[특집] 보안 실무자가 말하는 정보보호컨설팅 활용법

안정적인 보안인프라 구축에 정보보호컨설팅 활용

대우증권은 최근 내부정보유출과 DDoS와 같은 대외적인 보안이슈 대응에 주력하고 있다. 특히 최근 내부적으로 진행한 사내 보안캠페인은 좋은 성과를 얻었다. 그리고 내부 보안교육 강화와 보안 프로그램을 PC에 설치하면서 바이러스 발생률과 모니터링 수준이 크게 강화됐다.

시스템 인프라구축에서 정보보호컨설팅의 역할은?

차세대 프로젝트와 같이 대형 프로젝트는 여러 가지 세부적인 프로젝트가 병행되기 때문에 구축이 진행되면서 보이지 않는 작은 문제점은 놓칠 수도 있다. 하지만 정보보호컨설팅을 통해 이런 문제점을 파악해 보다 체계적으로 구축을 진행할 수 있다. 

효율적인 정보보호컨설팅을 위해 준비해야 할 것은?

일단 컨설팅의 목적이 제일 뚜렷해야한다. 컨설팅을 받으면 그만큼 효과가 나야하기 때문이다. 사실 담당자들이 내부사정은 제일 잘 알고 있다. 그럼에도 불구하고 컨설팅업체를 통해 컨설팅을 받는 이유는 놓치고 있는 또 다른 문제점이나 현재 진행하고 있는 보안정책과 시스템이 제대로 되고 있는지 등을 파악하기 위해서다.

큰 프로젝트가 컨설팅을 통해 구축되면 오랫동안 사용하는 경우가 많기 때문에 한 번에 기본적인 인프라가 충실하게 구축되도록 가닥을 잡아야한다. 특히 중점적으로 강화해야할 부분을 강조하고 안 보이는 문제점을 찾기에 주력해야한다. 이는 컨설턴트들에게 현 상황을 제대로 파악하도록 숨김없이 내보이는 것이 중요하다. 따라서 미리 부족한 부분이나 강조해야할 부분 또한 내보이기 어려운 문제점까지 미리 파악 해놓는 것이 좋다.

정보보호컨설팅 업체 선정시 기준은?

일단 관련 업계에 대한 컨설팅 경험을 중요하게 본다. 특히 금융업계는 신뢰성을 가장 높이 요구하고 있다. 일단 컨설팅이 시작되면 알몸을 다 보여준다는 각오에서 시작하기 때문에 보안의 중요성이 특히 요구되는 금융업계는 내부 보안정보가 새나가지 않는 것을 중시한다. 따라서 이런 금융업계의 특성을 알고 보안을 철저히 지켜줄 수 있는 신뢰할 수 있는 업체를 선정하게 된다.

컨설팅 업체들의 컨설팅수행 만족도는?

일단은 대부분 컨설팅이 초기목적을 달성하기 때문에 어느 정도는 만족한다. 대부분의 컨설팅이 원하는 수준까지 달성되지 않으면 결론이 나지 않기 때문. 따라서 대부분 컨설팅 프로젝트는 정해진 시간 내에 완료 된다. 하지만 컨설팅 업체 중 두드러진 업체가 없다는 것은 문제점이라고 볼 수 있다. 대부분 정보보호컨설팅은 기술적으로 접근하는 경우가 많은 것 같다. 하지만 기술뿐만 아니라 정책과 서비스가 동반돼야하기 때문에 이런 부분에서는 좀 더 강화돼야 할 필요가 있을 것 같다. 또한 실무자들은 여러 가지 주어진 업무가 많아 기술적인 스킬을 배울 수 있는 시간이 부족하다. 따라서 기술적인 부분이 뛰어난 컨설턴트들에게는 기술적인 스킬을 배울 수 있으면 좋겠지만 컨설팅 이후 리포팅 결과에 따른 교육이 부족한 편이다.

안정적인 인프라구축에 있어 컨설팅 활용방안은?

컨설팅에서 얻을 수 있는 이점은 기준을 설정할 수 있다는 점을 들 수 있다. 일단 정책은 담당자들이 세우지만, 세운 정책에 따라 시스템들이 제대로 운영되고 있는지는 내부적으로 봐서는 알 수 없는 경우가 많다. 하지만 컨설팅을 통하면 결과물을 기준으로 정책이나 시스템이 제대로 되고 있는지 파악할 수 있다.

