보안의식 누구에게나 있지만 정작 보안을 강조하면 잔소리 취급 받아

보안과 관련된 사항 외에 더 큰 틀에서 회사 분위기와 환경 관찰해야

[보안뉴스 문가용] 일반 직원들은 보안 업무와 다른 생산 업무를 함께 진행하는 게 껄끄럽게 느껴질 때가 있다. 그건 왜 그러냐면, 실제로 그렇기 때문이다. 그럼에도 이 둘 어느 하나도 포기할 수 없는 게 기업의 입장이다.

9월 중에 열릴 인터옵(Interop) 컨퍼런스에서 컨설팅 업체인 아이피 아키텍트(IP Architects)의 회장 존 피론티(John Pironti)는 보안을 리스크의 관점에서 바라보는 법에 대해 워크샵을 열 예정이다. 정보 리스크 프로파일 작성, 위협 및 취약점 분석, 취약점 관리, 기업 대응력 강화 등의 항목으로 강의를 구성했다고 한다.

“보안 중요한 거 모르는 사람 아무도 없고, 진심으로 보안을 강화하고 싶어 합니다. 누구나 다요. 그런데 실행을 못하는 게 문제입니다. 보안은 여전히 많은 이들에게 ‘환상의 동물’ 같은 것이더라고요. 그래서 실행력에 초점을 맞춘 강연을 준비했습니다.”

그에 따르면 많은 보안 전문가들이 ‘업무 환경을 고려하면서 보안 업무를 해야 한다’는 데에는 동의한다. 그러나 그에 대한 해결책으로 대부분 ‘신기술’ 혹은 ‘새로운 솔루션’을 구입하는 데에 그친다. 그게 마음 편하기 때문이다. 사람에게 보안 문제로 다가서는 순간 보안담당자는 잔소리꾼이 된다. 이때 일기를 적듯 리스크 프로파일을 만드는 것이 문제를 해결할 수 있다고 그는 주장한다. 경찰이 사건일지를 적듯 보안담당자도 그렇게 해야 한다는 것.

“먼저는 리스크를 회사에서 어떻게 받아들이는지를 파악해야 합니다. 회사는 언제 진정한 위기의식을 갖는가? 언제 ‘이젠 못 참겠어. 조치를 취해야 겠어’라며 적극적으로 나서는가? 이런 건 아마 회사 고유의 ‘성향’과 비슷한 거겠죠. 이를 파악하고 나면 그에 따라 보안 프레임워크를 만들고, 그 프레임워크를 구현할 구체적인 방법을 구축합니다.”

그는 설명을 이어나갔다. “물론 이런 설명만으론 여전히 모호하다는 느낌을 지울 수가 없을 겁니다. 요는 제가 계획을 세울 때 무조건 제 입장에서 세우는 게 아니라 회사의 ‘성향’을 충분히 파악하고 고려해서 세운다는 겁니다. 그게 업무 환경을 고려하는 길 아닐까요.”

중요한 건 그뿐만이 아니다. “이렇게 회사를 고려해서 계획을 세우면 회의 석상에서 ‘그때 이러이러한 말씀을 하셔서, 이렇게 계획을 세웠습니다’라고 근거를 대면서 말할 수 있습니다. 이렇게 근거를 대고 나서 ‘이게 너무 비싸게 느껴지신다면 그때 말씀하신 기대치를 조금 낮추실 필요가 있습니다’라고 보안담당자라서 보이는 ‘현실’과 ‘이상’의 괴리를 보다 이해하기 좋게 설명해줄 수도 있게 됩니다.”

피론티식 리스크 프로파일은 정보 리스크의 종류와 우선순위에 대한 분석을 요구한다. 그에 대한 기준은 역시 회사다. 회사가 받아들일 수 있는 리스크인가 아닌가에 따라 리스크를 분류해야 한다. 그리고 회사는 이런 걸 ‘기분에 따라’ 정하는 게 아니라 기업에게 요구되는 합법한 표준이 무엇인지를 알고 정해야 한다. 만일 사고가 난다면 이 표준을 지켰느냐 안 지켰느냐에 따라 판결이 달라지기 때문이다.

이렇게 회사가 사업을 이끌어가는 방향과 상황에 최대한 맞추어 리스크를 관리하고 보안을 강화하는 건 실제 공격이 일어났을 때의 충격을 완화하기 위함이다. “완벽한 방어책은 있을 수 없으니 누군가 언젠가는 공격을 받고 뚫리게 되어 있습니다. 천재지변이나 다름없는 것이죠. 결국 중요한 건 그 확률을 줄이는 겁니다. 그리고 실제 사건이 일어났을 때의 충격을 줄이는 것입니다. 확률을 줄이는 건 기존의 보안업무로도 가능합니다만 충격을 줄이는 건 회사의 ‘생산적인 입장’ 혹은 ‘일반 직원들의 입장’을 고려해야만 가능합니다.”

한편 인터옵은 9월 29일부터 10월 3일까지 뉴욕에서 진행될 예정이다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>