한국EMC가 ‘비즈니스 혁신을 위한 보안 위원회(Security for Business Innovation Council, 이하 SBIC)’의 정보 자산 보호 및 활용 프로세스 혁신에 대한 연구 보고서 결과를 발표했다.

한국EMC는 이번에 발표된 ‘정보 보안을 위한 새로운 변신: 미래를 대비하는 새로운 보안 프로세스’ 보고서를 인용, 점점 고도화 되고 있는 사이버 위협에 빠르게 대응하고 자사의 비즈니스를 보호하기 위해서는 기존 모니터링 중심의 수동적 경계기반 보안체계를 넘어서는 새로운 차세대 정보 보안 프로세스가 필요하다고 밝혔다.

또한 각종 공격과 위협에 선제적으로 대응할 수 있는 정확하고 신속한 보안 프로세스를 구축하기 위해서는 기업의 정보 보안부서가 사내의 다양한 비즈니스 사업 부서들과 더욱 밀접한 협력체계를 구축해야 한다고 강조했다.

SBIC는 이번 보고서를 통해 ▲비즈니스 관점의 위험 관리체계 수립 ▲사업 부서들과의 협업을 기반으로 한 보안 프로세스 정립 ▲지속적이고 일상화된 정보 보안 관리 및 감독 ▲ 주기적인 외부 보안 평가 실행 및 결과 반영 ▲데이터 분석 기반의 인텔리전스 위협 탐지 시스템 구축 등의 전반적인 정보 보안 체계와 프로세스의 개선이 이뤄져야 한다고 전했다.

정보 보안 체계와 프로세스의 혁신을 위해 SBIC가 이번 보고서에서 제시한 ‘미래를 대비하는 새로운 정보 보안 프로세스 확립을 위한 5가지 핵심 지침’은 다음과 같다.

1. 정보 흐름에 따른 정보 보안 업무 프로세스 구축 = 서버나 애플리케이션과 같은 인프라 기준이 아닌 정보의 흐름에 따른 보안 프로세스가 필요하며 관련된 사업 부서들과 함께 보안 위험에 대응하는 업무 프로세스를 문서화하고 이를 준수하는 전사적 협업이 필요하다.

2. 보안 위협에 대한 정량적 손실 평가 체계 수립 = 정보 보안 위협을 사업적인 관점에서 설명할 수 있어야 하고 각각의 정보 보안 사고에 의한 손실을 재무적인 관점에서 정량화해야 한다.

3. 비즈니스 관점의 전사적 정보 보안 프레임워크 구현 = 보안 사고를 자동으로 추적하고 사업적인 관점에서 연계성과 위험도를 측정할 수 있는 자동화된 정보 보안 관리 프레임워크가 준비돼야 하고 이를 바탕으로 정보 보안부서는 물론 모든 관련 사업 부서들이 전사적으로 사이버 공격에 대응할 수 있어야 한다.

4. 정보 보안 활동의 객관적 점검과 평가 = 보안 위협을 측정하고 반영할 수 있는 데이터 수집은 물론 정보 보안의 효과를 입증할 수 있는 데이터를 수집하고 지속적으로 이를 보완해야 한다.

5. 데이터 분석을 위한 인프라와 관리 프로세스 구축 = 정보 보안과 관련된 모든 데이터를 저장 및 분석하고 전사적인 보안 체계와 프로세스를 정기적으로 평가하고 보완할 수 있는 IT 인프라와 관리 프로세스가 구축돼야 한다.

김경진 한국EMC 대표는 “다양한 보안 위협에 대응하기 위해서는 정보 보안부서는 물론 모든 사업 부서들과의 유기적인 협업이 필요하다”며 “보안 강화를 위한 기술 투자와 함께 사업적인 관점에서 위험을 측정하고 대응할 수 있는 업무 프로세스를 수립하고 이를 준수해야 할 것”이라고 밝혔다.