객관적으로 측정하고 인정받을 수 있는 지표로 정보보호 업무성과 판단

[원문] http://www.boannews.com/media/view.asp?idx=17343&kind=1

입력날짜 : 2009-08-25 08:23

정보보호 업무의 정량적 성과 측정을 위한 고려사항

‘측정하지 못하면 관리할 수 없다’는 말은 대부분의 기업에서 상식이 됐다. 과거 정보유출사고와 침해사고가 발생하지 않은 것만으로 어느 정도 성과에 대한 인정을 받았던 정보보호 업무는 이제 객관적인 지표를 통해서 자신과 부서의 업무 성과를 평가받는 시스템에서 더 이상 예외를 인정받을 수 없게 된 것 같다. 문제는 정보보호 업무에 대한 객관적 성과관리는 다른 어떤 업무보다 어렵고 까다롭다는 것. 당신은 현재 자신의 정보보호 업무성과를 객관적으로 측정하고 회사로부터 인정받을 수 있는 지표를 가지고 있는가?

A사의 정보보호 담당자인 김 과장은 출근길 엘리베이터 안에서 우연히 사장님을 만났다. 회사 비용절감에 늘 고민이 많은 사장님은 김 과장을 보자 지나가듯 질문을 던진다. “김 과장, 작년에 정보보호부서 업무 성과는 괜찮았나?” 김 과장은 얼른 대답할 말이 잘 떠오르지 않으면서 머리 속이 복잡해 진다. “예. 나름대로 좋았던 것 같습니다. 네트워크 방화벽을 성능을 업그레이드 했고 내부정보 유출방지 솔루션도 구축했고… 아, 무선랜 암호화 솔루션도 도입했습니다.”

불행하게도 김 과장은 사장님의 ‘엘리베이터 테스트’에서 불합격 점수를 받았다. 사장님은 속으로 ‘역시 정보보호 부서는 비용만 많이 쓰는 곳이야’ 라고 생각했다.

하지만 김 과장이 정보보호업무에 대한 정량적인 지표를 근거로 다음과 같이 대답했다면 어떠했을까? “네, 정보보호팀은 작년 한 해 우리 회사의 위험수준을 6% 낮추었고 팀의 업무효율성은 12% 증가시켰습니다.” 김 과장이 이렇게 대답했다면 아마도 사장님의 인식은 크게 달라졌을 것이다.

‘측정하지 못하면 관리할 수 없다’는 말은 이제 대부분의 기업에서 상식이 되었다. 과거 유출사고와 침해사고가 발생하지 않은 것만으로 어느 정도 성과에 대한 인정을 받았던 정보보호 업무는 이제 객관적인 지표를 통해서 자신과 부서의 업무 성과를 평가 받는 시스템에서 더 이상 예외를 인정받을 수 없게 된 것 같다.

문제는 정보보호 업무에 대한 객관적 성과관리는 다른 어떤 업무보다 어렵고 까다롭다는 것이다. 당신은 현재 자신의 정보보호 업무성과를 객관적으로 측정하고 회사로부터 인정받을 수 있는 지표를 가지고 있는가? 본고는 정보보호와 관련된 지표의 목적과 종류에 대해서 살펴보고 실제로 정보보호 지표 측정체계를 구축하고 운영하기 위해서 고려해야 할 사항에 대해서 논의하고자 한다.

 

측정지표의 종류와 성격

정보보호업무를 측정하기 위해서 사용할 수 있는 측정지표의 종류는 크게 성과지표, 위험지표, 수준지표의 3가지 정도로 생각 해 볼 수 있을 것이다. 성과지표(KPI, Key Performance Indicator)는 ‘우리는 일을 얼마나 잘하고 있는가?’ 라는 물음에 대한 대답이다. 성과지표 개념은 BSC, BPM, 6시그마 등 전통적인 경영이론과 기법을 통해서 발전되어 온 영역이다. 당신이 기술보안 담당자라면 보안패치비율이나 정보보호 이벤트처리 단위시간 등이 해당되고 관리보안 담당자라면 임직원 정보보호교육 이수 비율이나 정보보호서약서 접수비율 등이 될 것이며 이것은 당신이 수행하는 해당업무 자체의 효율성 또는 이행의 정도를 설명해 준다.

