시하는 역할을 수행한다.

 

◆'IT거버넌스 + 보안', 기업의 새로운 IT전략과제로 부상= 최근 들어 기업의 보안에 대한 투자와 목표는 단순히 정보시스템과 정보자산을 위협으로부터 보호하기 위한 기술적인 대책을 수립하는 것에서 벗어나고 있다.

 

사업의 연속성을 보장하고 외부 규제에 효과적으로 대응하기 위한 관점으로 점차 확대되고 있는 것이다.

 

또한 IT보안 투자 자체를 비즈니스 가치와 연계하려는 시도로서 ‘보안 거버넌스’의 개념도 대두되고 있다.

 

자연스럽게 그동안 IT거버넌스 논의에서 없었던 보안전문업체들이 최근 등장하고 있다.

 

이같은 흐름은 바로 기업들이 IT거버넌스를 구현하기 위한 핵심 요소로서 보안의 역할이 재조명되고 있다는 것을 분명하게 보여준다.

 

인포섹 SI/컨설팅사업부 신수정 전무는 “보안은 기업의 비즈니스 목적을 이루기 위해 이용하는 IT에 존재하는 위협과 위험을 효과적으로 통제하는 역할을 담당한다”고 정의했다.

 

그는“기존에 기업의 보안 투자는 ‘보안을 위한 보안투자’가 이뤄져왔지만 이제는 IT비즈니스, 비즈니스와 연계된 보안 환경을 구성해 외부 규제에도 효과적으로 대응할 수 있는 중요성이 부각되고 있다”고 강조했다.

 

◆보안관리 범위와 대상, 목표 확장= 그동안‘보안’은 흔히 정보시스템의 취약점을 이용해 외부로부터 내부로 들어오는 바이러스, 웜 등 각종 위협에 의한 보안사고에 대응하는 것으로 인식해 왔다.

 

따라서 방화벽, 침입탐지/방지시스템(IDS/IPS), 안티바이러스 등 네트워크 보안과 PC·서버시스템 보안에 투자하는 경향이 짙었다.

 

하지만 최근 들어 ‘내부정보보호’목적에 부합하는 DB보안, 계정관리 등 내부보안관리시스템과 함께 기업의 보안정책에 맞게 프로세스상에서 통제할 수 있는 통합관리시스템에 관심이 높아지고 있다.

 

또한 전사적인 정보보호관리체계를 수립하고자 하는 움직임도 활발해지고 있다.

 

이러한 흐름은 기존의 보안시스템에 한정됐던 보안관리 범위와 대상이 IT 및 정보자산, 내부 조직의 업무프로세스 전반으로 확대하고, 비즈니스와의 연관성도 높아지게 만든다.

 

최근 시장에서 두드러지고 있는 보안관리시스템의 요구사항은 기존의 보안시스템과 유기적으로 운영되면서 정보자산의 취약점을 파악해 대응하기 위한 차원에서 나오고 있다.

 

이와함께 모니터링, 감사하는 역할을 수행해 보안사고를 유발하는 잠재된 보안위험을 제거해 기업의 손실을 능동적으로 예방할 수 있는 체계를 유지하도록 만드는 것이다.

 

여기에는 기업의 비즈니스 업무절차와 조직구성원의 행위를 체계적으로 통제하고 가장 우선적인 보안투자에 대한 효과적인 의사결정을 지원하는 기능이 기본 반영돼 있다.

 

이러한 측면에서 보안관리체계를 수립하는 기업은 보안 투자가 이뤄지기 전에 기업 비즈니스 가치와 목표에 따라 경영진과 현업 부서 차원에서 보안 목표와 수준, 정책을 설정할 수 있어 ‘보안 거버넌스’를 구현할 수 있는 기반도 갖출 수 있다.

 

◆위험관리와 컴플라이언스관리가 핵심=IT거버넌스 구현을 위한 영역 중에서 보안은 위험관리, 그리고 내·외부 정책과 법규를 준수하기 위한 컴플라이언스관리와 가장 밀접한 연관성을 갖고 있는 것으로 꼽히고 있다.

 

특히, IT거버넌스 내에서 위험 및 컴플라이언스에 유연하게 대응할 수 있도록 내부통제를 실행하고 책임추구성(Accountability)을 보장할 수 있는 기저가 된다.

 

내부통제와 컴플라이언스 관리를 위한 핵심기술로는 최근 통합계정/권한관리 솔루션과 RMS(위험관리시스템)·ESM(통합보안관리시스템)·SIEM/SIM(보안정보관리시스템) 등 보안관리시스템이 꼽히고 있다.

 

이들 두 기술의 특징은 기업의 업무프로세스 전반에서 체계적으로 (비교적) 자동화된 보안관리를 수행한다는 것으로, 효과적인 내부통제뿐만 아니라 기업의 생산성과 운영관리 효율성을 높인다.

 

하지만 ‘IT거버넌스’는 하나의 솔루션이 아니라 개념이자 프로세스라는 점에서 IT거버넌스를 위한 보안 영역도 특정 솔루션으로 구현될 수는 없다.

 

따라서 "기업의 정보시스템과 자산의 가용성, 기밀성, 무결성에 영향을 미치는 모든 위협과 행위를 분석하고 대응하기 위한 전체적인 보안관리 라이프사이클을 체계화하기 위한 접근이 중요하다"는 것이 전문가들의 지적이다.

| | 목록으로