• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

고객입장에서 생각하고 움직여야 성과 거둘 수 있다 2009.04.26

정보보호체계 강화 프로젝트 수행시 보안 담당자의 역할

 

보안을 강화해야 하는 시대적인 이슈와 내부 사용자들의 불편함을 최소화 하면서 투자에 대한 효과성의 극대화를 하기 위해서는 어떻게 해야 할 것인가? 지난 십수 년간 시스템, 네트워크 인프라 구축 등 매년 각종 IT 프로젝트를 책임지고 추진하면서 경험했던, 특히 정보보호체계 강화 프로젝트를 추진하면서 겪었던 고민들을 해결해 온 과정을 설명하면서 사업을 수행하는 담당자의 역할과 사업자의 자세들에 대해 이야기해보고자 한다.


최근 각종 언론을 통해 사회적인 문제로 대두되어 가고 있는 각종 해킹사고의 발생으로 인해 공공기관뿐만 아니라 민간 기업들까지도 정보보호에 대한 관심과 투자가 증가되고 있는  추세다. 이렇게 보안에 대한 관심과 투자가 증가됨과 동시에 따라오는 문제가 있는데, 바로 보안강화로 인한 사용자의 불편과 민원의 발생, 투자대비 효과에 대한 경영자들의 의구심의 증대로 인한 보안담당자들과 사업자의 책임론의 대두 등이 그것이다.

다른 IT 프로젝트도 마찬가지겠지만 정보보호체계 강화 프로젝트 추진에 있어서 가장 중요한 것은 “고객의 입장에서 생각하기”다. 사업자는 당연히 사업을 발주한 기관의 내부 사용자들이 고객이 될 것이며 사업을 추진하고 있는 담당자도 마찬가지여야 한다.

하지만 지금까지 프로젝트를 추진하면서 느꼈던 바는 사업자는 보안제품의 기능에만 종속되어 프로젝트를 추진한다는 것이며 필자 역시 보안업무를 맡은 초기에는 이를 그냥 받아들여 내부 사용자들에게 이해만을 바라는 경우가 대부분이었다.

일례로 스파이웨어 등의 악성코드 감염 예방 및 치료를 위한 제품을 도입하여 이를 중앙에서 통제 및 관리하는 체계 구축을 위한 프로젝트를 추진하였을 시 동제품의 특성을 고려하지 않고 전수예약검사를 적용함으로 인해 적용 초기, 업무처리시간 중 PC 속도 저하 등의 문제가 발생되었고, 이에 대한 직원들로부터 문제제기가 되었을 때에도 악성코드의 위험성에 대해서만 계속 주장하여 1만 여명의 직원들의 불편을 초래하였던 적이 있었다.

계속된 직원들의 문제제기로 현장실사를 통해 PC내 보관된 파일의 수가 많거나 압축파일이 존재시 1시간 이상의 검사시간이 걸리는 문제가 발생되는 것을 확인하게 되었고, 예약검사 방식의 전환을 통해 이를 해결한 경우가 있었다.

이 부분에서 문제가 되었던 것은 검사시간이 최대 15~20분 정도라는 사업자의 말을 단순히 믿고 내부 환경에 대한 검증을 충분히 하지 않은 상태에서 전사 적용을 하였다는 것이다. 이처럼 보안제품은 타 기관에서 적용 검증된 제품이라고 하더라도 도입하는 기관의 내부 환경에 따라 또 다른 결과를 가져온다는 것을 간과하였다는 점이다.

이렇듯 보안제품의 도입·적용은 담당자와 사업자의 내부 고객에 대한 고려가 부족할 시 큰 문제를 유발시킬 수 있음으로 보안프로젝트 추진 시에는 반드시 고객에게 불편을 초래할 수 있는 부분에 대한 사전검증과 확인을 충분히 한 후 적용하여야 할 것이다.

 

내부 고객에 대한 고려 부족이 문제 일으켜

개인정보보호를 위한 DRM과 매체통제 시스템 구축 프로젝트를 추진하면서 내부 고객들에 대한 불편함을 최소화 하면서 투자의 목적도 달성하게 된 사례를 살펴보고자 한다.

개인정보 유출사고 예방을 전제로 도입되는 두 가지 제품은 도입 당시 몇 가지 문제를 안고 있었는데, 이는 사용자 PC에 Agent가 설치 운영되는 보안제품들이 공통적으로 가지고 있는 문제점으로 이에 대해 어떻게 접근하고 해결하였는지를 보도록 하겠다.