반면 위험지표(KRI, Key Risk Indicator)는 ERM 등과 같은 위험관리 기법에 의해 제시된 개념이며 ‘우리는 어떤 상황에 처해 있는가?’라는 물음에 대한 대답이다. 위험지표는 당신의 정보보호업무 자체에 대한 지표가 아니며 정보보호업무로 인한 결과 또는 업무의 성과와 전혀 무관한 외생적 요인에 기인한 지표이다.

정보유출사고 발생비율, 핵심 기술인력의 경쟁사 이직비율처럼 정보보호업무 자체가 아니라 업무를 수행에 대한 효과가 있었는지에 대한 설명, 주간 네트워크 공격 발생 건수처럼 통제가 불가능한 외부 위협 수준에 관한 설명, 그리고 개인정보 다운로드 증가율처럼 가까운 미래에 있을 위험에 대한 조기경보적인 설명을 해 준다. 위험지표는 현재 또는 가까운 미래의 위험수준을 설명하기 때문에 성과지표에 비해서 미래지향적이며 ‘그래서 우리는 앞으로 무엇을 어떻게 해야 하는가?’와 같이 정보보호 통제의 변경, 신규투자 등에 대한 고민을 이끌어 낼 수 있다.

한편 수준지표는 ‘우리는 표준의 잣대에서 볼 때 어느 수준에 있는가?’라는 물음에 대한 답이며 ISO27001 GAP분석 점수, SSE-CMM과 같은 성숙도 수준 등이 여기에 해당 될 수 있다. 하지만 수준지표에서 표시되는 수치 또는 점수가 엄밀한 의미에서 정량적인지는 논란의 여지가 있고 Best Practice 표준 또는 벤치마크 대상 등에 기반하기 때문에 ‘측정’의 개념보다는 ‘평가’의 개념에 가깝다고 볼 수 있어서 이번 논의대상에서는 제외한다.

 

정보보호 측정지표 풀(Pool)의 구성

그럼 이번에는 실제로 정보보호 측정지표를 만드는 과정에 대해서 논의해 보자. 좋은 지표를 만들기 위해 중요한 점은 좋은 지표를 만들려고 너무 노력하지 말아야 한다는 것이다. 오히려 가능한 한 많은 지표를 만들어야 한다. 좋은 지표는 하루아침에 만들어 지는 것이 아니라 계속적인 측정과 피드백을 통한 시행착오를 거쳐서 다듬어 지기 때문이다. 따라서 정보보호 지표 측정체계를 만들기 위해 처음 할 일은 정보보호 측정지표 풀(Pool)을 만드는 것이다.

정보보호 측정지표 풀을 구성하기 위해서는 공개된 지표들을 가져오거나, 아니면 업무에서 직접 도출할 수 있다. 공개된 정보보호 관련 지표들을 가져오기 위해 참조할 수 있는 소스는 NIST SP 800-55, ISO 27004(Working Draft)와 같은 정보보호 표준규격문서 또는 정보보호 측정지표와 관련된 몇몇 서적들이 있다. 하지만 이것은 그다지 좋은 방법이 아닌데 이런 지표들은 모든 회사를 대상으로 만든 일반화된 지표이므로 자신의 회사와 업무에 직접 적용이 어렵고 설사 적용과 운영을 시도하더라도 얼마 가지 않아서 유명무실해 질 가능성이 크기 때문이다. 보다 좋은 방법은 자신의 업무와 회사환경 자체로부터 이끌어 내는 방법이다. 직접 지표 풀을 만들기 위해서는 몇 가지 방법을 선택 할 수 있다.

첫 번째 방법은 회사의 정보보호 업무를 Input-Process-Output 형식으로 정의되는 가능한 자세한 수준의 프로세스로 분해하여 기술해 보는 것이다. 정보보호 업무의 실질이 프로세스라는 형식으로 명확히 기술 될 수 있다면 각각의 프로세스 별로 절차상의 시간, 비용 출력물의 양, 질, 비율 등의 꽤 많은 지표들이 보이기 시작한다. 정보보호 절차가 잘 갖추어져 있거나 전사적인 BPM을 운영한다면 가장 유리한 방법이 되겠다.