<글 : 오병민 기자(boan4@boannews.com)>

정보보호컨설팅의 목표와 대상 범위 명확해야

네이트닷컴과 싸이월드 등을 운영하는 SK커뮤니케이션즈(대표 주형철, 이하 SK컴즈)는 지난 1월 5일 영국표준협회(BSI)로부터 ISO27001 인증을 받았다고 밝혔다. SK컴즈의 ISO27001 인증은 전사 고객 정보보호 및 대내외 서비스를 위한 정보보호 관리체계 전 부문에 걸쳐 진행됐다. SK컴즈는 ISO27001 인증 획득에 있어 보안컨설팅을 효율적으로 활용했다. SK컴즈는 지난해 7월부터 외부 정보보호컨설팅을 받았다. 외부기관의 컨설팅 결과를 바탕으로 회사의 보안정책 재정비 및 보안 위험 평가를 다시 진행해 전사 보안체계를 강화한 것. 이를 통해 체계적인 보안 정책을 확립했으며 인증 획득 기간도 최대한 단축할 수 있었다. 이에 송재훈 SK컴즈 보안문화추진팀 차장을 만나 ISO27001 인증에 대비한 효율적인 보안컨설팅 활용에 대해 들어봤다.

보안컨설팅을 효율적으로 받기 위해서 가장 중요한 것은?

보안 담당자는 자기 회사의 전체 보안에 대한 한 장의 Big Picture(큰 그림)와 Story(그림에 대한 이야기)를 떠올리고 있어야 한다. 먼저 정보보호컨설팅을 받기에 앞서 컨설팅의 목표와 대상, 범위가 명확해야하기 때문에 머릿속에 그림을 제대로 그리고 있어야 한다. 보안 담당자들은 답을 머릿속에 그리고 컨설팅을 받아야한다는 뜻이기도 하다. 담당자들의 머릿속에 그림이 있어야 컨설턴트와의 조율을 쉽게 할 수 있다. 보통 담당자들은 머릿속에 대략적인 그림을 그려놓긴 한다. 그러나 이를 외부 전문가를 통해 검증하고 경영진들에게 이야기 할 수 있을 정도가 되려면 그림에 대한 Story도 필요하다. 그렇지 않으면 여러 갈래의 선택에서 시간이 지연될 수밖에 없기 때문이다. 따라서 효율적인 컨설팅은 컨설팅업체와 컨설턴트의 역량도 중요하지만 보안 담당자의 역량도 중요하다.

컨설팅업체 선정은 어떤 기준으로 하는가? 

일단은 이 분야에 대해 경험이 많은 회사의 리스트를 추려본다. 또한 각 회사별로 컨설팅에 투입될 프로젝트 매니저와 컨설턴트의 역량과 경험에 대해서 충분히 검증해봐야 한다. 대부분 컨설팅업체 선정시 컨설팅업체들은 컨설턴트들의 프로필을 제공하는데 이를 제대로 확인해볼 필요가 있다. 회사와 사람에 따라 그 역량 차이가 엄청나기 때문이다.  

컨설팅을 받기 전에 미리 준비해야 할 것은 없나?

일단은 필요한 서류를 미리 준비해 놓아두는 것이 좋다. SK컴즈의 경우 ISO27001 인증에 대한 컨설팅을 받기 위해 보안 담당자들이 미리 모여 인증과 관련된 회사에 대한 자료를 충분히 준비했다. 준비한 자료는 인증관련 문서, 현재 회사의 현황과 정책에 대한 문서와 정보보호 관련 법규, 시스템 구조도와 서버목록, 처리 프로세서, 네트워크 연동 등이었다.

또한 컨설턴트가 프로젝트와 우리 회사에 대해 이해하기 쉬운 문서를 준비하는데 주력해야한다.

기업마다 문화가 다르기 때문에 자기회사의 기업문화를 컨설턴트에게 쉽게 이해시키기 위한 여러 가지 사전 준비도 필요하다. 컨설턴트들이 가장 시간을 많이 소요되는 부분이 컨설팅 받을 대상에 대한 이해이기 때문에 가장 중요한 준비 중에 하나라고 할 수 있다.