첫 번째로 내부 사용자들에 대한 이해를 돕기 위한 설명회를 실시하고 동제품들이 적용되고나면 바뀌게 되는 업무처리 형태에 대해 홍보자료를 작성 전 직원들이 공유토록 하며 동제품에 대한 이해가 어느 정도 전파된 시점에서 각 업무별 내부 사용자와의 인터뷰를 실시하고 그 의견을 수렴했다.

두 번째는 수렴된 의견과 보안규정에 맞는 정책방향을 설정하고 사업자와 제품에 대한 커스터마이징 가능 여부와 불가능시 그 대안을 수립 하고 이를 다시 각 업무별 내부 사용자와의 검토회의를 거쳐 동 제품에 대한 구성방안을 확정했다.

세 번째로는 동제품 구현후 부서의 규모 등 여러 가지 내부환경을 고려한 테스트 환경을 구성 검증하고, 이를 또 현장의 샘플링 사용자를 선정하여 한 차례 더 검증을 거친 후 전사적인 적용을 했다.

이러한 절차를 통해 내부 사용자의 PC에 발생될 수 있는 성능저하 문제와 타 DRM 제품과의 충돌 등을 해소하고 사용상의 불편을 최소화하기 위해 기존 제품의 문제점이던 관리자 수의 제한과 사용 신청 및 승인이 전화나 방문 등을 통해 이루어지던 것을 SSO 시스템과 연동을 통해 사용자의 신분이 확인 된 상태에서 본인이 직접 자신이 소속된 부서(전국 약230여 곳)의 보안담당자에게 온라인으로 신청하고 이를 관리자에게 실시간 통보하여 승인 받아 사용할 수 있도록 구현했다.

상기와 같이 의견을 수렴하고 구성방안을 확정하기까지 걸린 시간은 2주 정도로, 생각보다 많은 시간이 소요되지 않았고 적용초기 다소의 불편사항은 발생하였지만 내부 사용자들의 불만과 동 제품으로 인한 업무처리에 문제가 발생되지 않도록 할 수 있었다.

이러한 과정들이 모두 원활하게 이루어진 것만이 아닌 것도 사실이다. 보안업무를 담당하는 사람들이라면 다들 공감하는 부분이라고 생각하는데, 보안제품을 제조한 회사에서 항상 입버릇처럼 하는 말이 있다. 바로 “자사의 제품은 패키지 제품이기 때문에 요구하시는 기능을 구현 해 줄 수 없습니다”라는 말이다.

이 부분에서 보안담당자로서 많은 고민과 어려움을 겪게 되는데, 이를 해결하기 위해 본 필자가 사업자에게 항상 하는 말이 있다. 바로 “왜?”이다.

사업자에게 단순히 “왜 못하느냐. 만들어 내라”라고 하는 게 아니라 “내가 생각 할 때는 이러한 방법으로 이렇게 하면 될 것 같은데 내가 제시한 여러 가지 방법들을 검토하여 가능한지 여부를 제시해 달라”고 사업자로부터 해결방안을 찾아오도록 하였고 대부분의 사업자는 이를 수용 최종적인 답을 가져왔다.

물론 혼자서 모든 것을 다 알지는 못하기 때문에 내부의 동료들과 방법론에 대한 고민을 하고 이를 통해 만들어진 방안을 사업자에게 제시했었다.

이 사례뿐만 아니라 인터넷 사용통제 시스템 DB 접근통제 시스템 등 각종 보안제품을 도입 시에도 사용자에 대한 이해도 제고와 의견수렴, 이를 통한 사업자와의 의견조율, 몇 차례에 걸친 검증 작업과 현장 테스트 등을 통해 보안업무를 처음 시작할 당시의 실수와 같이 보안제품 도입으로 인한 사용자의 불편이나 불만을 없앨 수 있었고 목적하는 보안성 강화도 이룰 수 있었다.

이러한 경험을 토대로 필자가 말하고 싶은 바는 일반적인 SI사업도 마찬가지이겠지만 정보보호체계 강화를 위해 추진하는 프로젝트에서 특히 신경 써야 할 것이 바로 “고객의 입장에서 생각하고 움직여야 한다”는 것이다.

 

고객의 입장에서 생각하라

현재까지 국내에 나와 있는 각종 보안제품들은 모두 각각의 개성과 좋은 기능을 가지고 있지만 보안제품의 특성상 그 제품이 적용되는 기관 내부의 환경들을 이해하고 기존 운영중인 각종 보안제품들과의 연계를 이룰 수 있어야만 진정 성공한 프로젝트가 될 수 있다.

