경영자는 기업을 자원관리 개념으로 운영한다. 적은 돈을 들여 최대 이윤을 가져가길 원한다. 전산경영관리에서 전사자원관리(ERP)는 생산성 극대화를 위해 자원 흐름과 용도를 감시해 목표를 달성하고자 한다. 자원 활동 감시를 위해 핵심성과지표(KPI)를 목표 달성의 정도를 측정하는 지표로 이용한다.
KPI는 현재 비즈니스 상태를 분석한 결과를 향후 대응책을 예측한다. KPI를 실시간으로 감시하는 것은 비즈니스 활동 모니터링이다. KPI는 리더십 육성, 고용, 서비스, 고객 만족이라고 하는 정량 계측이 어려운 것을 측정하는데 사용되기도 한다. 스코어 카드(Score Card)와 같은 기법을 사용한다.
사이버보안을 조직의 중요한 비즈니스 상태라고 본다면 기업을 포함한 모든 조직이 이를 활용해야 한다. 조직은 컴퓨터를 이용해 전산 처리한다. 전산 처리에서 보안은 중요한 요소다. 그동안 발생한 사이버테러는 피해 손실이 엄청나다. 수조원 이상이 넘는 피해가 속출했다. 일반 국민의 금융피해액도 매우 크다. 안전한 전산 처리의 문제점인 전산 위험(Risk)은 아무리 노력해도 사라지지 않는다. 새로운 위험은 늘 존재한다. 최근 발생한 군 고급장교 모바일 핸드폰 악성코드 감염, 정부 청사 불법 침입 사태 등은 그동안 등한시해 온 새로운 위협이다. 특히 종사자의 불충분한 보안 이행 상태가 문제다.
지난 2002년 미국은 연방정부 정보기술(IT) 보안을 위한 정부정보보안관리법(FISMA)을 만들었다. 연방정부기관 모든 공무원의 보안 KPI를 정한 법령이 세계 최초로 시작된 것이다. 현재 법무부, 국토안보부 등은 A+ 등급이다. 국방부는 초기에는 F였고, 현재는 기밀로 분류된다. 미국은 법령으로 모든 공무원의 보안을 평가한다. 결과는 매년 백악관과 의회에 보고되고, 예산청이 보안 예산을 지원한다. 공무원들의 보안수칙 이행 정도는 매년 향상된다. 대한민국에는 정부기관 보안 이행 상황을 감시하는 법이 없다. 정부에서 무슨 보안 위험이 벌어지는지 아무도 모른다.
경영자가 보안을 어떻게 판단해야 하는가. 예를 들면 N게임사는 중의 해커들로 인해 몸살을 앓았다. 게임 해킹으로 인한 사이버 머니 절도, 게임 소스 해킹의 문제가 있었다. 그러나 보안 부서 개편과 양질의 인력 확충으로 외부의 해킹 시도를 막음으로써 회사는 지속 성장했다. 모바일 게임 역시 최근에 보안 문제를 해결하고 글로벌 증시에 상장한다. 보안에 대한 투자로 글로벌 투자자의 인정을 받는 것이다.
현재 대부분 기업에서 보안 담당자는 경영진에게 사고처리 보고서를 올린다. 경영진은 보안 업무를 관리하지 않는다. 조직 보안의 문제점을 야기하는 각종 위협에 대한 가이드라인은 정부 표준 보안관리 통제시스템을 참고로 스스로 개발해야 한다. 문제는 보안의 모니터링 지속과 개선 방식에 있다.
즉 경영진에 의한 KPI 확인이다. 정부에 보여 주는 법적 준수사항 결과 보고로는 만족할 수 없다. 또 정부의 보안 점검 결과를 믿기 어렵다. 정부는 한국수력원자력의 보안 점수를 80점 이상 줬다. 정부를 포함한 외부 기관은 내부 보안을 알 수 없다. 모든 임직원의 보안규칙 준수 상태 KPI 확인은 경영자만이 가능하다. 직원은 다른 부서에 협조하지 않는다. 새로운 보안 사고는 관련된 부서가 노력, 재발하지 않도록 해야 한다.
미국은 지난 15년 동안 연방정보보안관리법(FISMA)으로 연방정부의 보안 KPI를 제시했다. 이젠 보안 예산이 줄었다. 대한민국의 상장 기업은 매년 보안관리 체계 KPI 결과를 주주와 고객들에게 보고할 날이 조만간 올지 모르겠다.
임채호 KAIST 전산학과 초빙교수 chlim@kaist.ac.kr
