초보 단계를 벗어나 보안의 고도화에 초점 맞춰야

기초 체력과 상ㆍ하체 균형 잡힌 몸이 만들어졌다면 이제 근육량을 늘리고 더욱 강화해야 할 단계에 온 것이다.

초보적인 보안 체계를 어느 정도 갖춘 조직은 보안의 고도화에 초점을 맞춰서 보안 강화를 해야 한다. 전체 보안의 평균은 낮은 쪽의 보안 수준이 전체 평균이 될 수밖에 없기 때문에 보안의 전반적인 수준을 높이는 것에 초점을 맞춰야 한다. 

Ⅰ. 근육을 강화하고 운동량을 늘려라

초보 기업 보안단계를 넘어서기 위해서는 보다 강화된 훈련이 필요하다. 성경원 인포섹 융합컨설팅사업본부 컨설팅고도화팀 팀장은 “기업의 전반적인 보안 리스크를 잘 관리해야 하는데 업무환경이나 사회적 환경 변화에 맞춰 보안환경도 변화를 줘야 한다”며 “새롭게 조직이 구성되고 변화될 때 보다 더 신중하게 보안을 고도화 시킬 수 있는 방안을 찾아야 한다”고 말했다.

최재명 인포섹 융합컨설팅사업본부 부장은 “보안 인력들의 비즈니스 연속성에 대한 훈련과 학습도 필요하다”며 “이미 알고 있는 위협에 대한 대응은 훈련과 학습을 하는데 알려지지 않은 위협에 대한 대응과 훈련은 거의 없는 편이기 때문에 이러한 대비도 해야 할 것”이라고 설명했다.

아울러 최재명 부장은 내부 구성원들에 대한 교육도 각 업무별 타깃별로 해야 효율적이며 경영진들에 대한 교육은 일반적인 PC관리와 보안에 대한 교육 등 내부적인 기준을 정해서 효율적인 보안 교육을 진행해야 한다고 덧 붙였다.

이 외에도 경영진에 대한 인식제고를 위한 교육과 세미나 등도 필요하다. 이와 같이 기업 보안의 고도화를 위해서는 내부적인 보안 점검과 대응 방안 마련도 중요하지만 외부 전문가의 보안 컨설팅도 필요하다. 즉 보안컨설팅을 배제한 조직의 정보보호 활동은 잘못된 원인 분석, 부적절한 대책의 적용, 효용 이익을 초과하는 투자 비용의 집행, 물리, 관리, 기술 보안 영역의 불균형을 초래할 위험이 있다는 것이다.

Ⅱ. 자만은 위험… 요요현상을 주의하라

트레이너를 맡은 보안컨설턴트와 지속적인 논의를 통해 관리해 나가야 한다. 특히 보안과제의 일부는 컨설턴트의 도움하에 이행할 수 있지만 모든 문제점에 대한 개선을 이루어 낼 수는 없다. “이 정도면 충분하겠지”라는 마음을 먹고 손을 놓는다면 그때부터 문제가 발생하게 된다. 기업은 보안컨설팅 이후, 이행과제에 대해서 이행력을 확보하고 개선을 지속해나가야 한다. 개선을 지속해 나가는 동안 필요한 경우, 관련된 보안컨설턴트의 도움을 주기적으로 받도록 해야 한다. 그렇지 않으면 지금까지 해왔던 보안은 크래커의 집요한 공격에 한순간에 무너지고 만다.

<글 : 김태형 기자| 호애진 기자>

[월간 정보보호21c 통권 제114호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>