IT 보안 대 정보 보안 - 차이점은 무엇입니까?

CONTENT

• IT 보안 vs. 정보 보안
• 정보 보안의 보호 목표
• 정의에 따른 IT 보안
• 정보 보안 = IT 보안 + α
• 법적 관점에서의 IT 보안: 독일 사례
• ISO 27001 – 정보 보안을 위한 표준
• 우리가 생각하는 것보다 더 아날로그적인 정보 보안
• IT 보안 vs. 정보 보안 – 결론
• 당사가 제공하는 서비스 내용 

IT 보안 vs. 정보 보안

정보 보안은 단순한 IT 보안을 넘어서는 개념입니다. 이는 조직 전체를 대상으로 합니다. 기밀 정보의 보호는 전자 시스템에서 처리되는 데이터에만 국한되지 않기 때문입니다.

정보 보안은 종이와 같은 아날로그 매체에 저장된 정보까지 포함하여, 보호가 필요한 모든 기업 자산을 포괄합니다.

정보 보안의 보호 목표

정보 보안의 핵심 보호 목표인 기밀성(Confidentiality), 가용성(Availability), 무결성(Integrity)은 디지털 환경뿐 아니라 아날로그 환경에도 동일하게 적용됩니다. 예를 들어, 중요한 계약 문서를 담은 우편물이 기한 내에 안전하고 훼손 없이 수신자에게 전달되어야 하는 것 역시 이러한 보호 목표에 해당합니다.

또한, 기밀 정보가 포함된 문서가 아무도 없는 책상 위에 방치되어 있거나, 복사기에 출력된 채로 누구나 접근 가능한 상태로 놓여 있는 경우 역시 정보 보안 관점에서 관리되어야 할 대상입니다.

이처럼 정보 보안은 IT 보안보다 훨씬 넓은 범위를 포괄합니다. 반면 IT 보안은 IT 시스템 내에서 처리·저장되는 정보의 보호에 초점을 맞춘 개념입니다.

정의에 따른 IT 보안

공식 기관에서는 IT 보안을 다음과 같이 정의합니다. IT 보안이란 정보기술 사용 과정에서 발생할 수 있는 위협과 취약성으로 인한 위험을 적절한 조치를 통해 허용 가능한 수준으로 낮춘 상태를 의미합니다.

즉, 정보와 정보기술의 기밀성, 무결성, 가용성이 적절한 보호 조치를 통해 보장된 상태를 말합니다.

이는 German Federal Office for Information Security(독일 연방 정보보안청, BSI)의 정의에 기반합니다.

정보 보안 = IT 보안 + α

실무에서는 종종 “정보 보안 = IT 보안 + 개인정보보호”라는 간단한 공식으로 설명되기도 합니다. 특히 유럽의 GDPR과 같은 규제에서는 개인정보 보호를 위해 안전한 IT 환경뿐 아니라 물리적 접근을 차단하는 보안 체계(예: 건물 보안)까지 요구합니다.

그러나 이러한 접근만으로는 충분하지 않습니다. 개인정보와 직접적으로 관련되지 않은 아날로그 정보—예를 들어 기업의 설계 도면과 같은 자료—는 이 공식에서 간과되기 쉽기 때문입니다.

정보 보안은 단순한 IT 영역을 넘어서는 보다 근본적인 개념으로, 항상 IT 보안을 포함하면서도 그 이상의 범위를 포괄합니다. 다시 말해, IT 보안 내에서 수행되는 기술적·관리적 조치들 역시 궁극적으로는 정보 보안의 관점에서 이루어집니다. 예를 들어 다음과 같은 활동들이 이에 해당합니다:

• 하드웨어 전원 공급의 안정성 확보
• 장비 과열 방지 조치
• 바이러스 검사 및 안전한 프로그램 운영
• 폴더 구조 및 데이터 관리 체계 정립
• 방화벽 구축 및 지속적인 업데이트\
• 임직원 보안 교육 등

결국 컴퓨터와 IT 시스템 자체는 정보가 존재하지 않는다면 보호할 필요가 없습니다. 정보의 생성, 처리, 전달이 존재하기 때문에 비로소 하드웨어와 소프트웨어의 보안이 의미를 갖게 됩니다.

법적 관점에서의 IT 보안: 독일 사례

독일의 IT 보안 법제는 ‘CRITIS’를 중심으로 구성되어 있습니다. 이는 전력, 가스, 수도, 교통, 금융, 식품, 보건 등 다양한 산업 분야의 핵심 인프라를 대상으로 합니다.

이 법의 핵심 목적은 사이버 범죄로부터 IT 인프라를 보호하여 시스템의 가용성과 안정성을 유지하는 데 있습니다. 특히 오늘날 디지털로 제어되는 원격 제어 시스템(telecontrol systems)의 보호가 중요한 과제로 강조되고 있습니다.

