“기업 정보보호의 핵심은 건강을 관리하듯 꾸준히 보안정책을 이행하는 것입니다.”
에이쓰리시큐리티는 1000건이 넘는 정보보호컨설팅을 수행한 전문기업이다. 한재호 대표는 기업이나 기관이 정보보호관리체계(ISMS) 인증 후 스스로 계속해서 일정한 보안수준을 유지하게 독려한다.
“많은 기업이 ISMS 인증을 받은 후 보안을 나몰라라 하는 사례가 많습니다. 인증을 위한 인증은 기업이나 기관 보안에 전혀 도움이 되지 않습니다.”
에이쓰리시큐리티는 ISMS 인증 후 사후관리를 돕는다. 그는 “에이쓰리시큐리티는 단순히 인증만 하는 것이 아니라 기업 스스로 운영하고 관리할 수 있는 정보보호 관리체계를 전수한다”고 설명했다.
에이쓰리는 정보보호컨설팅 노하우를 집대성해 기업 보안관리자가 보다 체계적으로 정보보안체계를 관리하는 ‘알파인더 컴플라이언스매니지먼트(CMS)’ 솔루션을 개발했다.
알파인더 CMS는 각종 컴플라이언스와 보안업무에 대응하도록 업무처리와 통합 모니터링 기능을 제공한다. 전사 보안업무 관리 시스템이다.
그는 개인정보 영향평가 비용도 꼬집었다.
“각 기관은 직원 수와 규모가 모두 다릅니다. 그런데 개인정보 영향평가 비용은 규모와 상관없이 동일합니다. 제대로 된 평가가 어려운 이유입니다.”
한 대표는 이런 구조가 정보보호 컨설턴트 질 저하에 영향을 끼친다고 설명했다. 그는 “실제로 들어가는 노력에 비해 적은 대가는 정보보호 업계 선순환을 막는다”고 지적했다.
한 대표는 “우수한 인력을 정보보호 컨설턴트로 유치하려면 임금 수준이 높아야 하는데 현실적 장벽이 높다”고 말했다. 정보보호 컨설턴트는 기업 보안문제 해결사다. 기술과 사업 구조, 인력에서 심리학까지 꿰뚫는 융합 지식이 필요하다.
그는 “컨설턴트는 기업 내 정보보호가 왜 안 되는지 사람과 프로세스·기술 3가지 측면에서 철저히 분석하고 해결책을 내놔야 한다”고 강조했다. 특히 똑같은 사고가 반복되는 기업에 해결할 수 있는 답을 제시해야 한다.
한 대표는 “ISMS를 받아야 하는 기관이 늘었지만 현실과 동떨어진 사업 비용 때문에 컨설팅 전문업체가 참여하지 않는다”며 “근본적인 문제해결 대신 전문업체를 늘려 시장 교란이 우려된다”고 비판했다.
김인순기자 insoon@etnews.com