이와 더불어 또 한 가지 중요한 것은 컨설턴트에게 컨설팅으로 어떤 산출물을 도출하고 싶은지 명확하게 이해시킬 필요가 있다. 이에 대한 자료를 미리 준비한다면 컨설팅이 원활하고 효율적으로 진행할 수 있을 것으로 보인다. 보통 컨설턴트들은 컨설팅에 앞서 인터뷰를 통해 기업의 현황과 프로젝트에 대해 파악을 하기 때문에 사전에 이런 준비가 돼있다면 인터뷰에서도 이해시키기 쉬워진다.

컨설팅 진행시 주의사항이 있다면?

대부분의 기업들은 비용이나 컨설팅 시에 투입되는 인적문제 등으로 컨설팅을 자주 받을 수는 없을 것으로 보인다. 따라서 한 번의 컨설팅에서 최적의 효과를 얻어내는데 주력해야한다. 따라서 컨설팅시 요구사항에 대해서도 명확해야할 필요가 있다. 대부분의 컨설턴트들은 컨설팅을 규정된 부분에서만 하길 원한다. 따라서 요구가 없다면 컨설턴트들이 다른 회사에서 늘 하던 프로세스대로 진행하고 끝낸다. 일단 컨설턴트들에게 회사의 문화와 프로젝트에 대해 인식을 시켰다면 컨설팅 과정중이라도 요구사항을 명확하게 전달할 필요가 있다.

그 다음은 컨설팅 효과가 나타나도록 조직에서도 변화에 대한 준비가 미리 돼 있어야한다. 이는 경영층의 의지가 중요하다. ISO27001의 경우 보안시스템 뿐만 아니라 보안정책이나 문화까지 포함돼 있기 때문에 전사적인 변화가 요구된다. 컨설팅 결과에 따라 여러 부서에도 변화가 뒤따라야하다면 이를 자발적으로 실현시킬 수 있도록 노력하여야 하며 특히 경영진의 의지가 있어야만 이러한 기업의 변화를 만들 수 있다.

산출물을 받은 후 담당자의 역할은?

보통 컨설팅은 3개월에서 6개월로 진행된다. 산출물을 통해 여러 방법을 제시받았을 때 세부방안들이 담당자가 감당할 수 있는 능력과 수준인지 검토해야 한다. 컨설팅을 해줘도 산출물을 담당자가 이해하지 못한다면 무용지물이 될 수 있다. 결국 컨설팅을 받아도 일은 담당자가 하기 때문이다.

컨설팅 효과를 극대화시키기 위한 방안은?

일단 컨설팅에서 나타나는 효과는 컨설팅이 끝난 다음에도 계획을 얼마나 성실히 이행을 하느냐에 달렸다. 사실 컨설턴트들 중에는 실무를 많이 접해보지 않은 경우도 많다. 따라서 가끔은 컨설팅이 기술적인 차원에서 끝나는 경우가 많다. 하지만 기술적인 부분에서 끝난다면 컨설팅의 의미가 퇴색될 수도 있다. 또한 컨설팅에서 나온 결과를 기업의 문화와 적용해야한다. 이를 위해 먼저 회사의 임원진들에 대해 알기 쉽게 프리젠테이션을 전개하여 관심을 유도하는 것도 좋은 방법이다. 대부분의 조직에서는 담당자 외에는 보안의 중요성을 파악하지 못하는 사례가 많기 때문에 컨설팅이 좋은 기회가 될 수 있다.

컨설팅 후 개선된 사항은?

개선된 상황은 보안정책과 지침에 많은 영향을 미쳤다. 일단 컨설팅 전의 보안지침은 현업과 충분한 이야기가 안 돼 조율하는 것 쉽지만은 않은 상황이었다. 특히 보안자체가 보안담당자와 기술자만의 영역에 머물고 있었지만 ISO27001 인증은 전사적인 보안을 요구하고 있었기 때문에 현업과의 프로세스 조율이 필요했다. 하지만 컨설턴트라는 제3자가 객관적인 조율을 진행하기 때문에 자체적으로 하는 것보다 다른 부서의 마찰을 줄일 수 있었다.

