시만텍이 전하는 보안 이야기

By: symantec in 미분류

프로세스 및 정보 저장 환경의 자동화에 대한 기업의 의존도가 증가함에 따라 IT 리스크가 운영 리스크(Operational Risk)에서 차지하는 비중은 점점 높아지고 있으며 리스크 관리의 독립적인 한 분야로 떠오르고 있다. 다양한 업종의 기업들이 IT 리스크에 대한 포괄적이고 집중적인 전략 개발을 목적으로 다양한 업무 조직을 통합하기 위한 노력을 시작하고 있다. IT 리스크는 보안, 가용성, 성능, 컴플라이언스 등의 요소를 포함하며 각 요소별로 서로 다른 원인과 영향력을 수반한다.

‘시만텍 IT 리스크 관리 보고서’는 전세계 500여 명의 IT 전문가들을 대상으로 1년간 심도 있게 진행한 인터뷰 결과를 바탕으로 IT 리스크와 IT 리스크의 경감을 위한 기술 및 프로세스 제어에 대해 분석하고 있다. 본 보고서에서는 업종, 지역, 직급 등과 무관하게 IT 전문가들이 아래와 같은 결론에 도달하고 있음이 확인됐다.

• IT 전문가들은 자신이 소속된 기업의 프로세스 통제 능력보다는 기술 통제 능력을 더 효과적이라고 평가하고 있다.
• IT 전문가들은 IT 자산/구성/변경 프로세스 관리를 가장 중요한 문제 영역으로 보고 있다.
• IT 전문가들은 더 큰 발전을 위해서는 인력과 프로세스의 개선이 가장 중요하다고 이해하고 있다.

높은 IT 리스크 관리 성과를 보이는 기업들의 데이터는 매우 놀랍고 그리고 고무적인 결과를 보여 주고 있다. 효율적인 리스크 관리를 하고 있는 기업은 효율성이 낮은 리스크 관리 시스템을 갖춘 기업에 비해 오히려 더 높은 심각성을 가진 리스크를 맞닥뜨리게 됨에도 불구하고, 관련 사고 발생률은 더 적은 것으로 확인됐다. 또 이러한 기업에서 적용 중인 제어 시스템에 대한 세부적인 분석을 통해, 업계 선두의 기업들은 프로세스 제어를 포함해 전체 통제 영역에 대해 매우 높은 효율성을 보이는 반면 낮은 성과를 보이는 기업들은 적은 수의 사소한 기술적 통제에 집중하고 있음을 확인할 수 있었다.

‘시만텍 IT 리스크 관리 보고서’는 IT 운영 인력과 기업 임원들이 IT 리스크를 이해하는 관점에 매우 큰 인식의 차이가 존재하고 있다는 결론을 내리고 그 차이를 분석하고 있다. IT 리스크에 대한 내부적 시각의 차이, 그리고 IT 리스크 관리 프로그램과 전반적인 기업 목표의 연계 실패는 그 자체적으로 리스크를 발생시킬 수 있다. 이러한 문제는 리스크 관리 프로그램이 비즈니스의 특정 리스크 프로파일에 최적화되어 있지 않은 경우, 또는 전체 기능 조직 및 비즈니스 부서에 걸쳐 조율되어 있지 않은 경우에 발생하며, 투자의 미비 또는 과잉 투자를 낳는 원인이 된다. IT 리스크에 대한 인식 제고와 교육을 위한 조직의 지원이 부족한 것도 효율적인 연계를 저해하는 중요한 원인으로 작용한다.

최상의 IT 리스크 관리를 위해서는 IT 리스크의 인지도 제고, 비즈니스에 미치는 영향의 정량화, 인력/프로세스/기술 전반에 대한 솔루션 설계 및 구축, 유지 가능한 IT 리스크 관리 프로그램의 구현, 지속적인 개선을 위한 성과 측정 및 모델링 등을 포함하는 원칙적인 접근이 필요하다. 또 단계별 프로그램의 시행을 통해 각 단계마다 혜택, 리스크, 비용의 균형을 이루는 것 또한 도움이 된다.

‘시만텍 IT 리스크 관리 보고서’는 경영, 재무, IT 관리 책임자 등 IT 리스크 관리과 관계된 모든 기업 임원들을 위해 작성됐다. 이 보고서는 다양한 산업, 지역, 조직의 IT 전문가들이 축적한 폭넓은 경험을 바탕으로, 각 기업 환경에 적합한 리스크 관리 프로그램에 대한 이해를 제공하고자 한다.

IT 리스크의 요인, 관리, 경감, 프로세스, 비즈니스와의 연계 등을 살펴보기 이전에, 이번 기고에서는 먼저 IT 리스크란 무엇인가에 대해서 자세히 설명하도록 하겠다.

IT 리스크의 이해
리스크는 기업의 가치에 피해를 입힐 수 있는 잠재 요소다. 리스크는 프로세스 및 이벤트에 대한 부적절한 관리로 인해 발생하는 경우가 많다. 기업 조직에 대한 IT 의 영향력이 늘어나고 어떤 경우 전체 비용 지출의 50% 이상을 차지하기도 하면서, IT 리스크가 전체 비즈니스 리스크에서 차지하는 비중은 증가하고 있다. IT 리스크는 아래와 같이 분류될 수 있다.