두 번째 방법은 정보보호 정책을 활용하는 방법이다. 회사의 정보보호 정책을 살펴보면 무수히 많은 실행항목들이 기술되어 있다. 실행항목들을 문단 별로 6하 원칙에 따라서 누가 하고 무엇을 하고 언제 어떻게 하며 결과적으로 남는 증적은 무엇인지 체계적으로 정리 하게 되면 첫 번째 방법에서 사용하는 프로세스와 유사한 결과물을 얻을 수 있다. 물론 이 방법은 회사의 정보보호정책이 업무의 실질에 맞게 기술되어 있을 때에만 효과성을 담보할 수 있다. 세 번째 방법은 기존에 수행한 정보보호위험분석 결과 또는 개인정보영향평가 결과 등에서 도출된 ‘위험’ 리스트를 활용하는 것인데 위험지표의 식별을 위해서 좋은 방법이 될 수 있다.

 

핵심 지표의 선정

다음 단계는 지표 풀에서 핵심적인 지표를 도출하는 것이다.(KPI 또는 KRI의 첫 글자인 ‘Key’는 그냥 붙은 것이 아니다.) 이 작업은 정보보호 업무에 대한 성과와 보상을 위해서 공식적으로 인정되는 지표의 포트폴리오를 구성하는 것이다. 지표들은 흔히 생각하는 것처럼 많을수록 좋은 것이 결코 아니다.

지표를 측정하는데 들어가는 비용보다 측정함으로써 얻는 효용이 더 커야 하고 너무 많은 지표운영은 오히려 전체적인 균형을 잃고 핵심을 놓치게 되기 때문이다. 또 한편으로 최고 경영자 또는 중역의 입장에서 볼 때 수많은 정보보호 지표들 중에서 관심을 끄는 지표는 “연간 보안사고 발생률” 단 하나일 수 있다. 하지만 정보보호에 대한 최종성과만 강조할 경우, ‘단기적 사고’ 및 ‘부분 최적화’로 인해 잘못된 의사결정을 초래할 가능성이 커질 것이다.

핵심적인 지표를 찾기 위한 방법은 다양하게 존재하지만 그 중에 가장 대표적으로 사용되는 것은 ‘SMART’ 평가방법인데 경영지표의 평가에서 선거공약의 평가에 이르기까지 비교적 광범위하게 사용되는 기준이다.

 

지표측정을 위한 실행체계 구축

핵심지표의 도출까지 마쳤다면 성공적인 정보보호 측정체계 구축을 위한 과정의 절반 정도를 끝낸 것이다. 남은 절반은 지표측정을 위한 실행체계 구축이다. 정보보호 지표측정의 실행은 지표의 선정과정보다 일반적으로 더 많은 노력을 요구한다. 성공적인 측정 실행을 위한 고려사항으로는 누가 측정 할 것이며 얼마 동안의 주기로 측정하며 측정을 위한 데이터는 어디에 있고 어떻게 수집할 것이며 어떻게 검증할 것인가 등에 대한 검토가 있으며 이 항목들은 명확하게 정의되어 지표측정 절차 및 지표 정의서 등에 반영되어야 한다. 또한 지표의 목표수준에 대한 경영진 및 이해 당사자와의 합의가 필요하다.

더 나아가서 정보보호 지표측정체계 자체의 효과성을 검증할 다양한 방법을 고려 할 필요가 있는데 여기에 대한 좋은 참고모델 중 하나는 경영학 분야의 BSC(Balanced Score Card)이다. BSC는 기업의 최종적 재무성과를 달성하게 만드는 ‘원인’들을 4가지 관점(재무, 내부 프로세스, 고객, 학습 및 성장)의 측정지표로 관리함으로써 전략적 성장을 가능하게 한다는 성과관리 시스템이다.

