정보보안/정보보호 컨설팅 무용론?

정보보안/정보보호 컨설팅 무용론이라니, 꽤나 자극적인 제목이다.

솔직히 말해서 정보보호 업계에 몸담고 있는 사람으로 이런 말은 스스로 발목을 죄는 말일 수 있겠지만 지금까지의 경험을 돌아보면, 일부 타당하게 느껴지기도 한다.  물론 성급한 일반화의 오류이자 흑백논리의 전형이기는 하다.

굳이 이런 자극적인 제목을 정한 이유가, 나 스스로 글을 풀어나가는데 있어서 작게 생각하고 있는 것을 크게 부풀여 내가 말하고자 하는 바를 조금 더 명확하게 전달하고 싶어서이고, 특정 영역에서는 실제로 그런 생각이 들기도 하기 때문이다.  물론 이는 분명이 내가 잘못 생각하고 있을 가능성이 매우 높다.

우선 이렇게 정보보호 컨설팅 무용론을 생각하게 된 배경은, 여러 기업들에게 컨설팅을 제공하다 보면 대부분의 회사가 중요 자산이 무엇인지 식별이 되지 않는 경우가 많았다.  따라서 보호해야 할 중요 자산이 무엇인지 부터 식별을 하곤 했는데, 식별 방법은 주로 현업을 만나 인터뷰 또는 실사를 통해서이다.

현업 인터뷰를 하다 보면, 전혀 정보보호 관리체계를 갖추지 않고, 막말로 아무런 보호대책이 구비되지 않은 회사도 현업 스스로가 중요하다고 판단하고 있는 자산은 그 누가 시키지 않아도 철저히 보호되고 있는 경우가 많았다.  심지어 해당 회사 정보보안 부서도 그 자산의 존재 유무를 모르고 있을 정도로 말이다.  이런 자산은 주로 정보와 같은 무형 자산 보다는 실체를 가지고 있는 유형 자산일 경우가 많았다.  무형 자산일 경우에는 그 기밀성 자체가 사업 영위에 매우 치명적이어서 말 그대로 "영업비밀"로 관리되어 인터뷰 대상을 잘 식별하지 못할 경우에는 아예 회사에 그런 정보가 있다는 사실 자체를 모르게 되는 경우가 발생할 수도 있다.

이렇듯, 많은 회사들은 정말 지켜야 하는 자산들에 대해서는 그 어떤 방식으로든 스스로 철저하게 보호를 하고 있다.  물론 그 방식이 정보보호 컨설팅 업체가 제시하는 BP(Best Practice) 사례에 미치지 못할 수도 있으나, 수년 간 가장 효율적인 형태로 보호할 수 있도록 업무를 수행하고 있었던 것이다.

가끔 무엇을 보호해야 할지 몰라서 컨설팅을 받는 경우도 존재한다.  주변에서 위협은 많이 보이는데 그러한 위협들이 회사에 어떤 영향을 끼칠지 모르는 경우다.  막연한 두려움이 이럴 때 발생한다.

이런 상황에서 현재 우리나라 정보보호 컨설팅의 형태를 보면 안타까운 것은 컨설팅을 수행하다 보면 정보를 보호하겠다는 것인지, IT 인프라를 보호하겠다는 것인지 헷갈릴 때가 많다.  정보와 IT 인프라를 동일하게 취급한다.  특히 ISMS 인증 등을 받게 되면, 인증 범위 내 "자산"을 식별하여 관리를 해야 하는데 그러한 "정보자산"들이 죄다 서버, 네트워크, 응용시스템 등이다.  실제 그 안에 흐르는 데이터, 즉 정보 자체는 어디에서도 확인하지 않는다.

이런 상황에서의 정보보호 컨설팅은 단순히 보호대상이 명확히 정해져 있는 개인정보를 보호하기 위한 법률 준수를 어떻게 해야 하는지, 대외 오픈된 시스템에 대해 모의해킹 등을 통해 해킹 사고가 발생하지는 않을지 정도의 수준에 그칠 수 밖에 없다.

과연 지금 형태의 컨설팅으로 우리가 애플의 신비주의 제품개발과 구글의 X 프로젝트 보호 방안 등에 대해서 어떻게 하라고 제시를 할 수 있을까?

그렇다면 어떻게 해야 할까?  이건, 더 고민을 해야겠다.
(대안 없는 지적질을 싫어하지만서도...)