• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

꼭 필요한 보안, 우리 회사에 적용하기 위한 3가지 팁 2015.02.03

용어 정리, 기초 마련, 비용 계산까지

반드시 필요한 것이므로 더 구체적이고 정확한 사전 조사가 필수


[보안뉴스 문가용] 요즘 사이버 보안 프로그램을 효과적으로 도입하는 것이 모든 기업들의 과제가 되어버렸다. 그러나 이게 말처럼 쉽지가 않다. 기업의 크기, 종류, 성격 등 이루 다 열거할 수 없는 변수에 따라 적용할 수 있는 사이버 보안의 개념 자체가 크게 달라지기 때문이다. 필요를 어떻게 충족시킬 것인가? 감으로, 혹은 본능적인 느낌으로 처리하는 건 금물이다. 한 발 한 발 조심스럽게 접근해야 한다. 다음 세 가지를 먼저 차례대로 고민해보는 것으로 시작해보는 것은 어떨까 싶다.

 


1) 정보보안과 사이버 보안은 다르다

일단 용어부터 통일시켜야 한다. 정보보안에 관련된 비슷하고도 다른 말들이 너무 많아서 완전히 다른 대화를 나누게 될 공산이 크기 때문이다. 그렇게 되면 당연히 혼란이 일어난다. 쓸데없는 혼란을 최소화하기 위해 최소한 회사 내에서는 용어 정리를 먼저 해야 할 필요가 있다. 학술적인 정의를 내리라는 게 아니다. ‘우리 회사의 상황’에 있어서 사이버 보안이란 어떤 것인가에 대한 합의를 이끌어내라는 것이다.


흔히들 정보보안과 사이버 보안을 동의어쯤으로 사용하는데, 이는 전혀 그렇지 않다. 이 둘은 깊이 파고들면 들수록 완전히 동떨어진 개념이다. 정보보안은 정보 그 자체 혹은 정보를 관리하거나 다루는 시스템에 대한 보안을 의미한다. 물리적인 정보나 디지털 형태의 정보 등 정보의 형태는 문제되지 않는다. 사이버 보안도 정보 그 자체 혹은 정보를 관리하거나 다루는 시스템에 대한 보안을 의미하기는 하지만 디지털 상태의 정보만을 대상으로 한다. 즉 사이버 보안은 정보보안의 하위 개념이다.


2) 기초 마련하기

자, 이제 용어에 대한 정의는 끝났다. 그러면 거기서부터 기초를 쌓아올려야 한다. 그러나 그다지 걱정할 필요는 없다. 자기 회사에 딱 맞는 사이버 보안 정책이나 프로그램을 척척 짜낼 수 있는 능력이 없는 경우가 태반이고, 이런 기업들을 위해 국가 기관 등에서 가이드라인과 프레임워크를 이미 마련했기 때문이다. COBIT5라던가 NIST의 사이버 보안 프레임워크가 좋은 예다(개인적인 소견이다). 게다가 무료로 공개되어 있다.


하지만 아무리 좋은 예라도 그대로 적용이 가능하지 않다는 사실에 또 좌절할 것이다. 여기서는 ‘해석’의 묘미가 필요하다. 가져온 프레임워크와 ‘우리 회사’가 어떤 식으로 맞물려 있고 어느 지점에서 대응이 가능한지 살펴야 한다. 다행히 이런 부분 역시 ISF 등 여러 포럼과 학회에서 자료를 발표하고 있으니 조금만 발품을 팔면 좋은 정보를 얻을 수 있을 것이다. 이때 유의해야 할 것은 1)번에서 정의한 용어에 따라 알맞은 자료를 찾아야 한다는 것이다. 또한 이를 위해서는 우리 회사에 대해서(자산, 산업 분야, 주요 고객, 보유한 소프트웨어 목록 등) 더 낱낱이 이해해야 한다.


3) 예산 마련

용어 정리도 마쳤고, 어떤 프로그램을 도입해야 할지도 정해졌다. 그렇다면 이제 그것을 실제 도입해야 하는데, 이때는 비용이 발생하기 마련이다. 하지만 잘 생각해보면 이는 대부분 2)번 과정에서 해결했다는 걸 알 수 있다. 기업이 어떤 것을 이미 가지고 있고 뭐를 보충해야 할지 파악하는 게 ‘우리 회사’에 대한 조사에 포함되기 때문이다. 이에 대해서는 경우의 수가 너무 많이 일일이 예를 들기가 힘들다.


하지만 예산 담당자를 설득할 수 있는 방법에 대해서는 한 가지 팁을 줄 수 있다. 보통의 ‘사이버 보안 프로그램’은 나무 구조로 이루어져 있다. 이를 테면 ‘제어할 것’이라는 커다란 항목 속에 ‘보안 운영’과 ‘사건 대응’ 하위 항목이 있고, ‘제어할 것 선택’이라는 항목 속에는 ‘보안 의식 훈련’이나 ‘멀웨어 감지 소프트웨어’와 같은 하위 항목이 있는 식이다. 즉 여러 고려 사항들이 세부적으로 나누어져 있다는 것이다.


기업이 제공하는 서비스의 총 비용은 결국 크게 두 가지로 나눌 수 있는데, 사람과 관련해서 발생하는 비용과 운영(소프트웨어와 하드웨어)에 발생하는 비용이 바로 그것이다. 이를 위에서 말한 프로그램들에 대입해 더 세세하게 나눠간다면 보안 강화를 꾀하는 데 있어서 보다 명확하게 어디서 어떤 비용이 발생하는지를 한 눈에 볼 수 있게 된다. 또한 이는 예산 담당자 혹은 책임자를 설득할 수 있는 자료가 되기도 한다. 설득의 능력은 보안 담당자가 꼭 필요로 하는 것 중 하나다.


결국 회사가 ‘필요’로 하는 걸 ‘갖추도록’ 하는 게 사이버 프로그램의 최종 목표다. 그러므로 현재 상황과 사이버 보안에 대한 근본적인 공부가 심도 있게 선행되어야 마땅하다. 또한 이는 막연하고 추상적인 개념에서 그칠 것이 아니라 소요비용까지도 계산되어 나올 수 있을 정도로 구체적이어야 한다. 모호해서는 어떤 것도 지킬 수 없다. 보호한다는 건 매우 구체적인 행위이다.


글 : 제이슨 사호프스키(Jason Sachowski)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>