hanbit-security-guide-01

이 리뷰는 한빛미디어 <나는 리뷰어다=""> 활동을 위해서 책을 제공받아 작성된 서평입니다.

기업에서 서비스를 하면서 가장 중요하면서도 효율적인 이유 때문에 간과하는 부분중에 하나가 정보보안적인 요소이다. 물론 최근에는 시큐어 코딩을 주로 다루고 있고 많은 서비스에서 보안을 중요하게 여기면서 조금은 달라졌을 지도 모른다. 이 책에서는 이런 보안적인 요소를 한국의 법에 맞게 해석하고 행동해야 하는지 다루고 있다.

특히나 최근에 작성자의 경우 회사에서 ISMS 인증을 받으면서 이것저것 수행했던 것들이 하나의 책으로 요약되어 있는 것 같아서 신기하기도 했다. 컨설팅을 받기 전에 이 책을 한번 훝어봤으면 컨설팅시에 많은 시너지를 낼 수 있었을 것 같았다.

책 자체는 이전에 읽었던 핸즈온 실습이 아니라 실제로 기업에서 어떻게 정보보호 조직을 꾸려야 하는지, 정보보호를 위한 인프라는 어떤 식으로 구축해야 하는지, 정보보호 법은 어떤 것들이 존재하는지, 위기관리나 이에대한 대응은 어떤 식으로 처리해야 하는지에 대해 실무적이면서도 이론적인 부분에 대해서 알려준다. 즉, 직접적인 실습은 없지만 실제로 정보보호 조직을 만들고 정보보호 시스템을 구축함에 있어서 어떤 방식으로 해야 하는지에 대해서 설명해 주는 책이다.

첫 장에서는 모든 정보보호 조직의 기초인 CISO 의 임명과 책임에 대한 이야기를 하고 있다. 그러면서 CPO 와 비교하면서 그 외에 다른 보안관련 책임자들에 대해서 이야기해준다. 그 이후에는 정보보호 거버넌스에 대해서 이야기하며 정보보호 팀은 어떻게 꾸려야 하며, 정보보호를 위해 다른 팀과는 어떤 역할을 나눠가져야하는지에 대해서 이야기해주면서 이러한 정보보호 체계가 없을 시 어떤 손해를 볼 수 있는지에 대해서 설명해준다.

개인적으로 가장 흥미로웠던 장은 다음장인 관리체계와 중요자산 보호 챕터였는데 아무래도 개발자(정보보호담당자)로써 실제로 수행하는 일이고 정보보호 체계를 위해 이것저것 솔루션을 알아보고 구축하고 했었던 일이였기 때문이다. 즉, 이 챕터에서는 정보보호를 위해 어떤 문화를 만들어야 하는지, 어떤 정보보호 시스템을 구축해야 하는지 등에 대해서 설명한다.

다음 챕터는 위기관리인데 정보보호 업무를 하면 모의실습 훈련등을 하고, 실제로 위기시에 어떻게 대응해야 하는지를 알려준다. 즉, 위기시에는 어떤 프로세스를 진행해야 하는지, 어떤 프로세스를 정립해야 하는지에 대해서 설명해준다. 이 다음 챕터도 나름 흥미로웠는데 정보보안에 대한 법률에 대해서 나열해주고 실제 사례를 예시로 들면서 어떻게 법을 지켜야 하는지 설명해준다. 마지막 챕터는 간단하게 역량에 대해서 설명하는 부분이다.

이 책의 가장 큰 특징이라면 실무자가 아니더라도 쉽게 책을 읽어나갈 수 있다는 점에 있다. 그리고 한국 정보보안에 맞게 쓰여져 있기 때문에 실제로 정보보호 팀을 꾸려야 하는 조직이라면 한번쯤 읽어보는 것도 좋을 듯 싶다.