[e테크]정보시스템(IS) 보안-e비즈 시대엔 `보안`이 경쟁력

기업이 비즈니스를 추진하는 데 점차 정보기술(IT)이 활용됨에 따라 정보시스템(IS)의 보안문제가 IT부서의 기술적인 차원에서 전사적인 차원으로 변하고 있다. 종전의 기업 환경에서 IS관리자들은 직원들이 IS에 접속해 사용할 수 있게 하고 시스템 보안 문제를 적절히 처리하면 그것으로 임무를 다할 수 있었다. 하지만 최근의 전자상거래 체제에서는 비즈니스 부서관리자들과 IS관리자가 다같이 비즈니스 거래 관련 시스템을 관리해야 한다.

　데이터센터를 중심으로 구축된 전통적인 IT환경은 외부 사람이 접근할 수 없는 폐쇄된 체제였기 때문에 보안 문제가 별로 중요하지 않았다. 메인프레임에서 멀리 떨어진 각 터미널은 기업이 통제하는 유선으로 연결돼 있고 대부분의 주요 처리 사항은 일괄처리돼 충분한 시간적 여유를 가지고 오류를 정정하거나 삭제할 수 있었다. IS관리 직원들은 시스템이 별 문제없이 돌아가게 하고 그에 대한 접속을 통제하고 사용을 관리하기만 하면 됐다.

　아직도 많은 IS담당 부서는 IT보안 문제를 과거 방식으로 해결하려 하고 있다. 그러나 이제는 인터넷이 널리 확산되고 사업 부서들은 새로운 방식으로 비즈니스를 추진하고 싶어한다. 각 사업부서는 공급업체나 소비자들과 전자적으로 거래하기를 원하고 원거리에서 근무하는 직원들과 유무선으로 연락을 취하려 하고 있다.

　이처럼 IT인프라의 기술적인 발전에 힘입어 전통적인 환경이 여러 해 전에 사라지고 기업은 새로운 사업추진 방식을 도입했다. 새로운 비즈니스 체제는 외부 사람들이 쉽게 접근할 수 있는 개방적인 것이다. 클라이언트 컴퓨터가 공개적인 네트워크나 무선 네트워크를 통해 중앙 서버와 쉽게 세션을 설치할 수 있고 거래가 온라인으로 이루어져 자금을 불과 몇 초 안에 전송할 수 있고 바이러스가 침투해 기업의 많은 업무를 마비시킬 수도 있다.

　IS는 논리층, 물리층, 인프라층 등 3개 층으로 구성돼 있는데 대부분의 기업체들은 이들 각 계층의 보안문제를 처리하는 체제가 아직 일반화되지 않아서 IS 관련 부서 전문 직원들만이 처리하고 있다. 따라서 기업체들은 상거래 보안의 성숙도를 평가하고 이를 향상시켜야 한다. 그러기 위해 기업은 IT시스템을 통해 이루어지는 중요한 비즈니스 거래의 보안을 약화시킬 가능성이 있는 모든 요인을 효과적으로 관리해 ‘거래사항 관리(TIM:Transaction Incident Management)’의 완성도를 높여야 한다.

　최근들어 IT시스템은 ERP 같은 응용 프로그램과 더욱 광범위하게 통합되고 복잡해졌다. 뿐만 아니라 기업 외부 사람들도 응용 프로그램을 이용할 수 있게끔 널리 개방되고 복잡한 응용 프로그램 망을 통해 비즈니스에 매우 중요한 영향을 미치게 됨에 따라 사업에 이용하기가 어려워졌다.

　그동안 IT시스템은 비즈니스 인프라에 흡수돼 왔고 IT의 확산으로 기업체들이 업무를 더욱 효율적으로 처리할 수 있게 됐으며 ‘무(無) 대기시간’을 성취하는 전략을 추진할 수 있게 됐다. 지난 2001년까지만 해도 대기시간을 줄이려는 대부분 기업의 IT시스템에서 보안은 순전히 기술적인 문제로만 취급됐다.

