현재 모 기관의 용역사업에 참여하여 정보보안/개인정보보호의 2가지 분야에서 일을 처리하고 있다.
그리고 현재까지 내가 느낀 바로는,
개인정보는 담당자들의 관심이 많지만, 정보보안은 담당자들의 관심이 약하다는 것이다. 그럴 수밖에 없는 게, 개인정보가 담당자분들에게는 더욱 중요하게 여겨지는 대상이기도 하고, 그분들이 대개 교사 출신 또는 일행 공무원이라는 데에서 기인한다. 일행 공무원이라면 법과는 조금이라도 친밀할 수밖에 없으나, IT는 그렇지 아니하다. 관심도 적은데, 사전지식도 전무하니 정보보안에 대한 열의는 적을 수밖에 없는 것이다.
그런데 현재 사업을 진행하는 곳의 독특한 시스템은 이 문제를 더욱 어렵게 만드는 듯하다.
수십 개의 시스템이 있으며, 수십 명의 담당자는 있으나, 그분들은 시스템을 온전히 통제하고 있다고 말하기 어렵다. A에서 일괄적으로 물리적 보안, 각종 정책 및 네트워크 관리를 하고 있으며, 유지보수에 관해서는 각각의 계약을 맺은 업체 B1, B2~ ... 이 담당한다. 그리고 A는 보안 상의 이유로, 각 시스템의 자료를 담당자에게 주지 않는다. 결과적으로, 담당자는 이름만 올려놓을 뿐, 시스템을 제대로 통제하지 못하는 상황이 발생하는 것이다.
네트워크 구성도에 대한 것조차 모르는 담당자가 태반이다. 관련 내용은 A에서 관리한다는 이유다. 담당자가 자신이 담당하고 있는 시스템의 네트워크 구성을 모른다는 것을 어떻게 받아 들여야 할까. 솔직히 말하면, 내 기준에서는 책임을 미루는 형태로 보인다. A에서는 본인들이 관리는 하기에 사건이 터지면 자유로울 수는 없으나, 막상 시스템별 책임자에 이름을 올려놓고 있지는 않기 때문이다.
즉, 담당자는 사실상 듀얼코어인 셈인데, 전혀 같이 작동하지 않는 듀얼코어인 셈이다. 1+1이 아닌 1과 1일 뿐이고, 이는 이 기관의 정보보안 수준이 나아지기 어렵다는 결론을 도출하게 만든다. 권한을 나누는 것은 효율성을 위함인데, 효율성이 낮은 것도 아니고 심지어 없는 상태이니 말이다. 더군다나 우리는 여기서 공무원들은 계속 돌아다닌 다는 것도 인지해여 한다.
그럼 이런 기관에서 선택할 수 있는 나은 방안으로는 무엇이 있을까? 내 생각은 다음과 같다.
첫째, 담당자 이원화를 할 경우, 운영 계획을 통해 역할 및 책임 소재를 분명히 나눠야 한다. 어찌 나눠야 할지 모르겠다면, 정보보호 수준진단 각 항목이라는 명확한 기준점이 존재한다.
둘째, 아예 운영 담당자(주무관) / 보안 관리자(전산 관련 지식을 보유한 자)로 명확하게 직책을 규정한다. 수준을 높이기 위해 필요한 건 해당 분야에 지식을 갖춘 자일 것이다.
셋째, 모의 감사를 매년 꾸준히 진행하여, 일행직이어도 해당 감사에 익숙해지도록 만들어야 한다.
결국 골자는 하나다. 기존 담당자의 관심을 끌어올리는 방법이나 아예 전문가로 대체해야 한다는 것이다. 어설픈 이원화는 발전을 가로막을 뿐이라 믿는다.
'기타' 카테고리의 다른 글
| 서류 중심 보안은 불필요한 것을 만드는 일일까 (1) | 2024.11.15 |
|---|---|
| 주요정보통신기반시설 물리적 취약점 점검을 진행하며 (0) | 2024.11.12 |
| 정보보호 수준진단에 대한 고찰 (3) | 2024.11.07 |
| AWS CCP 합격 후기 및 학습 전략 (1) | 2024.10.20 |
| 정보자산 분류 기준에 대한 새로운 아이디어 (1) | 2024.10.09 |