사이버 보안 정책은 한순간에 모든 것을 수립하고 실천될 수 있는 분야가 아니다. 사이버 위협으로부터 자산을 보호하고, 정보 보안을 강화하기 위해 체계적인 보안 정책을 수립하고 지속적으로 관리해야 한다.
디지털 전환이 가속화됨에 따라 사이버 보안 중요성이 더욱 강조되고 있는 상황에서 기업과 기관들은 효과적인 사이버 보안 정책 관리를 위해 다음 사항을 고려하고 살펴보는 게 중요하다.
먼저 보안 정책은 보안 정책 프레임워크 수립을 통해서 기관의 목표와 법적 요구사항을 반영해 체계적으로 구축돼야 한다. 국제 보안 표준을 준수하며 조직 비즈니스 환경과 정보기술(IT) 인프라에 맞춘 맞춤형 보안 정책을 개발하는 것이 중요하다. 이를 통해 보안 정책이 단순한 규정이 아닌, 실질적인 운영 가이드라인으로 작동할 수 있어야 한다. 이러한 보안 정책 프레임워크를 기반으로 보안정책 수립 및 유지관리 프로세스를 구성해야 한다.
다음으로 보안 정책은 지속적으로 검토되고 개선돼야 하는 것으로 정책 수립 시에는 정보 자산 식별과 위험 분석을 기반으로 명확한 목표를 설정하고, 내부 승인 절차를 거쳐 전사적으로 시행해야 한다.
또 변화하는 보안 위협과 법적 규제에 대응하기 위해 정기적인 정책 검토 및 업데이트를 수행해야 한다. 이러한 정책을 기반으로 정기적인 내부 감사와 모니터링이 필수적이다. 보안 정책 준수 여부를 점검하고, 위반 사항을 사전에 감지할 수 있도록 지속적인 감시 시스템을 운영해야 한다. 위반 사항에 대한 대응 프로세스를 마련함으로써 정책 준수 문화를 정착시켜야 한다.
이밖에 보안 정책 교육 및 인식 강화를 통해서 보안 정책을 이해하고 실천할 수 있도록 교육을 받아야 한다. 보안 정책의 실효성을 높이기 위해 기술적 조치 또한 병행해야 한다.
보안 사고는 언제든 발생할 수 있으므로 이에 대비한 정책을 명확하게 정의해야 한다. 사고 대응 계획을 수립하고 대응 능력을 향상시키는 것이 중요하다. 사이버 보안은 빠르게 변화하는 분야이므로 최신 보안 위협과 기술 동향을 지속적으로 분석하고 정책에 반영해야 한다.
이와 같은 사이버보안에 대한 중요한 내용은 최근 발표된 2025년도 국가·공공기관 사이버보안 실태 평가지표를 참고하면 된다.
이 해설서는 사이버보안 업무규정에 따라 중앙행정기관 등의 사이버공격·위협에 대한 예방·실태평가를 위해 필요한 평가항목 및 절차 등을 설명하고 있다. 국가정보원법 및 사이버안보 업무규정에 따라 중앙행정기관 등의 사이버공격·위협에 대한 예방·대응 실태평가를 위해 필요한 평가항목 및 절차등을 설명하고 있다.
2024년과 2025년 변화된 주요내용을 살펴보면 권고적인 사항을 보다 구체적으로 명시하고 있다. 보안진단 후 발견된 취약점에 대한 제거조치를 완료하고 조치 내용과 결과를 존안해야 한다로 규정하고 있다.
이처럼 사이버 보안 정책은 단순한 업무가 아니다. 이를 효과적으로 관리하기 위해서는 2025년도 국가·공공기관 사이버보안 실태 평가지표를 기반으로 정책수립, 유지관리, 감사등 전방위적인 접근이 필요하다. 체계적인 보안 정책 관리를 통해 조직의 사이버 보안 수준을 향상시키고 지속 가능한 보안 체계를 구축해야 할 것이다.
허창용 한국금융정보산업협동조합 이사장 kfiic@kfiic.com
