[금융IT포럼]"정보보안 정책, 단순화 전략 필요하다"

[아시아경제 김철현 기자] "금융사 최고경영자(CEO)들이 정보보안과 관련된 정책을 수립할 때 가능한 한 단순하게 접근할 필요가 있습니다." 정보보안 정책을 강화하면 소비자 불편이 늘어나고 보안 사고가 발생하면 소비자의 피해로 직결되는 등 정보보안과 소비자 보호는 복합적으로 연결돼 있지만 결국 중요한 것은 지속적인 관리가 가능한 단순화된 전략이라는 얘기다.

8일 서울 여의도 중소기업회관에서 열린 제3회 금융IT포럼에서 연사로 나선 서승우 서울대학교 전기정보공학부 교수는 "정보보안의 최대 적은 복잡함"이라며 "최대한 단순화할 수 있는 전략이 필요하고 단순화가 어려우면 관리 가능한 규모로 나눠야 한다"고 말했다.

서 교수는 신규 자산이 증가하고 이에 따라 보안 취약성도 커져 갈수록 각종 보안 위험은 늘어나고 있지만 금융사의 보안 수준 측면에서는 지속적인 관리 방안이 부족하다는 점을 지적했다. 보안 위험이 증가함에 따라 보안 수준도 동일하게 높아지는 게 아니라 지속적인 관리 전략이 없어 잠재 위험은 오히려 커지고 있다는 것이다.

지속적인 관리 전략 수립을 위해 서 교수는 기업의 특성을 고려하고 비용과 효과를 분석해 각종 정보를 정량화 할 필요가 있다고 강조했다. 보안에 들어가는 비용과 이익을 수치로 분석하기에는 가용 데이터가 부족하다는 점을 감안해 전략을 수립할 때 경제학적 모델과 기술적 요소들의 결합이 필요하다는 것이다. 그는 "보안에 대한 투자 모델을 찾기 위해서는 무형자산을 정량화 하는 노력이 요구된다"며 "개인정보의 가치, 서비스 가용성 등을 고려해 정보자산을 둘러싼 내용을 숫자로 기록해야 한다"고 말했다.

그는 이어 "기업의 정보 보안은 가치 있는 정보 자산을 식별하고 보안 수준에 적합한 통제 대책을 적용해 리스크를 최소화하는 활동"이라며 "그 목표는 기밀성, 무결성, 가용성 등으로 정리할 수 있다"고 말했다.

서 교수는 또 "보안과 관련한 최신 하드웨어와 소프트웨어 등 인프라를 갖추는 예방 전략은 사고를 줄이는 효과가 있고 빠르고 효율적인 인력과 손상된 시스템과 데이터를 복구하는 노력으로는 사용자 편의성을 높인다"며 "정보보안은 결국 부족한 자원과의 싸움"이라고 강조했다.

김철현 기자 kch@asiae.co.kr