효율적인 업무 분담 등으로 효과 극대화해야

[보안뉴스 주소형] IT 네트워크 조직과 보안조직 사이에는 미묘한 긴장감이 있다. 서로의 이해관계가 상충되어 갈등이 발생할 일이 빈번하기 때문이다.

“보안은 상대적으로 IT보다 모든 아키텍처의 필수적인 요소로 이미 자리 잡아 가고 있다. 그런데 이는 결국 사용자들을 피해자로 만들고 각 팀 간의 갈등을 조성할 수 있다. 보안조직과 IT 조직상의 불협화음은 사용자를 희생시키고, 보안성을 떨어뜨리는 결과를 낳을 수 있다. 또한, 아키텍처를 복잡하게 만들어 운영하는 데 더 많은 예산이 들어가고 규모를 확대하는데도 마이너스가 된다.”

그래서 그들이 함께 일할 때 효율적인 업무 분담 등으로 효과를 극대화시킬 수 있는 방법을 필자의 경험을 바탕으로 구상했다. 다섯 가지로 나눌 수 있는데 이를 통해 보안을 현재보다 강화하고 업무상의 우선순위를 정하는 데 도움이 될 수 있을 것으로 보인다.

1. 장려책

하나의 공통된 목표를 주면 협동심이 생긴다는 것은 누구나 알고 있는 논리다. 하지만 문제는 이게 말이 쉽지 현실세계에서 실제로 이행되기까지는 어려운 점이 많다는 것. 같은 목표 안에서도 IT 네트워크 팀과 보안 팀의 시각과 입장이 조금씩 다르기 때문이다.

예를 들어 IT 네트워크 팀이 가장 신경 쓰고 있는 부분은 네트워크를 가능하게 유지하는 것이다. 그런데 네트워크 가능 유지에만 집중하다보면 보안을 저해시키고 접속 제한을 결합시키는 경우가 발생된다.

이와 반면 보안팀은 어떠한 아키텍처의 변화에도 일단 저항하고 본다. 새로운 리스크 발생 유발을 지양하기 위해서다. 이에 따라 서로의 입장을 이해할 수 있는 범위의 공통된 목표 재정립이 필요하다.

2. 협동심이 발휘될 수 있는 체계

정보보호최고책임자인 CISO가 IT 부서 직속이 아닌 곳도 많다. 하지만 이렇게 실질적인 업무상의 직속상관 부재는 팀 내의 불안감을 키울 수 있다. 따라서 큰 과제는 아니더라도 두 부서가 함께 할 수 있는 소셜 이벤트를 진행하고 물리적으로 팀 간의 위치를 가깝게 붙이는 것이 의외로 긍정적인 효과가 나타날 수 있다. 또 한 가지 방법은 두 부서가 서로의 업무를 바꿔서 해보는 것이다. 서로에 대한 입장을 이해하는 데 큰 도움 될 수 있기 때문이다.

3. 리스크 공유

서로 사용하고 있는 툴을 공유하는 것도 한 가지 방법이다. 이는 그에 따른 리스크도 함께 공유한다는 것을 의미한다. 또한, 무엇을 바꾸기 위해서는 두 부서의 동의가 이루어져야 한다. 물론 여기에는 관리자들도 포함되어 있다. 변화 통제가 없는 네트워크는 무질서한 상태가 되고 커다란 보안위협이 닥칠 수 있다.

4. 전체 프로세스 분석

좋은 데이터와 전망 분석 없이는 현재 어떤 실수를 하고 있고, 어떤 문제가 병목현상(bottleneck)을 야기시킬 수 있는지 파악하기 어렵다. 따라서 각 팀의 업무 프로세스를 추적하면 비능률적인 부분들을 해결하고 확인하는 데 도움이 될 수 있다.

5. 자동화

자동화는 실수를 최소화할 수 있는 가장 좋은 방법이다. 자동화 툴은 사람보다도 믿음직스럽다. 사람이 ‘No’라고 답할 때면 언제든지 마찰이 발생할 수 있다. 하지만 자동화 솔루션에서는 ‘No’라는 게 없다. 공정성에 대한 감각도 있어 ‘해당 시스템이 당신을 승인하지 않습니다’를 ‘해당 승인에 대한 권한이 없습니다’와 같이 변경해준다.

최근 비즈니스는 갈수록 자동화에 집중하고 있는 추세다. 이는 두 부서 간의 벽을 서서히 허물고 있다. 두 부서 간의 관계를 재정립하는 것은 매우 중요한 일이다. 만약 이 두 부서간의 갈등이 현재진행형이라면 망설이지 말고 지금 당장 이 5가지를 실행해 옮기기를 권장한다.

글 : 님미 레이첸버그(Nimmy Reichenberg)

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>