kRMF

내가 나의 책 전략적 해커(Strategic Hacker)에서도 밝혔지만 미국의 『국가 정보 분류 체계』와 『 내부자 위협 관리 체계』를 보다 보면 참 많은 생각들이 들게 한다. 

 

무엇보다 기본이 얼마나 중요한지를 다시금 되새기게 한다. 

 

내가 S전자에 있으면서 이러이러한 것을 해야 합니다!, 라고 이야기 하면 

개념도 좋고 다 좋은데 너무 이상적이야, 그건 불가능해, 라는 식의 답만 되돌아 오곤 했다. 

 

최근 기회가 닿아 이틀간 교육받았던 kRMF를 보면서 미국의 Original RMF를 보다보니 또 한번 그 생각이 들었다. 

 

연방정부 차원에서 최첨단 기술을 도입해 효율적으로 일하고, 자국내 빅테크 기업을 양성하겠다는 뜻을 품고 전자정부보호법을 만들고, 2002년부터 NIST에게 관련 표준을 만들게 해왔으니 무려 20년이 넘게 이러한 고민들을 체계적으로 그리고 지속적으로 해왔으니 말이다. 

 

이를 충족하기 위해서 결과적으로 수십, 수백, 수천가지의 요구사항과 Checklist를 바탕으로 충족시켜 나가야하는데 그 어마어마한 숫자만으로 압도되어 우리는 또 '이건 불가능해! 그냥 좀 대충하자~'라고 할 것인가? 

 

물론 각 조직의 특성과 환경을 고려하여 적절한 수준에서 수행해야 하는 것은 자명하다. 다만, 그 Base에 이렇게 어느 정도 동일한 기준선을 깔아놓고 그 위에 차곡차곡 블럭을 하나씩 쌓아가는 모습은 가히 존경스럽기까지 하다. 

 

과연 kRMF는 잘 정착할 것인가?