서비스 중심 정보보안 관리 27001 매니저 활용

초록

본 논문은 전통적인 ISO/IEC 27001 기반의 기술 중심 보안 관리에서 벗어나, 서비스 주도 논리(LDS)와 활동 이론을 적용해 27001 Manager라는 아티팩트를 통해 고객‑공급자 간의 상호작용을 강화하고, 동적인 보안 서비스 제공 모델을 제시한다.

상세 요약

이 연구는 정보보안 관리가 단순히 표준에 맞춘 문서와 체크리스트를 제공하는 ‘제품’으로 전락하는 현상을 비판한다. 기존 접근법은 ISO/IEC 27001:2015의 통제목록을 그대로 적용해 기술적인 보고서와 정책 문서를 산출하지만, 이는 고객 조직의 변화에 따라 지속적으로 활용되기 어려운 정적 산물에 불과하다. 저자는 서비스 지배 논리(Service‑Dominant Logic, SDL)를 도입해 ‘가치’를 물리적 산출물이 아니라 고객과 공급자 사이의 상호작용, 지식 공유, 공동 문제 해결 과정에 두고 있다.

핵심 이론적 틀로 활동 이론(Activity Theory)을 선택한 이유는 보안 관리가 인간‑기술‑조직 간의 복합적 활동 시스템으로 이해돼야 함을 강조하기 위함이다. 활동 이론의 구성요소(주체, 도구, 대상, 규칙, 커뮤니티, 분할) 각각에 27001 Manager가 어떻게 매핑되는지를 분석함으로써, 이 아티팩트가 단순한 문서화 도구를 넘어 협업 촉진, 의사소통 조정, 지속적인 위험 재평가를 지원하는 ‘중재자’ 역할을 수행함을 보여준다.

구체적으로, 27001 Manager는 위험 식별, 통제 설계, 구현, 모니터링, 개선 단계 전반에 걸쳐 워크플로우와 템플릿을 제공한다. 그러나 가장 큰 차별점은 ‘서비스 계약’이라는 형태로 고객과 공급자가 목표와 기대치를 공동 정의하고, 진행 상황을 실시간으로 공유하며, 필요 시 즉각적인 조정을 가능하게 하는 메커니즘을 내장했다는 점이다. 이는 전통적인 ‘감사 후 보고’ 방식과 달리, 보안 관리가 지속적인 서비스 흐름으로 전환되는 것을 의미한다.

또한, 연구는 27001 Manager 도입 전후의 사례 연구를 통해 서비스 가치 창출 과정에서 발생하는 ‘모순’(contradictions)을 식별한다. 예를 들어, 기존의 규정‑중심 규칙과 새로운 협업‑중심 규칙 사이의 충돌, 조직 내 보안 담당자와 IT 운영팀 간 역할 분담의 모호성, 그리고 공급자의 표준화된 방법론과 고객의 맞춤형 요구 사이의 긴장이 그것이다. 이러한 모순을 활동 이론의 ‘변형’(expansive learning) 과정을 통해 해결함으로써, 보안 관리가 정적인 제품이 아니라 동적인 서비스 체계로 진화한다는 결론에 도달한다.

결과적으로, 27001 Manager는 물리적 산출물(문서, 체크리스트)보다 ‘지식 흐름’과 ‘관계 구축’에 초점을 맞춘 서비스 플랫폼으로 재해석될 수 있다. 이는 고객이 보안 관리 체계를 지속적으로 활용하고, 공급자는 가치 기반 계약을 통해 장기적인 파트너십을 유지하도록 만든다.