“침해 전제한 사이버 보안 설계가 필요하다”

또 “정보보호에 대한 투자 권한과 책임을 C레벨에서 명확히 해야 보안 리스크를 실질적인 경영 리스크로 다룰 수 있다”고 강조했다.

이와 함께 ‘제로 트러스트’ 보안 전략의 필요성을 재차 강조했다.

염 교수는 “HSS 서버는 ISMS-P 인증 범위에 포함되지 않아 사각지대로 남았지만, 그렇다고 ISMS 자체가 무용하다고 볼 순 없다”며 “ISMS는 기업이 스스로 위협을 식별하고 대응 체계를 운영·점검·개선하는 구조를 갖추는 데 목적이 있으며 이 틀조차 없다면 기업은 사실상 아무런 보안 조치도 하지 않게 된다”고 말했다.