| 코비엘로 RSA CEO "보안산업 에코시스템 이뤄야“ | 2008.11.11 | ||
해커들도 하는데...정부-기업-정보보호업체, 유기적인 협력 필요
▲ 아서 W. 코비엘로 RSA CEO ⓒ한국EMC 그는 IDC자료를 인용해 “2001년도 정보보호 예산은 전체 IT예산의 1.5%인 150억 달러였으며, 2006년에는 3%인 350억불, 2009년에는 5%로 550억불 넘을 것으로 예측되고 있지만 실제 정보보호 담당자들에게 예전보다 보안에서의 문제가 많이 해결 됐느냐는 질문에는 난색을 표한다”고 말하고 “그 이유는 정부와 기업, 정보보호업체들 간에 관계가 유기적으로 이뤄지지 않고 보안문제 발생 시에만 상호적으로 이뤄지고 있다”고 지적했다. 현재 기업의 CEO나 CIO는 독자적으로 컴플라이언스 문제를 처리할 수 없어 상당부분을 정보보호 쪽에 신경써야하지만, 정보보호 분야는 효과적이지 않고 효율적이지도 않다는 인식이 팽배한 상황. 그는 그 이유에 대해 “아직도 구시대적인 방법으로 정보보호를 진행하고 있다. 가령 주변방어에 급급하고 있으며, 위협이 발생했을 때만 사후적으로 방어하는 것이 기존의 정보보호 방법이었다”면서 “앞으로는 보안의 리스크가 사업 목표에 포함돼 운영돼야 할 상황에 놓였다”고 말했다. 따라서 보안문제가 발생하기 전에 정부의 규제를 바탕으로 업체 간의 표준화 그리고 기업들의 특성에 맞는 도입이 유기적으로 이뤄져야 한다고 주장했다. 특히 그는 “해커들의 경우, 해킹개발자들이 어택디자인을 개발해 거래하고, 해커가 이를 사서 개인정보를 훔쳐 온라인 시장에 팔고, 범법자가 이를 사서 사기행위를 하곤한다. 게다가 돈세탁도 이뤄져 돈을 추적할 수 없게 한다”면서 “해커들이나 범법자들도 에코시스템을 구성해 이행하고 있어 보안시장에서도 에코시스템을 만들 필요가 있다”고 강조했다. 따라서 그는 “정보보호에 대해서 정보중심적이고 지식기반적 접근방식이 필요하고 이는 사회공학적인 기법이 이용돼야 한다”고 주장하면서 “정보보호 담당자도 단지 보안측면에서의 접근 보다는 업무적인 관점에서 더욱 가까이 가는 것이 중요하며 기업의 CEO나 CIO는 정보보호와 업무를 분리하지 말고 항상 가까이 붙여놓는 것이 중요하다”고 조언했다. 기업에서의 인식변화와 더불어 정부와 정보보호업체의 역할의 중요성도 강조했다. 코비엘로 CEO는 “정부당국에서 기업규제 담당자는 정보시큐리티의 효율성과 효과에 강력한 영향을 행사할 수 있는 사람들이다. 정부의 규제 당국자에 대한 조언은, 디테일한 처방에 초점보다 여기에서 나타날 결과에 초점을 맞춰야한다"면서 ”128비트 키 등의 디테일한 기술적인 규제에 초점이 아니고 베스트프랙티스에 초점을 맞춰야한다. 개인정보의 경우 허술하게 다룬다면 노출된다면 책임을 져야하고 여기에 대한 벌과금을 징수해 효과를 얻었다는 경험도 이에 속한다“고 설명했다. 또한 정보보호 업체에 대해서는 “현재 보안시스템은 정보보호라기 보다는 정보에 접근을 막는 등 주변 환경에 집중되고 있는데, 주변적인 방어시스템은 앞으로 나올 새로운 보안위협에 신속하게 반응하지 못한다”면서 “이런 방식보다는 실제 사람들의 행동 사회공학적인 부분에 접근을 해야 한다. 그리고 이를 위한 에코시스템 구축을 위해서는 업계간 경쟁보다는 베스트프랙티스에 대한 연구가 필요하고 이를 통한 표준화가 요구되고 있다”고 역설했다. [오병민 기자(boan4@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