BSC의 강점 중 하나는 ‘원인’들을 관리하는 지표들이 실제로 회사의 최종성과와 원인-결과의 관계가 있는지 통계적으로 검증하여 성과-보상체계 자체의 논리성을 강화시킨다는 것이다. 정보보호 지표 또한 최종적인 보안사고 발생에 영향을 미치는 수많은 ‘원인’들을 조직의 전략과 관련된 몇 가지 관점들로 정리하고 성과지표와 위험지표 간의 상관관계에 대한 통계적 검증을 통해서 지속적으로 지표의 포트폴리오를 업데이트 한다면 자체적인 논리성 및 당위성을 강화해 나갈 수 있을 것이다.

회사 정보보호수준 향상에 대한 객관적인 인정과 정보보호 업무 성과에 대한 충분한 보상, 이것은 모든 정보보호 담당자들의 바람일 것이다. 측정되는 것은 관리되고 관리되는 것은 개선된다. 그리고 물론 측정이 되는 사항은 경영자의 주의를 받게 마련이다.

당신이 오늘 엘리베이터 안에서 회사의 중역을 만나고 서두와 동일한 질문을 받는다면 당당하게 답변할 측정지표들을 가지고 있는가?

- SMART 평가 -

Specific 구체적이고 상세한가? 지표의 이름과 계산방법은 반드시 명확하고 구체적이어야 한다. ‘네트워크 공격 건수’라는 지표가 있다면 이 지표를 읽는 사람마다 다른 해석을 할 수 있을 것이다. ‘직원 인터넷망 IDS에서 탐지되는 ‘High’ 레벨의 네트워크 공격의 일간 발생 건수’처럼 지표의 이름만 보아도 모든 구성원들이 그 내용을 구체적으로 인지할 수 있어야 한다.

Measurable 실제적인 측정이 가능한가? 측정이 가능하다는 말은 조직의 업무 프로세스 과정에서 지표를 측정하기 위한 비용이 적게 들어가야 한다는 말이다. ‘회사직원의 보안정책 인식 수준’을 측정하기 위해서 매월 회사 보안정책에 대해서 묻는 질문항목을 개발하여 전 직원을 상대로 설문을 실시한 후 결과에 대한 정리 작업을 거쳐서 지표 값을 측정해 내는 데 1주일의 시간이 걸린다면 측정이 용이하다고 볼 수 없을 것이다.

Attainable 현재의 업무 역량으로 달성 가능한 수준인가? 이것은 지표의 목표수준 설정에 해당되는 내용이다. 개별 지표에는 반드시 목표수준을 정의해야 하는데 ‘PC 바이러스 치료에 성공한 비율’ 지표의 목표수준을 당연히 달성할 수 있는 80% 정도로 설정한다든가 ‘직원 1명당 월간 정보보호 교육 이수시간’ 지표의 목표수준을 10시간으로 설정하는 것은 적절하지 않다.

Relevant 회사의 비즈니스 목표 또는 IT목표와 연관성이 있는가? 똑 같은 지표라 하더라도 지표를 측정하고자 하는 목표에 따라서 어떤 회사에게 적합하지만 다른 회사에게는 매우 부적절한 지표일 수 있다. ‘개인 식별번호 내용이 포함된 이메일 발송 비율’과 같이 고객 개인정보보호 수준의 측정을 위한 지표는 온라인 서비스 업체에는 효과적일 수 있지만 반도체 설계전문 회사의 지표로는 적절하지 않을 것이다.

Timely 적절한 시점인가? 회사 정보보호 수준의 발전단계를 고려 할 때 이 시점에서 반드시 반영되어야 할 지표인지를 검토해야 한다.

이상의 5가지 평가항목으로 개별지표들에 점수를 부여하고 평가한다면 핵심적인 지표를 선정하는 것은 그리 어렵지 않을 것이다.

다만 지표선정 과정에서 주의할 점은 기계적으로 핵심지표를 평가하다 보면 전체 정보보호 영역에 대한 대표성이 결여되어 편향된 지표들이 선정 될 가능성이 존재한다. 이를 방지하기 위해서 정보보호의 각 영역 간(ISO 27001 또는 ISMS의 도메인이 좋을 것이다)의 균형 및 성과지표와 위험지표 간의 균형을 유지할 수 있는 범위를 정해 놓는 것이 좋을 것이다.

<글 : 김성수 시큐아이닷컴 컨설팅팀 컨설턴트(sukim.kim@samsung.com)>