주요 보호 목표는 다음과 같습니다:

• IT 보안 리스크 식별 및 고려
• IT 보안 개념(보안 체계) 수립
• 비상 대응 계획 수립
• 전반적인 보안 조치 이행
• 인터넷 보안 통제
• 암호화 기술 적용 등
  
  이처럼 법적 요구사항은 IT 시스템 자체의 보호에 중점을 두고 있으며, 이는 정보 보안의 일부 영역을 구성합니다.

ISO 27001 – 정보 보안을 위한 국제 표준

그렇다면 ISO 27001은 무엇을 의미할까요?
ISO 27001은 정보보호 관리체계(ISMS)를 위한 전 세계적으로 인정받는 표준입니다.

이와 함께 다음과 같은 확장 표준들이 존재합니다:

• ISO 27017 (클라우드 서비스 보안)
• ISO 27019 (에너지 산업 분야 정보 보안)
• ISO 27701 (개인정보 보호 관리)

이들 표준은 조직이 정보 보안을 체계적으로 관리하고, 다양한 환경과 산업 요구사항에 맞춰 보안 수준을 강화할 수 있도록 지원합니다.

이 중요한 표준의 명칭에서도 알 수 있듯이, IT 보안은 오늘날 정보 보안에서 매우 중요한 역할을 하며 앞으로 그 중요성은 더욱 커질 것입니다.

그러나 ISO 27001에서 제시하는 요구사항은 단순히 디지털 IT 시스템에만 국한되지 않습니다. 오히려, 보다 폭넓은 관점에서 접근합니다:

원칙적으로, 해당 정보가 아날로그 방식으로 처리되든 디지털 방식으로 처리되든 구분하지 않으며, 동일한 기준으로 보호되어야 합니다.

성공적으로 구축된 정보보호 관리체계(ISMS)는 전사적이고 통합적인 보안 전략을 지원합니다. 이는 조직적 통제, 보안 인식을 반영한 인적 관리, 운영 중인 IT 인프라의 보안, 그리고 관련 법적 요구사항의 준수를 모두 포함합니다.

우리가 생각하는 것보다 더 아날로그적인 정보 보안

ISO 27001의 요구사항은 원칙적으로 완전히 아날로그 환경에도 동일하게 적용될 수 있으며, 전면적인 디지털 환경에 적용했을 때와 동일한 수준의 보안 체계를 구축할 수 있습니다. 실제로 해당 표준의 부속서 A(Annex A)에서야 비로소 재택근무나 모바일 기기와 같은 디지털 관련 용어가 등장합니다.

그러나 이 부속서에 포함된 통제 항목들 역시, 모든 조직 내에는 여전히 고려해야 할 아날로그 프로세스와 상황이 존재함을 보여줍니다.

예를 들어, 공공장소에서 스마트폰으로 민감한 내용을 큰 소리로 통화하는 경우를 생각해 볼 수 있습니다. 이는 디지털 통신 수단을 사용하고 있지만, 실제 문제는 아날로그적인 행동에서 발생합니다. 또한, 책상 위에 문서를 방치하는 경우에는 최소한 사무실을 잠가 기밀성을 유지해야 합니다. 이러한 기본적인 보안 조치들은 여전히 매우 효과적이며, 대부분 수작업으로 이루어지고 있습니다.

IT 보안 vs. 정보 보안 – 결론

IT 보안과 정보 보안은 아직 동일한 개념으로 사용될 수 없습니다. IT 보안은 정보 보안의 한 구성 요소이며, 정보 보안은 여기에 더해 아날로그 환경의 사실, 프로세스, 커뮤니케이션까지 포괄합니다.

다만 디지털화가 지속적으로 확대됨에 따라 두 개념 간의 경계는 점차 좁아지고 있으며, 장기적으로는 그 차이가 점점 더 작아질 것으로 예상됩니다.

당사가 제공하는 서비스

DQS는 경영 시스템 및 프로세스에 대한 심사와 인증을 전문으로 하는 기관입니다.

35년 이상의 경험과 전 세계 2,500명 이상의 심사원 네트워크를 기반으로, 정보 보안과 데이터 보호 전반에 걸쳐 신뢰할 수 있는 인증 파트너로서 고객을 지원합니다.

DQS 심사원은 다양한 산업과 규모의 조직에서 축적한 풍부한 실무 경험을 바탕으로 차별화된 가치를 제공합니다. 이러한 폭넓은 경험은 귀사의 비즈니스 환경과 조직 문화를 깊이 있게 이해하는 기반이 됩니다.

특히 DQS의 선임 심사원은 단순한 평가자가 아니라, 실제로 정보보호 관리체계(ISMS)를 구축·운영·개선해온 전문가입니다. 현장에서의 현실적인 과제와 요구사항을 정확히 이해하고, 실질적인 인사이트를 제공합니다.

DQS와 함께라면, 단순한 인증을 넘어 실질적인 보안 경쟁력을 확보할 수 있습니다.
지금 바로 상담을 통해 귀사의 가능성을 확인해 보십시오.