<글 : 오병민 기자(boan4@boannews.com)>

조직문화를 이해해야 효과적인 정보보호컨설팅이 가능하다

3,800만 고객을 보유하고 있는 한국의 대표적인 포털사 다음커뮤니케이션은 중공업이나 제조업 등, 일반 기업들과는 사뭇 다른 조직문화를 가지고 있다. 명령 하달방식의 조직문화라기 보다는 서로 소통하고 대화하고 협의점을 도출해 내면서 결과물을 만들어내는 문화라 할 수 있다. 따라서 사내 보안문화도 강력한 카리스마나 권력을 이용해 밀어붙인다고 해서 통하는 문화가 아니라는 것. 그래서 보안팀이 힘겹기도 하지만 제대로 합의만 이루어지면 자율적으로 사내 보안이 이루어질 수 있는 조직이기도 하다.

보안컨설팅, 조직문화를 이해하라

박나룡 다음커뮤니케이션 개인정보보호팀 과장은 “회사마다 기업 문화가 다르기 때문에 그에 맞게 보안정책을 만드는 것이 중요하다”며 “보안컨설팅을 받을 때도 컨설턴트들이 기업문화를 이해하지 못하면 전혀 엉뚱한 결과물이 나올 수 있다. 따라서 보안담당자와 컨설턴트간의 커뮤니케이션이 상당히 중요하다”고 강조했다.

보안컨설팅을 받기 위해서는 여러 가지 절차가 필요하다. 우선 보안팀 내부의 합의가 이루어져야 하고 보안팀의 C레벨 설득과 동의 작업이 필요하다. 그래야만 적절한 예산을 확보할 수 있다. 다음은 보안컨설팅 업체를 선정해야 하고 업체가 선정되면 짧으면 3개월 길면 1년까지 보안컨설팅 수행작업이 이루어진다. 그리고 컨설턴트의 최종 리포트가 완료되면 컨설팅 수행은 종료된다.

컨설팅의 업무 범위를 명확히 하라

그렇다면 효과적인 보안컨설팅을 받기 위해서는 어떤 준비들이 필요할까. 최소 몇 천만 원에서 몇 억대의 예산이 투입되는 보안컨설팅은 그 효과를 극대화해서 최대한의 효과를 도출해 내는 것이 무엇보다 중요하다. 이에 박 과장은 “아이러니하지만 보안컨설팅으로 모든 것을 해결하려는 욕심은 버려야 한다”고 조언했다. 보안컨설팅은 제한된 시간과 비용에 의해 진행되기 때문에 너무 많은 욕심을 내다보면 컨설턴트도 감당할 수 없고 보안담당자도 감당할 수 없게 된다는 것이다. 즉 업무 범위를 명확하게 하라는 말이다. 이번 보안컨설팅을 통해 우리가 원하는 것이 무엇인지를 명확하게 정한 후에 보안컨설팅을 받아야 효과적인 컨설팅이 이루어질 수 있다는 조언이다.

그리고 상호간 오해의 소지가 없도록 명확하게 계약서 작성이 이루어져야 한다는 점이다. 계약서에 업무 범위를 세부적으로 정해 컨설턴트가 해야 할 일이 무엇인지를 정확하게 전달하는 것도 중요하다고 한다.

박 과장은 “한정된 시간 안에 모든 것을 내놓으라고 강요하는 것은 무리다. 보안컨설팅의 범위와 목적을 명확히 하는 것이 무엇보다 중요하다”고 강조했다. 또한 컨설턴트가 컨설팅 과정에서 알게 된 사내 보안 취약점 등 여러 기밀사항들에 대한 외부유출시 보상책임을 묻겠다는 조항도 명시해야 한다고 한다. 보안을 위해 투자한 컨설팅이 자칫 기업의 취약한 부분을 외부에 노출시키는 결과가 될 수 있기 때문에 이 부분을 계약서에 꼭 포함시키라는 것.

