회사 내의 보안정책 및 절차서들이 잘 정리되어 있고, 갖가지 값비싼 보안 시스템이 도입되어 운영되고 있다 하더라도 실제 현장에 이루어지는 보안수준은 기대에 훨씬 못 미치는 경우가 있다. 외형적으로는 보안이 잘 되는 것 같지만 보안의 실효성이 떨어진다면 언제 사고가 날지 불안할 수밖에 없다. 이러한 원인은 경영자와 보안관리자, 직원들이 보안에 대해서 느끼는 온도가 다르기 때문이라고 생각한다. 모든 임직원이 보안에 대해 느끼는 온도가 같다면 어떤 보안 시스템을 도입하는 것보다 더 좋은 정보보호 효과를 거둘 수 있을 것이다. 보안을 통해 무엇을 하려고 하는지 서로 이해하고 같은 방향을 바라보며, 같은 온도로 느껴야 원하는 결과를 얻을 수 있을 것이고 힘도 덜 들게 된다. 이렇듯 보안의 온도차를 없애는 방법으로 보안관리자가 염두에 두어야할 몇 가지를 살펴보면 다음과 같다. 

첫째, 보안관리자는 책상에서 보안을 해서는 안 된다. 현장의 ‘생소리’에 귀를 기울여야 하는 것이다. 사람들의 핑계라고만 생각하지 말고 뭐가 불편한지 알아보고 어떻게 보안절차가 이행되고 있는지 살펴봐야 한다. 현장에서 직접 지켜보면 애써 구축해놓은 보안 시스템이 쉽게 허물어져 있는 것을 알 수 있다. 사실 대부분의 보안 솔루션에는 취약점이 있다. 직원들이 설마 이런 것까진 모르겠지 하는 것들도 알고 있다는 사실을 인식해야 한다. 중앙관제 모니터에 뜬 보안 온도와 현장에서 직접 마주치는 보안 온도가 많이 다를 수 있는 것이다. 현장의 보안 온도를 감지하고 직원과 소통하는 것이 매우 중요하다.

둘째, 보안관리자는 서비스 마인드로 무장해야 한다. 사용자를 의심하고 통제하려고 한다는 그 어떤 잠재적인 표현도 해서는 안 되고 스스로도 절대로 그런 생각을 해서는 안 된다고 본다. “보안은 비즈니스 성공을 지원하기 위한 것이다”라는 대전제를 잊어서는 안 된다. 그래서 보안관리자는 어떤 서비스부서의 직원보다 친절해야 한다.

셋째, 보안관리자는 얼리어답터가 되어야 한다. 위험=자산×취약성×위협이라고 한다.  스마트워크를 지원하는 스마트폰이 대중화되고, 클라우드 기반의 각종 서비스들이 등장하고 있는 것과 비례해 새로운 취약성과 위협이 함께 발생하고 있다. 이 때문에 보안관리자에게 새로운 것은 그다지 반갑지 않는 것이라고 할 수 있다.  하지만 보안관리자는 새로운 것에 눈과 귀가 열려 있어야만 한다. 스마트폰을 사용하지 않고 있는 보안관리자는 빨리 사용하길 권하고 싶다. 스마트폰을 사용해보면 변화되는 정보의 흐름을 직접 체감할 수 있게 된다.

마지막으로 하고 싶은 말은 보안관리자는 돌다리도 두들겨보고 건너야한다는 것이다. 새로운 기술에만 현혹되어서는 안 될 것 같다. ‘안정성 보장이 보안의 생명’이라는 원칙을 잊어서는 안 된다. 새로운 기술과 더 많은 서비스를 제공하려다가 사용자 불편과 서비스 장애 또는 정보유출사고가 초래된다면 잘 항해하던 ‘보안호’가 좌초될 수 있음을 명심해야 한다. 

<글 : 이 재 욱 이랜드시스템스 보안팀(wookielee@gmail.com, http://goo.gl/umTlh)>

[월간 시큐리티월드 통권 제167호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>