8일 서울 여의도 중소기업회관에서 열린 제3회 금융IT포럼에서 연사로 나선 서승우 서울대학교 전기정보공학부 교수는 "정보보안의 최대 적은 복잡함"이라며 "최대한 단순화할 수 있는 전략이 필요하고 단순화가 어려우면 관리 가능한 규모로 나눠야 한다"고 말했다.
지속적인 관리 전략 수립을 위해 서 교수는 기업의 특성을 고려하고 비용과 효과를 분석해 각종 정보를 정량화 할 필요가 있다고 강조했다. 보안에 들어가는 비용과 이익을 수치로 분석하기에는 가용 데이터가 부족하다는 점을 감안해 전략을 수립할 때 경제학적 모델과 기술적 요소들의 결합이 필요하다는 것이다. 그는 "보안에 대한 투자 모델을 찾기 위해서는 무형자산을 정량화 하는 노력이 요구된다"며 "개인정보의 가치, 서비스 가용성 등을 고려해 정보자산을 둘러싼 내용을 숫자로 기록해야 한다"고 말했다.
그는 이어 "기업의 정보 보안은 가치 있는 정보 자산을 식별하고 보안 수준에 적합한 통제 대책을 적용해 리스크를 최소화하는 활동"이라며 "그 목표는 기밀성, 무결성, 가용성 등으로 정리할 수 있다"고 말했다.
김철현 기자 kch@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>