　하지만 오는 2006년까지 전자상거래 시스템을 설치한 후 2년 이내에 각종 위험 요소를 파악하고 그에 대한 적절한 대응을 하지 않으면 관련 파트너의 불신과 주요 정보의 손상 등으로 사업 목표의 60%밖에 달성하지 못하게 될 것으로 보인다.

　최근 보안문제가 전면으로 부상함에 따라 기업의 경영진들이 그 중요성을 인식하고 신기술 도입의 선두업체들은 정보보안 책임자(CISO:Chief Information Security Officer)와 운영위기 관리자(Operation Risk Manager)를 임명하고 있다. 오는 2005년까지 무 대기시간을 추구하는 기업의 80%가 거래사항관리(TIM)에 기반한 보안 전략을 채택할 것으로 보인다.

　대기시간이 짧은 기업은 제품의 판매나 서비스를 제공하고 비즈니스 기회를 확장하는 데 경쟁업체보다 유리하다. 정보와 업무처리 흐름의 속도를 높이는 데는 여러가지 방법이 있다. 이런 기업은 어느 부서에서 어떤 문제가 발생하더라도 나머지 전 부서가 그 사실을 즉각 알고 그에 즉시 대응할 수 있다.

　또 외부 파트너의 각 부서나 그룹은 그 위치가 어디에 있던지 상관없이 ‘하부 시스템’의 역할을 하게 된다. 이들 파트너의 어느 부서에서 새로운 정보를 입수하면 그것은 즉시 모든 다른 부서나 파트너가 이용할 수 있게 된다. 무 대기시간 기업은 기업신경체계(ENS:Enterprise Nervous System)를 설치할 수 있는 기술 기반을 구축할 수 있을 것이다.

　올해부터 오는 2004년 사이 관련 부문에서 매출 성장이 빠른 기업체들의 80% 이상이 기업 자체 내외에 응용 프로그램을 통합하기 위한 실시간 기업신경체계(ENS)를 설치할 것으로 보인다. 또 오는 2004년까지 세계 2000대 기업의 20%가 실시간으로 사업 거래의 안전도를 효과적으로 평가할 수 있는 시스템을 설치할 것으로 보인다.

　기업은 거래의 보안 문제를 효율적으로 처리하기 위해 다음과 같은 조치를 취해야 한다. △기업자체의 각 부서와 파트너 그룹에 걸친 거래 흐름의 지도를 만든다. △정부 규정을 파악하고 그것이 정보보안과 관련해 외부 협력 하부 시스템에 미치는 영향을 검토한다. △회계 감사 내용, 업무 처리 과정이나 파트너 관계 등을 포함하는 비공개 합의서를 작성한다. △정보의 비밀을 보장하고 협력 하부 시스템이 인증 표준에 순응함으로서 상호 신뢰도를 높인다. △신뢰망을 구축하기 위한 상호 감시와 쌍무적 감사 관행을 수립한다. △모든 정보 및 응용 프로그램 시스템을 위한 위기 평가 및 정보를 분류한다. △응용 프로그램 시스템과 정보를 비즈니스에 대한 중요도에 따라 등급을 매기고 사업부서와 IS그룹에 따라 서비스 수준 합의서 내용을 명확히 한다.

　이 모든 조치는 사업부서 관리자, 운영위기 관리자, 정보보안 책임자, IT운영 관리자들이 모두 협력해 취해야 한다. 특히 보안 담당자들은 시스템의 어떤 부분이 어느 정도 보안에 취약한지 검토하고 어떤 문제를 먼저 처리해야 하는지 등을 확인해야 한다. 인프라의 개별 구성요소별로 보안을 유지하는 것만 가지고는 거래의 안전성을 확보하기에 불충분하다. 이와 함께 사업 담당 임원과 보안 책임자들은 보안 처리과정의 성숙도를 검토해야 한다.

　IS의 보안을 유지, 관리해야 한다는 사실은 언제나 변하지 않지만 범위, 기업 안에서의 관심정도, 외부 관련자의 숫자, 거래 사항에 손상을 줄 가능성의 속도와 규모 등은 변화했다.

<정리=이규태기자>