티스토리 뷰

사이렌24 사이렌24 블로그 2020. 1. 30. 14:50

2020년 1월 2일부터
금융보안원의 「금융보안 거버넌스 가이드」 개정안이 시행됐습니다.
금융권의 IT・보안 인력 및 예산 산정이

더욱 효율적으로 이루어질 수 있도록 마련된 권고 기준이에요.
이 대목에서 궁금해집니다.
‘금융보안’은 대략적이나마 그 의미를 알 것 같은데,

대체 ‘거버넌스’라는 용어는 무엇을 뜻하는 거죠?

 

경영학을 공부한 분들이라면 거버넌스(governance)라는 말을 한 번이라도 들어보셨을 것 같습니다. ‘기업 거버넌스’ 같은 용어도 그리 낯설지 않으실 듯한데요. 요즘은 경영 분야뿐 아니라 IT 및 보안 영역에서도 ‘거버넌스’라는 말이 흔히 쓰입니다. 앞서 언급한 ‘금융보안 거버넌스’를 비롯하여 ‘정보 보안(보호) 거버넌스’, ‘IT 거버넌스’ 등이 대표적이지요.

 

ㅣ '거버넌스' 하면 떠올릴 키워드 두 개! ‘프로세스’와 ‘축구’

 

 

영단어 governance의 사전적 의미는 ‘통치’, ‘지배’, ‘관리’입니다. 그래서 ‘corporate governance’라 함은 ‘기업 지배 구조’를 의미하고요. 하지만 이번 시간에 이야기할 거버넌스는 다소 다른 맥락의 용어입니다. 통치자 1인 혹은 통치기관 1곳에 의한 지배를 ‘단독플레이’라 한다면, 거버넌스는 ‘팀플레이’입니다. 그래서 거버넌스는 ‘협치’로 번역되기도 하지요.

 

유엔 아시아 태평양 경제 사회 위원회(United Nation The Economic and Social Commission for Asia and the Pacific, UN ESCAP)는 2009년 홈페이지에 배포한 「좋은 거버넌스란 무엇인가(What is Good Governance?)」란 글에서 거버넌스를 이렇게 정의했습니다.

 

 

거버넌스를 간단히 정의하자면, 의사 결정 과정이자 결정된 사항이 이행되는(혹은 이행되지 않는) 과정이다. [Simply put "governance" means: the process of decision-making and the process by which decisions are implemented (or not implemented).]


*인용 출처: UN ESCAP 홈페이지(https://tinyurl.com/so2sc79)


밑줄 친 부분이 바로 거버넌스의 핵심입니다. 한 사람 또는 한 기관의 ‘명령(order)’이 아니라, 여러 관계자들 간의 소통 ‘과정(process)’으로써 의사 결정이 이루어지는 체계, 그것이 바로 거버넌스입니다.

 

이번엔 좀 더 쉽고 명쾌한 설명을 인용해볼게요. <스토리가 스펙을 이긴다>의 저자이자 유엔 거버너스센터(United Nations Project Office on Governance, UNPOG) 커뮤니케이션 팀장을 지낸 김정태 작가의 글입니다.

 

예전에는 정부(government)만이 모든 문제의 해결을 책임졌지만, 문제의 다극화, 복잡화를 거치면서 정부의 역량만으로는 공공문제 해결이 거의 불가능해졌다. 기업, 시민사회, 국제기구 등 또 다른 책임 주체의 의사결정 및 의사결정 집행 참여가 요구되는 것이다.

(중략)


축구선수 11명 누구나 대표선수인 것처럼, 거버넌스 원칙이 적용되는 프로젝트에 참여하는 누구나 스스로 주인의식을 갖게 된다.
그리고 그 주인의식은 개개인의 숨겨진 잠재력이 100% 이상 발휘되도록 하는 마법과 같다. 단, 이러한 거버넌스를 실현하기 위해서는 '조향자(steering role)를 맡은 초기 리더의 역할이 중요하다.


*인용 출처: 김정태, 「거버넌스란 무엇일까?」, 개인 블로그 ‘소셜이노베이터 the UN Today.com’, 2010(https://untoday.tistory.com/264)

 

 

요컨대 거버넌스란 축구와 같은 팀플레이라는 것, 그리고 축구처럼 ‘주장(팀 리더)’을 필요로 하다는 것입니다.