그러나 대부분의 보안제품 제조사는 자사의 제품만을 이해하고 그 기능을 적용함으로 인해 고객들은 비용을 지불하고 보안제품을 도입하고도 그 목적하는 바를 100% 이루지 못하고 고객 내부 사용자의 불편만을 초래하게 되는 것을 주변에서 많이 목격하고 있는 것이 지금의 현실인 것이다.

물론 사업자만의 문제는 아니라고 생각한다. 해당 제품을 도입하는 기관의 담당자가 충분한 이해와 목표를 가지고 이를 제시하여 주어야 하지 않느냐 하는 부분도 있을 것이다. 이렇듯 정보보호체계 강화 프로젝트는 사업을 발주하는 기관의 담당자와 내부 사용자, 고객과 사업자 모두가 도입하고자 하는 보안제품에 대한 이해와 목표를 명확히 할 수 있어야만 그 프로젝트가 성공적으로 마무리 될 수 있을 것이라 생각한다.

이제 필자가 생각하는 정보보보호체계 강화 프로젝트의 성공적인 완수를 위해서 필요한 담당자의 역할과 사업자의 자세를 정리해 보도록 하겠다.

사업을 발주하는 기관의 담당자는 도입하려고 하는 보안제품이 자신의 기관에 어떤 영향을 주게 될지에 대한 조사를 철저히 하고 이를 사업자에게 제시할 수 있어야 한다. 또한 보안제품의 도입시 내부 사용자들에게 충분한 이해를 구하고 이를 토대로 의견을 수렴 이를 가능한 반영토록 하여야 한다. 특히 보안제품은 보안업무담당자 혼자서 사용하는 것이 아닌 것이 대부분이기 때문에 관련 업무담당자들과의 협력체계를 반드시 구축 한 후 사업을 추진하여야 한다.

보안제품 도입 후에는 항상 적용된 제품으로 인해 발생될 수 있는 위험성을 인정하고 상시적인 모니터링을 통해 문제점을 사업자와 함께 지속적인 보완을 할 수 있는 체계를 구현해 두어야 한다.

한편 사업을 수행하는 사업자는 고객이 목적하는 바에 대한 충분한 이해를 바탕으로 사업에 임해야 한다. 이는 단순히 제안요청서상의 내용만을 이야기 하는 것이 아니라 제안하는 보안제품에 대한 특성을 명확히 인지한 상태에서 고객의 내부에 적용시 이로 인해 발생할 수 있는 문제점까지도 인지 한 상태에서 사업을 수행하여야 한다.

또한 보안제품들의 특성상 고객의 불편을 초래할 수 있는 부분이 무엇인지를 기사용중인 기관들의 벤치마킹과 담당자 인터뷰 등의 여러 방법들을 통해 충분히 숙지하고 이를 고객에게 전달하여 명확한 의사결정 후 사업을 수행해야 한다.

만약 고객의 보안업무담당자가 충분한 인식을 하지 못하고 있다면 고객의 시스템, 네트워크 등 관련 업무담당자와의 인터뷰를 통해서라도 기사용중인 IT 인프라 환경을 숙지 후 사업을 수행하여야 한다.

 

사용자 입장에서의 고민 필요

아울러 보안제품을 내부 환경에 적용할 때는 정형화된 절차(현황조사-목표설정-설정된 목표에 대한 고객의 결정-위험요소 제거를 위한 충분한 검증-충분한 현장 샘플링 테스트-구축 후 문제 발생에 대한 대응체계)와 체크리스트를 만들고 항상 알지 못 하는 위험이 있다는 전제하에 모든 문제에 적극 대응할 수 있는 체계를 구성하여 사업에 임해야 한다.

끝으로 모든 보안업무에 종사하는 사람들이 이구동성으로 외치는 “보안에는 100%란 없다”란 말이 있는데 이 말은 보안을 알고 있는 사람들의 이야기 일 뿐이라는 것이다. 즉, 관리자들이나 일반 사용자들은 항상 “왜 보안제품을 도입하면 불편함만 생기고 제품 도입으로 인한 효과는 도대체 보이지 않는가?”라고만 이야기하고 있다는 것이다.

이러한 의구심을 해소해주는 것이 보안제품을 만드는 회사와 구축을 담당하는 사업자, 보안업무를 담당하는 우리 보안담당자들이 반드시 풀어야 할 숙제일 것이다. 이러한 숙제를 풀기 위해서는 언제나 사용자들 입장에서 보다 편리하면서도 각종 보안위협으로부터 안전하게 기관의 정보시스템을 지킬 수 있도록 고민하면서 보안업무에 임해야 할 것이다.

<글 : 황상구 국민건강보험공단 정보관리실 대리(dreamisland@naver.com)> 


[월간 정보보호21c 통권 제104호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>