우리는 측정할 수 없는 많은 것들에 직면해 있다. 외부 위협의 심각성, 직원들의 정보 유출 가능성, 위협을 막지 못하는 것 등이 바로 그것이다.

이제 보안문제에 관한 빠르고 쉬운 대답은 우리의 손을 떠났다. 진보는 시간과 노력을 필요로 한다. 쉽게 측정할 수 없는 것들에 대한 실험을 주저하지 말고, 경우에 따라서는 직관을 통해 결정을 내려야 한다.

화제의 책인 「다빈치 코드」를 읽었다. 비록 명작이라고 할 수는 없지만, 독자들의 흥미를 끌기에는 충분했다. 이 책이 인기를 얻게 된 비결 중에 하나는 바로 ‘수세기 동안 숨겨져 왔던 의미 있는 지식을 발견해 내려는 보물찾기’ 라는 주제에 있다. 음모 이론들과 더불어 정말로 중요한 정보는 고의적으로 숨겨져 왔다는 믿음은 문학과 타블로이드 잡지, 때론 전문 서적에서 조차 등장하는 단골 메뉴가 된지 오래다.

음모 이론에서는 숨겨진 해답을 찾을 수도 있겠지만 정보보호에 관한 한 알 수 없는 것들이 많이 있다. 그리고, 우리는 측정할 수 없는 많은 것들에 직면해 있다. 외부 위협의 심각성, 직원들의 정보 유출 가능성, 위협을 막지 못하는 것 등이 바로 그것이다. 주요한 정보에 대한 공격들은 점점 무형의 영역을 형성하고 있다.

그런 공격들을 제대로 관리하지는 못하더라도, 이러한 모호함에서 벗어나고 싶어 하는 순진한 보안매니저는 불가능한 꿈을 고집한다. 보안전문 비밀단체에 의해 물샐 틈 없이 보호 받고 있는 아무에게도 알려지지 않은 기밀 정보를 관리하는 숨겨진 조직이 있을 거라는 남다른 의심을 가지고 있는 것. 여하튼, 이러한 기밀 정보가 유출되고 난 후에는 보안정책에 관한 결정들을 내리기가 쉬워진다.

파트너와 직원들에게 얼마만큼의 의심을 갖고 있어야 하는 지, 보안 인식 프로그램에 어느 정도 노력을 기울여야 하는지에 대해서도 명확하게 알 수 있기 때문이다. 뿐만 아니라 보안 예산 책정을 위해 시행착오 없이 항상 정확한 예산을 편성할 수 있을 것이다.

지난 10~15년 동안에는 보안의 모호함은 전면에 드러나지는 않았다. 외부의 공격에 대한 기술적인 인프라를 구축하는 것은 눈에 보이는 도전이었다. 아울러 모든 사람이 멀웨어(malware)와 해커들의 공격을 통제해야 할 필요성을 인지하고 있었고, 방화벽과 안티바이러스 소프트웨어를 설치하기 위해 비용을 부담할 의사를 가지고 있었다. 하지만 이렇게 보안시스템을 철저히 했던 시절에도 실패는 두드러지게 나타났지만, 성공 효과는 측정하기 쉽지 않았다.

요즘에는, 어떤 조직이든지 정보보호의 이점을 활용하여 적정 수준의 기술적 통제가 가능하다. 그럼 다음에 준비해야 할 것은 무엇일까? 직원들이 각자의 분야에서 기업의 이익에 부합하는 행동을 하도록 할 수 있는 최선의 방법을 배우기 위해 더욱 힘써야 하고, 점점 더 정교해져가는 범죄성을 지닌 적들에 대한 대비도 필요하다. 더불어, 보안 프로세스의 성숙도와 보안의 취약성을 측정할 수 있는 더 나은 방법들을 발전시켜 전문성을 더욱 더 갖추도록 해야 할 것이다.

하지만 실제로는, 보안의 취약성을 측정하기 위한 지표들을 제공하는 보안 체계(security control)를 찾아내기가 하늘의 별 따기다. 위험 관리를 위한 최고의 방책을 고안하기 위해서는 수많은 시간이 소요된다. 한편, 서로 다른 기업 문화와 사업 부문들은 보안 프로그램 관리자들에게 수없이 다양한 공격들을 창조해 낸다. 그러므로 여러 조직들이 자주 서로 다른 주요 위험 지표들을 사용한다는 것은 충분히 감안해야 한다.

이제 보안문제에 관한 빠르고 쉬운 대답은 우리의 손을 떠났다. 진보는 시간과 노력을 필요로 한다. 쉽게 측정할 수 없는 것들에 대한 실험을 주저하지 말고, 경우에 따라서는 직관을 통해 결정을 내려야 한다.

<글: 제이 G.헤이저> 

[보안뉴스(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>