 

 


ㅣ‘정보 보안'에서의 거버넌스는?

 

위 단락에선 거버넌스를 이해하기 위한 두 가지 키워드를 살펴보았습니다. ‘프로세스’와 ‘축구’였죠. 정보 보안 거버넌스(information security governance)에서도 이 두 개의 키워드를 기억하시면 돼요.

 

 

[그림 1] 기업 거버넌스 / IT 거버넌스 / 정보 보안 거버넌스의 구조

※ 이미지 출처: researchgate.net(https://tinyurl.com/wdyeyb6 아래 출처 동일)

 

 

[그림 1]과 같이, 정보 보안 거버넌스는 IT 거버넌스와 더불어 기업 거버넌스를 구성합니다. 말이 좀 어렵죠? 쉽게 풀어 얘기하면 이렇습니다. IT 부서와 정보 보안 부서가 팀플레이를 하고(=협업하고), 이들의 팀플레이는 주장(=팀 리더, 경영인)에 의해 관리·감독 된다는 것이지요. 여기서 핵심은 이러한 팀플레이 및 관리·감독이 일정한 프로세스에 따라 반복적으로 지속해야 한다는 점입니다.

 

 

[그림 2] 정보 보안 거버넌스의 프레임워크

 

[그림 2]는 정보 보안 거버넌스가 어떻게 이루어지는지 도식화한 표예요. 정보 보안 부서(information security management)는 모니터링(Monitor) 및 평가(Evaluate) 자료를 경영진(Stakeholders)에게 보고(Report)합니다. 경영진의 피드백을 반영한 업무 지시(Direct)가 내려오고, 이를 바탕으로 모니터링-평가-보고 절차가 반복됩니다. 감사관(Auditor)은 이 모든 과정을 두루 감독(Oversee)하고요.

 

김정태 작가의 글을 다시 인용해보겠습니다. “축구선수 11명 누구나 대표선수인 것처럼, 거버넌스 원칙이 적용되는 프로젝트에 참여하는 누구나 스스로 주인의식을 갖게 된다.”라는 부분요. 그렇습니다. 정보 보안 거버넌스란, 정보 보안 인력뿐 아니라 경영진 및 외부 감사관 모두가 정보 보안이라는 한 경기에 ‘주전 선수’로 투입되는 방식이죠.

 

정보 보안 관련 업무니까 정보 보안 인력이 모든 책임을 진다? 아니죠. 거버넌스 체계에선 모두가 정보 보안 업무의 주체입니다. 따라서 책임 또한 한 부서/사람에게만 독박(?)을 쓰게 할 수 없죠. 긍정적이든 부정적이든, 어떤 결과에 대한 책임은 부서/사람 같은 특정 요소가 아니라 ‘프로세스’ 자체에 있는 겁니다.

 

 

따라서, 만약 정보 보안 거버넌스 제도하에서 보안 이슈가 발생했다? 그럼, 본질적 솔루션은 (부서/사람을 문책하는 게 아니라) 프로세스의 재정립이 되는 것이에요. “거버넌스를 실현하기 위해서는 '조향자(steering role)를 맡은 초기 리더의 역할이 중요하다.”라는 김정태 작가의 설명 또한 축구 경기와 같아요. 몇몇 선수에게 패배의 책임 소재를 따져 묻는 게 아니라, 감독 스스로 패인을 분석하고 ‘경기 전술’을 다시 짜는 것 처럼요.

 

지금까지 ‘거버넌스’의 개념이 무엇인지, ‘정보 보안 거버넌스’는 어떻게 운용되는 것인지 알아보았습니다. 만약 이 글이 불충분하게 느껴졌거나, 좀 더 공부해보고 싶은 분은 <정보보호 전문가를 위한 개인정보 보안 매뉴얼>(조희준·이준화·이정구, 인포더북스, 2017)라는 책을 추천해드립니다. 제1장 ‘개인정보보호 거버넌스’를 일독하신다면 좋을 것 같아요!

 

 

 

 

 

댓글을 달아 주세요