[보안맨] 정보보호 위원회

안녕하세요, 보안맨 입니다.

이번에 소개해 드릴 주제는 ‘정보보호위원회’ 인데요. 이미 여러 금융회사, 제조기업 등에서 정보보호위원회가 설치/운영되고 있습니다.

이때, 정보보호위원회는 역할 및 책임 등이 명확해야 하고, 어떤 안건을 가지고 심의/의결해야 하는지 규정되어야 하는데요.

이번 시간에는 크게 

1) ‘정보보호위원회 설립/운영에 관한 규정 마련’, 

2) ‘정보호위원회가 심의/의결 사례’를 살펴 보도록 하겠습니다. 

다만, 필자의 경험상 금융회사 사례를 중심으로 작성되며, 모든 세부적인 내용에 대해서 작성될 수 없는 점 미리 양해 부탁 드립니다.

• 1.정보보호위원회 설립/운영 관련 규정

정보보호위원회의 주기적인 운영/관리가 가능하도록 위원회의 구성, 역할, 책임, 주기 등을 정의한 규정이 마련되어야 하는데요. 필자의 경우, 상위 정책/지침서에 위원회의 당위성을 짧게 거론하고, 세부적인 설치/운영에 관한 사항을 절차서 수준으로 내규화 했었습니다.

절차서 마련 시 아래와 같은 사항이 고려되시면 좋을 것 같습니다.

Figure 1. 정보보호위원회 설치 및 운영에 관한 절차서 – 목차표

• 정보보호위원회의 구성 및 운영 목적: 본사 상위 규정 또는 관련 법령 (e.g. 전자금융감독규정) 참고

• 위원회 구성: 관련 법령 참고 (e.g. 준법감시부서(장), 정보보호책임자, IT 개발/인프라팀(장) 등)

• 위원회의 임무: 관련 법령에서 정한 사항 등 (e.g. 취약점 분석 평가 결과, 보안성 심의, 정보기술부문계획서 등 다수)

• 역할 및 책임:

• -위원장은 A 로 정함

• -정보보안 간사는 회의록 작성 및 보고 등

• -위원회에서 의결한 사항은 위원장이 경영진에게 직접 보고 등

• 회의록

• -위원들이 이해할 수 있는 수준의 심의/의결 관련 자료 마련

• -회의 시, 각 위원간 질의/응답에 따른 보완점, 재 심의 사항 등 기록

• 관련 내부 규정 등 다수

• 1.정보보호위원회 심의/의결 사례

• 가.정기적

Figure 2. 취약점 분석/평가 결과 관련 정보보호위원회 회의록

위 내용은 전자금융기반시설 취약점 분석/평가에 대한 최종 결과 자료인데요. 위원들이 한눈에 쉽게 파악할 수 있도록 표로 정리 되었습니다. 전체 평가 자산 수량, 취약점 개수, 조치 계획 등을 확인하실 수 있는데요.  

심의 시, 보통 준법 부서 담당자는 고위험 취약점 (risk=high)에 대한 빠른 조치를 원합니다. 

취약점이 존재하는 것 자체가 조직 측면에서 위험이기 때문이죠. 하지만, IT 인프라팀이나, 개발팀에서는 내부 공수, 예산 등의 사유로 모든 중요한 취약점을 단기간에 조치할 수 없는 한계가 존재하죠. 따라서, 모든 위원이 납득할 수 있는 자료를 만들고 설득력 있게 발표될 수 있도록, 담당자의 치밀한 준비가 굉장히 중요합니다.

예를 들어, 단기간에 조치할 수 없는 high 취약점인 경우, 대체 보안 통제 방안을 제시할 수 있다면 금상첨화겠지요.

최종적으로 위원의 과반수가 결과에 대해 동의하면 (=의결), 의결 사항은 최고 경영자에게 보고됩니다. 이때, 경영진의 선호하는 보고 방식, 예상 질문 등을 미리 준비하시면 좋을 것 같습니다.

(e.g. 작년 대비 올해 네트워크 자산 관련 취약점이 증가한 사유 등)

• 가.비 정기적

Figure 3. 망분리 적용 예외 보안성 검토 관련 회의록

필자의 이전 회사에서, 내부망에 위치한 개인정보처리시스템을 외부에 있는 A회사에서 접근해야해서 내부적으로 이슈화 된 케이스가 있었습니다. 

이 때, 첫번째로 진행했던 사항은 ‘관련 근거’가 무엇인지 파악하는 것 이었습니다. 

망분리 예외 관련 전자금융감독규정 시행세칙을 확인하고, 법적으로 저촉되는 부분이 없는지 확인해야 했습니다. 

이후 관련 업무 현황을 분석하기 위해 각 부서 담당자들과의 인터뷰를 진행하고, 기술적으로 각 솔루션들의 설정값 등을 확인 했었습니다.  

현황 Gap 분석을 통해, 단기간 조치 사항, 장기간 조치 사항, 위험 수용이 따르는 항목 등을 일목요연하게 표로 정리하고, 정보보호위원회로부터 심의/의결을 득 하였습니다.

읽어 주셔서 감사합니다. 기고글이 조금이나마 도움이 되셨나요?

궁금하신 사항 또는 기타 좋은 의견 등은 댓글을 남겨 주세요.

감사합니다. 오늘도 행복하세요. J