• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

융숭한 대접을 받는 보안 보고서 작성 팁 2015.06.14

작은 표현의 차이로 설득력과 신뢰도가 결정된다

경영진 및 보안 비전문가들과의 커뮤니케이션


[보안뉴스 주소형] 최근 이발을 하러 미용실에 갔다. 그 때 좋은 교훈 한 가지를 깨달았다. “0.5인치로 잘라드릴까요?” 미용사가 물었던 것이다. 개인적으로 아주 마음에 쏙 드는 질문이었다. 필자가 아무리 남자라고 하지만 주로 그냥 짧게 잘라드릴까요?라는 유형의 질문을 받아왔는데 정확한 미터법이 인용된 표현의 질문에 ‘이 미용사가 내 머리를 정말 원하는 대로 잘라주겠구나’라는 묘한 신뢰감이 들었다.

 


단지 숫자를 사용했을 뿐인데 그 미용사의 질문이 과학적으로 다가왔다. 필자의 대답에 따라 그는 어떤 가위와 클리퍼를 사용할 지를 결정할 것이다. 그런데 막상 대답하려고 보니 그 과학적이고 신뢰감을 주던 질문이 필자에게 큰 의미 없는 질문이 되어 버렸다. 지금 필자 본인 머리카락 길이가 어떤지 원하는 길이가 어느 정도인지 모르기 때문이다. 원하는 스타일이라면 모를까 정확한 길이는 모른다. 


그래서 이게 도대체 보안과 무슨 연관이 있는가? 라는 독자들의 목소리가 들리는 듯하다. 먼저 메트릭스(metrics)라는 단어에 대한 정확한 이해가 필요하다. 메트릭스란, 무엇인가를 측정할 때 사용하는 방법 또는 결과의 기준이다. 필자는 결국 해당 질문에 대한 올바른 대답을 모색하기 시작했다. 몇 가지 연구들을 살펴본 결과, 평균적으로 사람의 머리카락은 한 달에 0.25인치 정도 자란다는 사실을 알게 됐다. 그렇다면 0.5인치로 자르면 되겠냐는 미용사에게 두 달에 한 번꼴로 가면 되는 것인가?


이렇게 보안 전문가로서 생각할 때, 말할 때, 측정할 때, 소통할 때 아주 정확해야 한다는 강박관념 비스무리 한 걸 갖고 있다. 그런데 우리는 가장 중요한 것을 하나 잊고 있다. ‘의미 전달’이라는 부분 말이다. 그렇다고해서 우리가 일을 열심히 안 하는 것도 아니다. 다만 불필요하게 모든 것을 수치화시키는 작업에 몰두하고 있지는 않는가에 대한 고민이 필요해 보인다는 것이다. 오히려 그런 작업들이 이해도를 떨어뜨리고 있을 수도 있기 때문이다.


보다 이해력을 높이기 위해 예시를 좀 더 들어보자. 수많은 보안기업들이 보고서를 작성할 때, 주로 쓰는 메트릭스 세트가 있다. 물론 해당 메트릭스들은 그 어떤 것보다 정확한 표현이다. 완벽한 메트릭스도 있다. 이는 그 어떤 것과 연결되어 있지도 의존하지도 않은 그야말로 절대치다. 주로 절대치를 사용하는 보고서의 주제들은 다음과 같다.

- 특정 시간대에 감염된 엔드포인트 개수

- 특정 시간대에 시도된 브루트포스 공격의 개수      

- 열려있거나 패치 되지 않은 상태로 유지되던 평균 기간


비록 이런 메트릭스들이 익숙해 보여도, 너무 부정적인 면에만 집중되어 있다는 생각이다. 사실 해당 내용들의 경우 보안에 대해 좀 안다는 이들의 대부분이 관심 있어 하는 것들이다. 그들의 1순위가 각종 공격과 위협을 방어하는 것이기 때문이다. 보안전문가들 입장에서는 맡은 기업들을 안전하게 지키는 것이 그들의 임무이자, 그들의 평가기준이 된다. 그런 그들에게 도움이 될 만한 정보인데 왜 활용이 안 된다는 것일까? 언제부터 왜 메트릭스 표현들을 썼던 것일까? 그래서 상대적인 메트릭스로 접근해봤다.


상대성 메트릭스는 즉 순서를 정하는 것이다. 그 자체로 충분히 접근성이 높아진다. 위의 내용들을 살짝 바꿔보자.

- 특정 시간대에 감염된 엔드포인트들로부터 지켜낸 민감한 정보들의 양

- 특정 시간대에 들어온 브루트포스 공격을 통해 성공적으로 방어해낸 자산

- 복구하는 데 걸렸던 시간

바꿔보니 어떤가? 사실 결과는 똑같은데 느낌이 달라졌다. 물론 개인차가 있겠지만 같은 성과라도 다르게 해석될 수 있다는 것이다. 표현의 방법은 여러 가지가 있기 때문이다. 많은 성과를 내고도 놓쳤던 부분만을 부각시킬 필요가 없다. 그리고 경영진들이 실제로 정말 궁금한 사안들에 대한 궁금증들이 오히려 해소될 것이다.


하루하루 금쪽같은 시간들이 지나가고 있다. 특히, 보안업계는 하루가 멀다 하고 새로운 일들이 발생하고 있다. 보다 전략적인 자세로 보고서를 작성해야 하고 경영진들과 보안전문가들의 원활한 소통이 중요하다.

글 : 조슈아 골드파브(Joshua Goldfarb)

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>