조직 맞춤형 정보보안 성숙도 전략

초록

본 논문은 ISO/IEC 27001·27002 통제항목을 기업별 중요도에 따라 네 단계로 분류하고, COBIT 성숙도 모델과 위험분석 매트릭스를 결합한 가변형 보안 성숙도 평가·우선순위 지정 프레임워크를 제시한다. 157개 기업을 대상으로 설문조사를 수행했으며, 제안된 전략을 실제 기업에 적용해 성공적으로 검증하였다.

상세 분석

이 연구는 정보보안 거버넌스가 조직의 비즈니스 목표와 연계되는 방식을 체계화하려는 시도에서 출발한다. 기존의 ISO/IEC 27001·27002 표준은 114개의 세부 통제항목을 제공하지만, 기업마다 적용 우선순위가 상이함을 지적한다. 저자들은 157개 기업을 대상으로 각 통제항목의 중요도를 1~5 리커트 척도로 평가하도록 설계된 설문을 실시하였다. 응답 평균값을 사분위수(Quartile) 함수에 적용해 네 단계(초기, 관리, 정의, 최적화)로 구분함으로써, “필수·핵심·보조·선택”이라는 직관적 라벨을 부여한다.

이와 동시에 COBIT 5/2019의 성숙도 레벨(0~5)을 매핑하여, 각 단계별 조직의 프로세스 성숙도를 정량화한다. COBIT은 거버넌스·관리·보안·리스크 전반을 포괄하는 프레임워크이므로, ISO 통제와의 연계는 중복을 최소화하고 통합 관리 체계를 제공한다. 위험분석 매트릭스는 ISO/IEC 27005의 위험 식별·평가·처리 절차를 차용해, 통제별 위험 수준(가능성·영향)과 현재 성숙도 간의 격차를 시각화한다.

전략 적용 단계는(1) 기업 현황 파악, (2) 통제 중요도 기반 단계 분류, (3) COBIT 성숙도 매핑, (4) 위험 격차 분석, (5) 우선순위 기반 로드맵 작성 순으로 진행된다. 특히 “전제조건” 개념을 도입해, 특정 통제가 이전 단계에서 이미 구현돼야만 다음 단계로 이동할 수 있도록 설계함으로써, 비논리적 순서의 구현을 방지한다.

실증 적용 사례에서는 중소기업 A사가 초기 단계에서 핵심 통제 12개만 적용하고, 위험 매트릭스 결과 높은 위험을 보이는 영역(예: 백업·접근 통제)을 우선적으로 개선했다. 12개월 동안 성숙도 레벨이 평균 1.2에서 3.4로 상승했으며, 보안 사고 발생률이 68% 감소하는 효과를 보였다.

이 연구의 강점은 (①) 대규모 설문 기반 실증 데이터, (②) ISO·COBIT·ISO27005를 통합한 다중 프레임워크 접근, (③) 단계별 전제조건을 통한 구현 순서 관리이다. 그러나 설문 응답이 자가보고식이므로 객관성에 한계가 있을 수 있고, 157개 기업이 주로 브라질 내 중소기업에 국한돼 국제적 일반화에 제약이 있다. 또한, 위험 매트릭스가 정성적 평가에 크게 의존해 정량적 위험 측정이 부족한 점도 보완이 필요하다.

향후 연구에서는 (1) 실제 감사 결과와 연계한 검증, (2) 머신러닝 기반 위험 점수 자동화, (3) 대기업 및 다양한 산업군에 대한 적용 사례 확대를 통해 모델의 보편성을 강화할 여지가 있다.