• 보안 리스크 – 정보에 대한 불법적인 접근, 조작, 이용으로 인한 리스크
• 가용성 리스크 – 비즈니스 프로세스 또는 데이터의 접근 차단으로 인한 리스크
• 성능 리스크 – 비즈니스 프로세스 또는 데이터에 대한 접근 지연으로 인한 리스크
• 컴플라이언스 리스크 – 법규, 규제 혹은 IT 정책 준수 사항 위반으로 인한 리스크

IT 리스크란 무엇인가?
우리는 살면서 휴대폰 통화 품질의 저하와 같은 사소한 문제에서 전쟁, 기근, 질병에 이르기까지 다양한 리스크를 만나게 된다. 수많은 종류의 리스크는 각기 서로 다른 방법으로 다양한 개인과 조직에게 영향을 미친다. 또 세계가 변화하면서 우리가 직면하는 리스크의 원인과 유형 또한 변화하고 있다.

비즈니스 리스크는 일상적인 운영 문제에서 흔치 않은 재난 상황에 이르기까지 다양한 형태로 존재한다. 기업이 맞닥뜨리는 리스크의 유형과 수준은 기업의 비즈니스 또는 선호하는 리스크 프로필에 따라 달라진다. 예를 들어, 강력한 브랜드 이미지를 기반으로 많은 수의 고객에게 서비스를 제공하는 엔터테인먼트 회사의 리스크 프로필과 외부 인지도는 낮은 반면 보호해야 할 거래 및 설계 정보가 많은 제조 업체의 리스크 프로필은 서로 다를 수 밖에 없다. 또 높은 성장률을 보이는 개발도상국의 금융 기관은 운영 시스템의 확대에 따라 가용성과 성능 리스크에 더 주의를 기울이는 반면, 선진국의 금융 기관은 보안 및 컴플라이언스 리스크에 초점을 맞추는 경향이 강할 수 있다.

비즈니스 리스크는 크게 재무적 요소와 운영적 요소로 구분된다. 재무적 리스크는 이미 널리 이해와 공감을 얻고 있는 리스크로, 재무 리스크 관리를 전문으로 하는 유수의 업체들이 신용, 환율, 가격 등의 재무적 리스크의 관리 및 전환 업무를 지원하고 있다.

운영 리스크는 거래가 아닌 운영으로부터 발생하며, 자연 재해, 정부의 규제 변동과 같은 외부 이벤트 또는 제품 품질, 기업 및 지점 성과, 지적 자산의 손실, 감독/법률 통제 등과 관련한 내부 프로세스로 인한 리스크가 포함될 수 있다.
IT와 비즈니스 운영의 관계가 점점 밀접해지면서, IT 리스크가 전체 운영 리스크에서 차지하는 비중이 크게 증가하고 있다. 이제 IT 리스크 관리는 단순한 운영 리스크 관리의 일부가 아닌 별도의 영역으로 인식되고 있다. IT가 오늘날의 조직에서 차지하는 역할이 그만큼 특별해졌기 때문이다.

• IT는 대부분의 비즈니스 운영 및 거래의 핵심이 되고 있다. 예를 들어 금융 기관과 온라인 소매 기업의 경우, 사실상 모든 비즈니스가 IT 시스템과 네트워크를 기반으로 수행되고 있다.
• IT 리스크는 기술의 변화 속도만큼 빠르게 진화하고 있다. 예를 들어, 온라인 피싱(phishing) 사기와 IT 컴플라이언스 이슈는 불과 3 년 전까지만 해도 거의 알려져 있지 않았다.
• IT 리스크의 확인, 측정, 분석, 관리를 위해서는 전문적인 지식과 기술이 필요하다. IT 리스크 관리 등의 IT 기술과 프로세스를 기업 목표와 연계하는 것은 기업이 지속적으로 해결해야 하는 과제다.

IT 리스크의 분류
기업이 IT 리스크를 이해 및 분석하고 이를 경감시키는 전략을 수립할 수 있도록, 시만텍은 리스크가 기업에 미치는 영향을 기준으로 리스크 분류 프레임워크를 정의했다. 시만텍의 프레임워크는 IT 리스크를 아래와 같이 분류한다.

• 보안 리스크 (security risk) – 허용되지 않은 사용자의 정보 수정, 접근, 사용으로 인한 리스크
• 가용성 리스크 (availability risk) – 시스템 장애 또는 자연 재해로 인한 정보 또는 애플리케이션 접근 차단의 리스크
• 성능 리스크 (performance risk) – 시스템, 애플리케이션, 관리 인력 또는 IT 전반의 성능 저하로 인한 비즈니스 생산성/가치 저하의 리스크
• 컴플라이언스 리스크 (compliance risk) – 정보 처리/프로세싱 과정에서의 법규, IT/비즈니스 정책의 위반으로 인한 리스크 

이러한 분류는 우리가 기업에서 발견하는 IT 리스크의 모든 요소를 포함하고 있다. ‘시만텍 IT 리스크 관리 보고서’는 보안 리스크와 컴플라이언스 리스크에 초점을 맞추고 있지만 이것이 IT 리스크의 특정 영역이 다른 영역보다 우선함을 의미하는 것은 아니다. 각각의 기업은 서로 다른 IT 리스크 프로필을 가지고 있다. 효율적인 IT 리스크 관리 시스템을 구현하기 위해서는 먼저 각 요소의 우선 순위를 결정하는 것이 중요하다.

다음 기고에서는 각 IT 리스크의 분류별 원인에 대해 보다 자세하게 살펴보고 IT 리스크 관리를 위한 프로세스 및 기술 적용의 효율성에 대한 ‘시만텍 IT 리스크 관리 보고서’ 응답자들의 평가를 살펴보도록 하겠다. 이를 통해 기업들은 리스크 관리와 IT의 관련성을 실제 비즈니스 적용하는 방안에 대해 이해할 수 있는 기회를 제공하고자 한다.

Trackback This Post | Subscribe to the comments through RSS Feed