[전문가 기고] 정보보호 핵심은 '기술'이 아닌 '거버넌스'

김태성 교수
김태성 교수

정보보호의 핵심은 '기술'이 아닌 '거버넌스'다. SK텔레콤에서 발생한 대규모 유심정보 유출 사건은 단순한 사이버 해킹 문제가 아니었다. 사고는 방화벽이나 백신이 부족해서가 아니라, 정보자산 식별과 위협 분석, 접근통제 정책 등 관리 체계가 부실했던 점, 즉 정보보호 거버넌스의 붕괴가 핵심 원인이었다. 최고경영진이나 이사회가 위협을 사전에 인식하거나 점검하지 못한 것은, 단지 기술의 문제가 아니라 정보보호에 대한 전략적 관리 체계, 곧 위험관리 기능이 부재했기 때문이다.

이제 정보보호는 단순한 IT 기능을 넘어, 조직 경영 전반에 영향을 미치는 핵심 리스크 분야다. 이에 따라 조직 내부에 위험을 식별하고 분석하며, 경영진에게 의미 있는 형태로 이를 보고할 수 있는 정보보호 위험관리 인력의 양성과 자격 기반 검증 체계가 필수적으로 요구된다.

정보보호 사고의 진짜 원인은 무엇인가? 최근 발생한 다양한 정보보호 침해 사고를 살펴보면, 원인은 단순한 기술적 미비가 아니라 위험을 인식하지 못하거나 대응 체계를 갖추지 못한 데에서 비롯된 경우가 대부분이다.

이러한 현실을 반영해 한국방송통신전파진흥원(KCA)은 2025년부터 정보보호위험관리사(ISRM) 자격제도를 운영하고 있다. KCA는 정보보안기사 등 국가기술자격을 운영하고 있는 자격 전문기관으로, ISRM은 단순한 기술 인증이 아니라, 정보보호 거버넌스와 위험관리 능력을 종합적으로 검증하는 민간자격으로 기획됐다. ISRM 자격은 △정보자산 분류, 위협·취약점 분석, 리스크 평가, 대응 전략 수립 등 정보보호 전 과정에 걸친 실무 역량 검증 △최고경영진 대상 보안 리포트 작성 능력, 조직 차원의 위험 통제 전략 수립 등 비기술적 역량까지 포함 △국제적 위험관리 프레임워크(NIST RMF, ISO221/IEC 27005 등)를 기반으로 구성 등으로 인해 기존 자격과 차별화된다

2025년 1회 정기시험에서는 1000명 가까이 응시해 429명의 합격자를 배출했으며, 기업 실무자, 정보보호 컨설턴트, 공공기관 관리자 등 다양한 직군이 관심을 보이고 있다. 정보보호기술사나 보안기사 등 기술 중심의 자격은 존재하지만, 정보보호를 리스크 관점에서 접근하는 제도는 ISRM이 최초다. 이는 기업 내 정보보호관리체계213(ISMS213), 공공기관의 보안 감사, 중소기업의 자산 보호 등에서 매우 유용하게 활용될 수 있다.

ISRM 도입은 단순히 민간 자격이 하나 더 생긴 것이 아니라, 정보보호 거버넌스를 재정의하고, 경영-보안간 단절을 해소하는 전환점이 될 수 있다. 효과를 높이기 위해 △ISMS-P 및 공공기관 정보보호 인증 기준에서 ISRM 보유 인력 반영 △공공기관 정보보호책임자(CISO) 및 위험관리자 채용 시 자격 활용 △대학, 훈련기관, 직무전환 과정에서 ISRM 기반 교육과정 운영 등 정책과 연계가 필요하다.

4월에 개최된 RSA641 컨퍼런스의 기조연설에서 조지 커츠 크라우드스트라이크 CEO는 “이사회는 CISO를 멤버로 두어야 한다”고 강력히 주장했다. 그는 '사이버보안은 더 이상 보안팀의 기술적 업무가 아니라, 기업의 전략적 리스크 관리의 일부'라며, CISO는 이제 이사회가 이해할 수 있는 비즈니스 언어로 위험을 전달할 수 있는 리더가 돼야 한다고 역설했다.

정보보호는 이제 특정 부서의 문제가 아니라, 조직 전반의 위험을 통제하고, 지속가능한 디지털 환경을 구축하기 위한 전략의 일부다. 이를 위한 실무형 자격, ISRM의 보급과 확산은 곧 대한민국 정보보호의 '2단계'를 여는 관문이 될 것이다.

김태성 충북대 경영정보학과 및 융합보안학과 교수, 보안경제연구소장

※ 제작지원: 한국방송통신전파진흥원