경쟁력을 키우지 않으면, 아웃소싱을 자초하는 결과...

정보보안에 대한 중요성이 점점 더 증가하고 있는 상황에서 보안전문가의 역할은 더욱 중요하게 될 것인가? 또한, 이제는 보안 자체가 아닌 보안의 효율성 문제가 쟁점인 것이다. 경쟁력을 키우지 않으면 아웃소싱 하는 것을 스스로 자초할 수도 있다.

필자는 “정보보안 담당자들은 누구에게 보고해야 하는가?”라는 질문을 많이 받는다. 하지만 보다 적절한 질문은 “정보보안 기능이라는 것이 필요하긴 할 것인가?”일지도 모른다. 특히, 몇 년간의 노력 끝에 지금 막 정보보안이라는 흥미로운 업계에 뛰어든 이들이라면 자신이 곧 쓸모없어 질지도 모른다는 말을 듣고 싶지는 않을 것이다.

90년대 초반에 인터넷이 급성장하기 시작했을 때 새로운 웹 기술들뿐만 아니라 수많은 기업과 해커들이 탄생했었다. 그 당시에는 네트워크 보안지식이라는 것은 미미한 수준이었고 보안제품 시장은 거의 없는 것이나 마찬가지였기 때문에 보안이 특수한 분야였던 것이 사실이었다.

정보보안 개척자들은 서투른 기술로 방화벽이나 불완전한 키트들을 수리하는 데 많은 시간을 들이고는 했다. 더불어 하드 드라이브와 플로피 디스크에서 바이러스를 없애는 일도 두 번째로 시간이 많이 소요되는 보안작업이었다. 보안이 개인의 지식을 중요시하는 시간 소모적인 실습이었던 것이다. 인터넷 공격으로부터 기업을 보호하고 악성 코드로부터 워크스테이션을 보호하는 것은 여전히 중요한 임무이다. 변한 것은 필요한 보안 지식의 상대적 수준이다.

방화벽은 더 이상 손수 제작할 수 있는 프로젝트가 아니며, 하나의 설비가 되었다. 악성 코드를 처리할 때의 가장 큰 난제는 예방 시스템이 모든 시스템에 적용되고 업데이트될 수 있도록 보장하는 것이다. 이 두 가지 기술 모두 운용화의 현재 프로세스에 좌우된다. 이제는 보안 자체가 아닌 보안의 효율성 문제가 쟁점인 것이다.

보안 자체는 생산성의 향상을 의미하지 않기 때문에, 보안은 자신의 퇴행을 위해 진보하는 결과를 낳게 될 것이다. 또한, 이런 현상은 보안에만 국한되지 않는다. 가트너는 IT 팀 자체가 언젠가는 넘쳐날 것이라고 암시한 바 있다.

핵심은 기계가 세상을 지배하고 인간의 도움없이 실행될 것이라는 것이 아니라, 비핵심 기능들이 지속적으로 자체 효율성을 향상시켜야 한다는 것이다. 경쟁력을 키우지 않으면, 가장 효율적인 제공업체로부터 서비스를 구입할 것을 요구하는 압력이 늘어나게 된다는 것이다.

업체들은 더 이상 직접 자체 방화벽을 만들어야 할 이유가 없으며, 방화벽의 관리를 아웃소싱해야 한다는 주장이 점점 더 설득력을 얻고 있다.

이렇게 급변하는 환경은 이 환경 안에서 활동할 것을 결정한 이들에게 몇 가지 암시를 줄 수는 있지만, 안정성은 그 중 하나가 아니다. 보안전문가들은 지속적으로 자신의 지식을 포착하고 봉쇄할 수 있는 수단을 모색해야 한다.

정보보안이 마침내 진정한 목적을 발견하게 되면서, 성공의 개념은 점점 더 자율적으로 작용할 수 있는 프로세스 및 기술의 창출로 해석될 것이다. 특정인의 개인적인 관점에 의지하는 것은 그 조직이 성숙하지 못함을 나타내는 징후이며, 앞으로 점점 더 이런 식으로 해석될 것이다.

정보보안은 점점 더 줄어드는 기회에 매달려서 자기 만족에 빠진 자들이 아닌, 진정한 성공이란 자기 자신을 쇠퇴하게 만드는 것임을 알고 있는 명민한 자들을 위한 분야인 것이다.

<글: 제이 헤이저(Jay G.Heiser)>

[월간 정보보호21C(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>