정책 초안의 실효성 검사를 해야 하는 건 IT 부서

기술 발달과 회사 사정의 변화에 맞추어 정책도 변할 수 있어

[보안뉴스 문가용] 정책의 가장 큰 덕목은 실효성이지 완벽성이 아니다. 그러니 실제 현장에서 정책들이 지켜질 것을 우선순위에 두고 정책을 마련해야지 가장 완벽하고 이상적인 업무환경을 묘사하는 데 그쳐서는 안 된다. 또한 한 번에 모든 영역의 모든 가능성을 죄다 다루는 정책이라는 것도 있을 수 없다. 자주는 아니더라도 기술의 발전과 회사 상황의 변화에 따라 정책도 변할 수 있는 것이다.

실용적인 정책을 만들려면 IT 관련 부서에서 어떤 식으로 정책을 구현할 것인지를 고려해야 한다. “직원들 각자가 가진 기기들로 데이터에 접근하려고 할 때 어떤 식으로 하도록 해야 할까,를 항상 자문해야 합니다.” 인포메이션 시큐리티 포럼(Information Security Forum)의 글로벌 부회장인 스티브 더빈(Steve Durbin)의 설명이다. “예를 들면 가상화를 도입해 정보가 기기에 실제로 저장되지 않도록 할 것인지, 샌드박스 기법을 활용해 정보가 각자의 기기에 저장되는 것은 허용하지만 회사가 조성한 환경 내에서만 운용할 것인지 정하라는 것이죠.”

BYOD 정책을 도입하려는 기업은 또한 법과 사업 운영이라는 차원에서 만들어진 정책과 실제 기술력과 툴이 가지고 있는 기능 사이에 커다란 괴리가 존재한다는 것도 이해해야 한다. 이는 기술이 얼마나 발전하든 상관없이 항상 그럴 것이다. “인사부나 법무부에 있는 인원들, 여기다 경영진까지 더하면 사실 정책 하나쯤은 금방 나올 것입니다. 그런 페이퍼웍에 달인들이거든요.”

문제는 아무리 정책안을 잘 만드는 사람들이라도 IT까지 잘 이해할 수는 없는 노릇이라는 것. “그래서 IT 부서에서 이런 이상적인 서류 상의 이론들을 현실로 가져와야 합니다. 아무리 좋은 세상이라도 그것이 종이 위에 있으면 무슨 소용이 있습니까. 결국 현실에서 전부 구현해낼 수 있어야죠. 그런데 그 현실 구현 기술을 이해하는 건 IT 부서 뿐입니다. 커다란 책임을 가지고 있는 것이죠.” 비욘드트러스트(BeyondTrust)의 마이프렛(Maiffret)이 강조한다.

보안을 담당해야 하는 IT 부서에게 있어 BYOD 정책이란 다른 부서 직원들처럼 따라야 하는 것이라기보다 BYOD 현상으로 발생할 수 있는 각종 리스크를 관리하거나 다루는 기본 바탕이다. 흔히 말하는 ‘주인의식’을 발휘하여 이 정책을 검토하고 정책의 어떤 부분이 기술적으로 실현 불가능하고 어떤 부분이 가능한지를 정책을 마련한 사람들에게 적극적으로 알려 줄 필요가 있다. 정책이란 것이 글자의 형태로 마련되어 있다면 IT 부서의 입장을 보다 잘 이해할 것이고, 그러므로 대화가 더 잘 통하게 될 것이다.

결국 리스크의 관리 혹은 대처가 정책 마련의 최종 목표임을 생각한다면 BYOD 정책이라는 것도 유연해야 할 것이다. 유연해야 기술 발전에 맞춰 변화할 수 있고, 유연해야 법적 혹은 기술적인 안전 장치를 최대한 마련할 수 있다. 기업들은 정책이 ‘완벽해질 때까지’ 기다리는 것이 아니라 도입한 후 완벽해지도록 다듬는 방향으로 생각을 바꿀 필요가 있다. 이미 모든 사무실에는 개인용 휴대 기기가 넘쳐나고 있으니까.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>