최상의 스케줄을 정하고 지속적으로 관리하라

이제 본격적인 훈련에 들어갈 시기다. 목표도 정해졌고 전담 트레이너도 옆에 있다. 이제는 최상의 훈련 스케줄대로 훈련을 진행하고 근육량을 늘리기 위해 조금씩 수준을 업그레이드 시켜 나가는 것이 중요하다. 보안 목표가 정해졌고 보안전담 인력이 구성됐다면 이제 정보보안을 구체적으로 실행할 단계다. 중도 포기는 금물이다. 

Ⅰ. 어느 부위가 취약한지 점검하라

초기 보안목표가 설정된 후에는 ISO27001, ISMS 등 실태점검 통해 보안 사이클의 Best Practice를 가지고 주기적인 점검을 해야 한다. 그래야 무엇이 잘됐고 잘못됐는지 알 수가 있다. Best Practice의 경우 조직이 가져야 할 보안 정책과 조직, 자산, 인원, 보안사고 등나타난 점검 결과를 가지고 더 부족한 부분은 보완하고 추가해야 더욱 견고한 보안을 구축할 수 있다. 이는 기업의 규모에 따라 크게 달라진다. 대기업은 외부 컨설팅을 통해서 정확히 판단해야 하고 중소기업 등은 정부의 지원을 받아 비용 부담없이 취약점 진단과 컨설팅을 통해 보안을 강화할 수 있다. 이렇게 보안 취약성 진단을 받으면 대부분 많은 취약점과 보완해야할 부분들이 나오게 마련이다.

Ⅱ. 욕심은 금물… 단계별로 진행하라

그렇지만 수많은 취약점과 보완해야할 것들을 모두 다 한번에 해결할 수는 없다. 따라서 이들 중에서 가장 우선적으로 추진해야 할 것들을 정해야 한다. 우선 순위를 선택하는 기준은 개인정보보호와 같이 긴급하게 해야 하는 시급성, 암호화 같이 곧 바로 적용이 가능한 적용성, 그리고 별도의 예산 추가 없이 간단하게 바로 할 수 있는 긴급성 등을 따져서 기업의 보안담당자와 컨설턴트가 충분한 의견 교환을 통해서 우선적으로 추진해야 할 것들을 단계별로 추진하면 된다.

또 꼭 해야 할 것들 중에서 중요한 것들은 단기, 중기, 장기로 나누어서 진행할 수도 있다. 단기는 컴플라이언스에서 적용이 되는 갑자기 해야 하는 것들이고 중기는 인사이동 등 복잡한 조직의 인프라나 대형 의사 결정이 필요한 것들이다. 또 장기는 시급하지는 않지만 예산이나 기간이 많이 필요한 것들로 자사에 맞게 정하면 된다. 그리고 보안 인식제고를 위한 교육과 변화관리 등은 지속적으로 해야 한다.

보안 수준이라는 것은 조직의 변동과 인프라의 변화 등 그 기업의 환경 변화에 따라 변하기 때문에 자체적인 보안 진단과 외부적 보안 진단을 지속적으로 해나가야 한다. 예를 들면 기업들은 홈페이지 개편시 새로운 인프라일 경우 주기적으로 보안 점검이 필요하다. 보안성 검토를 통해서 점검과 감사를 진행해야 하는데 보통 기업들은 기간별로 주기적인 보안 점검을 한다. 하지만 기업의 입장에서 가장 중요한 것은 보안의 목적을 알아야 하고 어떻게 무엇을 해야 하는지 또 자체의 기술력이나 충분한 인프라를 가지고 있는가를 점검해서 부족한 부분을 보완해 나가야 한다.

Ⅲ. 트레이너의 조언에 귀 기울여라

그렇다면 외부 보안 전문가의 컨설팅(트레이너)이 왜 중요한가? 기업 자체적인 점검은 주기적으로 하되 1년에 1회 정도는 외부 전문기관에 의뢰해서 Best Practice를 가지고 기준을 정해서 그 기준에 어느 정도 가까운지 평가해보는 것이 필요하다. 이는 자체적인 보안 점검을 했을 때와 보는 관점이 달라 더 정확한 평가가 나올 수 있다. 그리고 기업 자체적으로 보안점검을 했더라도 대부분 기업은 보안 전문가가 없기 때문에 객관성, 전문성을 위해서라도 외부의 보안 컨설팅 전문가에게 점검을 받아보는 것도 좋다.

물론 내부자의 교육도 중요하다. 보안관리 체계나 컨설팅을 처음받고 보안을 구축한 기업은 보안 인프라를 갖추는 것이 무엇보다 중요하다. 그리고 한단계씩 내부 인프라를 갖춰나갈 수록 직원들의 보안인식 제고가 중요한데 아무리 좋은 인프라를 갖췄더라도 내부적으로 보안에 대한 인식이 없다면 헛수고가 된다.

보안이 정착되는 첫 단계는 인프라도 중요하지만 보안교육을 통해서 이루어져야 한다. 예를 들어 요즘의 해킹은 이메일을 통해 침투하는 것이 가장 보편적이라고 한다면 이런 것을 막을 수 있는 방법은 바로 직원교육이다. 한국인터넷진흥원 등이 제공하는 보안 교육을 지속적으로 실시하고 자체적인 보안 교육프로그램을 구성해 신입사원부터 CEO까지 확고한 보안의식이 확립될 때까지 지속적으로 교육해야 한다. 이렇게 지속적인 보안인식 제고를 위한 사람에 대한 교육이 없으면 아무리 수억원의 돈을 들여 보안솔루션을 설치했더라도 기업의 보안은 한순간에 무너질 수 있다. 

Ⅳ. 함께 운동하면 즐겁다

그리고 컨설턴트들이 기업 보안을 위해 가장 강조하는 부분이 바로 보안전담조직 구성이다. 기업에서 인재를 확보하기 위해 인사팀이 있고 영업을 하기 위해 마케팅팀이 있는 것과 같이 기업 보안을 위해 보안팀 조직은 필수적인 요소이다. 대분의 국내 기업들은 보안 조직이 따로 없고 IT담당자들이 보안업무를 겸업으로 하고 있다. 하지만 이것도 그 기업의 환경에 맞게 운영해야 할 필요가 있다. 중소기업이나 소규모 기업이 무리를 해서 보안 조직을 따로 구성한다면 이것도 비즈니스에 마이너스 효과를 가져 올 수 있기 때문이다.

기업들은 보안의 목적과 비즈니스에 종속되는 것을 정확히 파악해야 한다. 최근 보안에 대한 인식이 좋아졌다고는 하지만 중요한 보안사건이 터지거나 이슈가 되면 주목받고 다시 조용해지면 여전히 보안은 뒷전이다. 이벤트가 있어야 주목받고 없으면 소외되고 있는 상황이다. 하지만 보안은 하나의 이벤트나 이슈로만 생각하면 안된다. 지속적인 투자와 관심, 그리고 업그레이드가 필요하다고 전문가들은 강조하고 있다.

<글 : 김태형 기자| 호애진 기자>

[월간 정보보호21c 통권 제114호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>