• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

잇달아 발생하는 보안사고, CEO께 전하는 보안강화 방안 2011.04.21

호소합니다. 보안 좀 챙기세요!


[보안뉴스 오병민] 보안공격은 점차 진화하고 하나하나의 허점을 찾아 큰 공격으로 가고 있습니다. 옛날처럼 특정 해커가 실력을 자랑하려고 하는 공격이 아니라는 이야기지요.


그들은 물질적인 이익을 위해 법적 처벌도 감수하고 공격을 진행합니다. 이런 공격자들의 타깃이 된다면 작은 허점 몇 개도 큰 문제가 될 수 있습니다. 타깃의 작은 허점을 조금씩 수집해 큰 공격으로 확대하기 때문이죠. 이런 방법이라면 뚫리지 않을 것 같은 어떤 보안 철옹성도 무너뜨릴 수 있습니다.


결국 이들은 기업들의 안전에 가장 큰 위협 대상이 될 것입니다. 이런 위협에 대비하기 위해 기업들은 보안을 따로 분리해 강화하려는 노력을 기울이곤 합니다. 그러나 이런 노력은 사실 큰 도움이 되지 않을 것 같습니다.


보안이 기업과 따로 떨어져 있을 경우는 아무리 보안을 강화해도 기업 구조나 특성에서 나오는 허점을 보완할 수 없기 때문입니다. 결국, 기업의 모든 프로세스 안에서 보안이라는 문화가 작용해야하는 것이죠. 그리고 기업의 보안조직은 이런 체계가 원활하게 이뤄질 수 있도록 기업의 특성과 문화, 프로세스를 잘 알고 보안체계를 설계하고 완성해야 합니다.


그러나 인재가 문제입니다. 이런 역할을 하기 위해서 보안조직의 구성원들은 스페셜 리스트로 구성이 돼야하는데, 그런 인재가 없다는 것이 문제입니다.


사실 정부는 여러해 전부터 화이트해커 양성에 목소리를 높이곤 하는데 화이트해커만 양성해서는 보안 인재 문제를 해결될 수 없습니다. 그렇다고 화이트해커가 필요 없다는 이야기가 아니라 보안의 한쪽 면에만 치우친 인재보다는 여려 분야의 보안관련 구성원이 필요하다는 이야기입니다.


예를 들어 사이버공격의 경향을 분석해 침해를 미리 예방하는 인재들이 필요하고, 기업의 비즈니스 프로세스와 관리체계를 파악해 관리적인 허점을 찾아 보완하는 인재도 필요합니다. 게다가 기업에서 주요정보가 어떻게 흘러가는지 파악해 새어나갈 구멍을 보완하는 인재, 개인정보를 취급하는 프라이버시 관련 인재, 보안 사고 이후 체계적인 증거 수집을 위한 포렌식 인재와 법적 분쟁을 담당할 수 있는 인재, 기업에 필요하고 네트워크와 서버 및 시스템 상에서 보안을 담당하는 인재 등 다양한 방면에서의 인재들이 필요합니다.


여기서 가장 중요한 것은 이런 인재들이 서로의 영역에 대한 정확한 이해를 바탕으로 유기적인 화합이 필요하다는 점입니다. 즉, 이들을 통해 전반적인 기업 보안체계 시스템을 완성해야하는 것이죠.


아울러 이들을 이끄는 수장인 CSO(보안최고책임자)는 이런 모든 상황을 이해하고 조율할 수 있는 인재여야 합니다.


우리나라에서 보안 인재를 양성하는 정책으로는 이런 인재를 양성하기에 어려움이 따릅니다. 단기적으로 기술 인력을 양성하려다 보니 네트워크 보안에 관련된 기술적인 부분에 집중하고 있기 때문입니다.


사실 이런 인재를 순식간에 양성할 수 없습니다. 아니 좀 더 정확히 말하자면 이런 인재들은 정책적으로 양성할 수 없다고 볼 수 있습니다. 이런 인재들이 갖춰야할 가장 중요한 요건은 바로 ‘경험’이기 때문이죠.


결국 이런 인재들은 조직 안에서 여러 경험을 통해 만들어낼 수밖에 없습니다. 기업이나 기관들 스스로 보안조직 구성원들이 역할에 맞는 인재들로 각성할 수 있도록 환경을 만들어야 하는 것이죠. 이런 환경만 제공된다면 처음부터 완벽한 인재들이 아니더라도 곧 자신의 역할에 부족함 없는 인재들로 재탄생하게 될 것입니다.


그러기 위해서는 보안에 대한 투자가 안정적으로 이뤄져야 합니다. 그리고 투자 안에는 보안조직 구성원들과 기업이 서로 신뢰할 수 있는 환경요건과 대우에 대한 부분도 포함돼 있어야 합니다. 그리고 이들에게 책임에 합당한 권한을 줘야합니다. 보안 조직이 기업의 상위 조직에 가까워야 합니다. 의무와 책임이 동반된 권리를 바탕으로 기업의 보안 구멍을 채워야 하기 때문이죠.


잇달아 발생하는 대형 보안 사고로 인해 결국, 기업 경쟁력의 잣대에 최우선순위로 보안을 새겨 질 될 것입니다. 아무리 새로운 것을 가져와도 제 것을 잃는 다면 발전할 수 없습니다. 보안을 제대로 안하면 가진 것을 잃을 것입니다. 보안도 미래를 위한 투자입니다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>