컨설턴트와 보안담당자간 ‘상호 신뢰’ 필요

또 하나 중요한 부분은 바로 컨설턴트와 보안담당자간 상호 신뢰성 구축이다. 박 과장은 “컨설팅도 결국 사람(컨설턴트)과 사람(보안담당자)이 하는 일이다”라며 “상호 신뢰가 중요하다. 신뢰를 쌓기 위해서는 커뮤니케이션을 자주해야 한다”고 강조했다. 보안컨설턴트에게 모든 것을 일임하고 보안담당자는 자기 업무만 한다면 어떻게 될까. 그렇게 되면 기업 문화와 전혀 어울리지 않는 결과물이 나오게 된다는 것이다.

보안담당자가 지속적으로 컨설턴트와 대화를 하고 최적의 방법을 상호 모색하는 가운데 훌륭한 결과물이 도출된다. 한편 박 과장은 “그렇다고 보안담당자가 너무 자기 주장만을 강요하는 것도 옳지 않다”고도 덧붙였다.

또한 보안컨설턴트와의 관계를 갑과 을의 관계로 생각하면 좋은 결과물이 나오기 힘들다는 점도 지적했다. 갑·을 관계라기보다는 업계 동료이자 동반자라는 인식을 가지고 같이 일해야 한다는 것이다. 박 과장은 “갑·을 관계 속에서 일을 하다 보면 창의적인 결과물이 나오기 힘들다”며 “도식적이고 위축된 결과보다는 좀 더 새로운 결과물을 기대한다면 상호신뢰와 동료의식이 필수적”이라고 말했다. 즉 갑·을관계 속에서 일하는 것은 장기적으로 좋지 않으며 컨설턴트의 역량발휘도 어렵다는 것이다.

보안담당자, 보안외에 다양한 분야 지식 필요

또 보안담당자는 컨설팅을 받기 위해서 많은 공부를 해야 한다. 컨설팅은 장기적으로 회사의 큰 그림을 그리기 위한 작업이기 때문에 보안담당자는 보안을 물론, 회사 내부의 회계, 환경, 안전, 사회적 책임, 법적 문제 등등 다양한 분야에 대해 공부를 해야 한다. 이 모든 것을 충분히 이해하지 못한 보안담당자가 정보보호컨설팅을 받는다면 효과적인 정보보호컨설팅이 이루어질 수 없다는 것이다.

신규업체 선정, 새로운 보안 취약점 발견에 도움

박 과장은 “안전진단과 같은 보안컨설팅을 받을 때는 신규업체에 기회를 주는 것도 생각해 볼만 하다”며 “업체를 교체하면서 몰랐던 취약점을 찾아 낼 수도 있고 국내·외 최신 트랜드 및 동향파악에도 많은 도움이 된다”고 말했다. 즉 매번 같은 회사에서 보안성진단 컨설팅을 받기 보다는 가끔 새로운 업체를 통해 새로운 정보를 얻을 수 있다는 점을 강조했다. 업체 선정은 어떻게 이루어질까. 대부분 기업이 그렇듯, 다음도 컨설팅업체의 RFP(Request

for Proposal)를 많이 본다. 어떤 기업의 컨설팅을 수행했는지, 투입되는 인력들은 어떤지, 그리고 실제 컨설팅을 받았던 업체에 전화를 해 만족도를 확인한 후 업체를 결정하게 된다.

컨설팅 업체에 바라는 점도 있을 것이다. 박 과장은 “컨설팅 업체마다 자신들만의 표준화된 형식에서 산출물을 작성하려는 경향이 있다”며 “보안컨설팅을 받는 담당자 입장에서는 보다 새로운 접근방식과 참신한 결과물이 나오기를 희망한다. 이러한 부분을 만족시켜 주기 위해 컨설팅 업체의 노력이 필요하다”고 덧붙였다. 또 컨설팅 업체에서 컨설턴트에 대한 교육에도 힘써야 한다는 것. 세상과 트랜드는 급속하게 변하고 있는데 계속 반복되는 업무 속에서 컨설턴트의 역량과 트랜드 따라잡기가 뒤쳐진다면 효과적인 컨설팅을 기대하기란 힘들 것이기 때문이다.

<글 : 길민권 기자(reporter21@boannews.com)> 

[월간 정보보호21c 통권 제104호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>