| 보안산업 대대적 변화가 필요하다 | 2006.10.30 | |
대대적 변화가 필요한 시점에 놓인 ‘보안 산업
변화가 필요한 시점. 정보 보안은 더 이상 사용자의 편리와 기업의 목표를 방해하는 함정이 되어선 안 된다. 보안 시스템은 반드시 융통성 있고, 사용자가 이용하기 쉬우며, 기업의 목적을 달성하기 위해 고안되어야만 한다.
“적은 우리 안에 있다”라는 속담이 있다. 흔히 혁신과 새로운 시장의 요구에 대해 ‘아니오’ 로 일관하는 습성이 있다. 마치 무선 네트워크 도입 초기에 보안부분과 관련해 ‘아니오’로 일관한 것에 대한 책임이 우리 모두에게 있듯 말이다. 그 때 보안 전문가들이 하고 싶은 말을 했더라면, 전체 무선 네트워크 산업은 중단되었을지도 모른다. 여기에 우리 모두가 잘 알고 있는 비즈니스 시나리오가 있다. 생산이나 마케팅 관리자들이 기업의 매출을 늘리기 위한 꽤 괜찮은 아이디어를 내놓는다. 그리고 피드백을 위해 보안 부서에 그 아이디어를 넘긴다. 물론 보안 부서에서는 단호하게 퇴짜를 놓는다. 가끔 긍정적인 반응이 나오는 경우가 있긴 하지만, 회사가 3개 정도의 방화벽을 구입하고 고급의 사용자 관리 시스템에 수십만 달러를 지출해야만 가능한 일이다. 그 관리자들은 보안 부서를 배척하고는 다른 프로젝트로 옮겨가 버린다. 보안 부서에서는 프로젝트 출범 한 주 전에, CEO로부터 내려온 새로운 시스템에 대한 공고를 발견하고는 놀랄 수밖에 없다. 어느덧 보안부서의 거부권은 사라져버리고 보안은 새로운 제품과 시스템에 대한 논의에서 제외되어 버린 것이다. 경영 프로세스에 보안 시스템을 구축하는 것에 대한 이야기가 오고가긴 한다. 하지만 몇 군데 보완된다 하더라도, 사용자들은 여전히 보안이 문제라고 생각하고 있고, 관리자들은 보안을 측정할 수 없는 가치를 가진 커다란 짐으로 생각한다. 이는 그동안 보안 산업이 얼마나 잘못된 질문들을 던져왔고, 보안이란 것이 사용자 편의, 경영 목표, 그리고 소비자 만족을 방해하는 함정으로 전략해 버린 현실을 보여주고 있다. 이제 정보보안 산업은 대대적인 변화가 필요하다. 보안 시스템은 반드시 융통성 있고, 사용자가 이용하기 쉬우며, 기업의 목적을 달성하기 위해 고안되어야만 한다. 보안 제품들은 애플사의 아이팟처럼 평범한 비전문가가 작동하기에도 불편함이 없어야 한다. 전문적인 유저인터페이스는 커뮤니티의 필요와 욕구를 충족시키기 위해 kernel-level, network-stack 프로그래머들에 의해 고안된 것이 아닌 실제 보안 담당자가 선택한 요소들을 포함시켜 만들어야 한다. 무엇보다도, 사업상의 필요들을 도식화(map)할 수 있는 기능들을 포함시킬 필요가 있다. 내장 감사기능과 로그파일에 접근하고 보고하기에 편리한 깔끔한 인터페이스를 제공하여 감사원들의 필요를 충족시키는 것도 도움이 될 것이다. 이젠 보안 전문가들에게 새로운 질문을 던져 봐도 될 때가 온 것 같다. ㆍ방해가 되지 않고 조직의 목적을 달성하는데 어떻게 기여할 수 있을까? ㆍ보안 전문가와 경영진이 공유한 관심사가 무엇이며, 향후 둘 사이의 연결고리를 유지하기 위해 그것들을 어떻게 이용할 것인가? ㆍ동기부여를 위해 FUD를 이용하기보다, 보안을 위한 경영사례를 만들기 위해 ROI나 이보다 더 나은 것들을 사용할 수 있는가? 이러한 방식의 접근이 처음엔 어색할 수도 있겠지만, 이것들이 가져올 결과들은 분명히 놀라움을 가져다 줄 것이다. <글: 댄 로호만>
[보안뉴스(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
||
 |
