최근 미국 보스턴에서 개최된 컨퍼런스에서 오늘날 기업들의 정보보안 정책에 관한 날카로운 비판이 제기돼 많은 관심을 모았다.

지난 25, 26일 양일간 미국 보스턴 하인즈 컨벤션 센터(Hynes Convention Center)에서 진행된 시큐어월드 엑스포(Secureworld Expo)에 첫날 기조연설자로 나선 찰스 C. 우드(Charles Cresson Wood)가 “조직들이 정보보안 정책을 정상화하고 리스크를 제거해야만 한다”고 강조했다고 외신들이 앞 다퉈 보도했다.

이번 컨퍼런스 참관객으로부터 가장 많은 관심을 받은 우드는 현재 컨설팅 업체 인포시큐리티 인프라스트럭처(InfoSecurity Infrastructure Inc.)의 컨설턴트이자 뱅크오브어메리카(Bank of America)의 수석 네트워크 보안 컨설턴트로 활동하고 있으며 특히 1979년부터 정보보안 분야에 종사해온 이 분야 최고의 전문가라 할 수 있다.

이번 컨퍼런스에서 ‘정보보호 정책의 위험성(The Criticality of Information Security Policies)’이라는 주제로 기조연설을 한 그는 “기업 보안 정책의  초점이 모호하며 전체 비즈니스 목표에 방해가 된다. 그 결과 보안 규칙이 뒤죽박죽이 돼 엔드유저들은 곧잘 이를 무시하고 있으며 궁극적으로 데이터 유출의 위험이 증가한다”고 말했다.

또한 “너무 많은 업체들이 보안 정책을 종이에 갖고 있을 뿐 실제로 이를 준수하기 위한 적절한 시스템은 갖고 있지 않다”고 말한 그는 “기업들에게 필요한 것은 정보보호 정책의 기본으로 돌아가는 것”이라며 “그 핵심은 엔드유저의 인식과 트레이닝과 더불어 IT 부서가 보안 정책에 충실한지를 확인하는 것”이라고 말했다. 또한 “문서를 작성하고 유지하는 것만으로는 충분하지 않다”며 “안전한 정책이란 시간이 흐르면서 규제 요건사항, 기업 전략 변화, 리스크 평가에 맞춰 조정하며 연마되는 것”이라고 설명했다.

아울러 오늘날의 보안 정책의 또 다른 문제점으로 기업들이 종종 너무 많은 정책을 갖고 있다는 점을 꼽으며 “상당부분을 제거해 단순화하고 초점을 맞출 필요가 있다”고 말했다. 그는 조직 내 정보보호 정책에 관한 관리자들의 역할 등을 설명하는 한편 참관객들에게 비즈니스 요구에 좀 더 부합할 수 있도록 전반적인 기업 보안 정책을 재검토해 단순화하고 초점을 맞출 것을 촉구했다.

한편, 그는 투자자들이 데이터 침해로 이어지는 실수들을 추적할 수 있어야 한다며 ‘비행기의 블랙박스’와 같은 장치의 필요성에 대해 언급하기도 했다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>