대기업이나 방대한 예산에만 맞춰져 있는 업계 솔루션

 

중소기업은 어떠한가? 한 동안 보안 시장 중심부에 서지 못했던 중소기업. 이처럼 중소기업은 무시한 채로 대기업이나 방대한 예산에만 맞춰져 있는 업계 솔루션들에 대해 살펴보자.

얼마전, 필자는 동료 한명과 얘기를 나누면서 뉴욕에서 곧 열리는 보안 컨퍼런스에 참석할 것이라고 말한 적이 있다. 또한, 이 출장은 계획에 없었기 때문에 최대한 ‘경제적으로’ 다녀올 것이라고 강조했었다. 또한, 맨하탄에 일주일 머무르며 컨퍼런스에 참석해도 겨우 300달러밖에 들지 않을 것이라는 사실에 나름대로 자랑스러워했다.

그런데 그 동료가 이렇게 말하는 것이었다. “예전에는 하루 아침식사에 300달러를 써도 신경쓰지 않았잖아?” 동료의 이 무의식적인 발언에 나는 내 상황이 얼마나 변화되었는지 비로소 느끼게 되었다.

나의 첫 직장은 순위권내 6위에 드는(현재는 4위) 회계·컨설팅 업체였고, 그 후에도 나는 포춘에서 선정한 500대 정보보안 컨설팅 업체 중 몇 곳에서 일한 경험을 가지고 있다. 나는 보안 컨설턴트로서 항상 최고의 사례와 값비싼 고급 솔루션들만 추천했었다.

포춘 500대 업체에서 근무하는 나의 클라이언트들은 대부분 자사의 IT 보안을 강화하고 정부의 요구사항을 충족할 수 있다면 그 어떤 변경도 기꺼이 환영했었다. 그들에게 비용은 한가지 고려사항이었을 뿐, 가장 큰 기준은 아니었다.

하지만, 300명의 직원과 뉴욕 북부에 15곳의 지사를 보유한 지역은행인 Chemung Canal Trust Company에서 현재 정보 시스템 보안관리자로 근무하고 있는 나는 이전과는 달라도 많이 달라졌다.

모든 중소 기업체들이 IT 보안문제를 처리할 때 최우선적으로 고려하는 사항은 비용이다. 현재 지역은행에서 근무하면서 내가 취하는 접근방식은 “최선의 사례를 따르고 새로운 보안장비를 구현하고 싶지만 비용은 어디서 충당할 것이며, 정말 필요한 것일까?”이다.

우리 회사는 상장회사이며, 대기업과 똑같은 준수 요구사항을 처리해야 하는 입장에 있다. 본질적으로 우리 회사는 동일한 준수 요구사항을 가지고 있는데, 예산이 충분치 못한 것 뿐이다.

최근에 회사 내부적으로 이 유명 은행을 ‘파산’시키지 않고 효과적으로 이메일을 보존할 수 있는 방법에 관하여 논의한 적이 있다. 아무 것도 하지 않아도 준수와 보안관점에서 모두 위험이 따를 것이며, 또 너무 많은 것을 해도 수익에 있어서 위험이 따를 것이다. 이런 종류의 결정이 우리 조직에 있어서 IT 보안계획을 필요하게 만드는 것이다.

내게는 대기업과 중소기업 사이의 이런 양분이 가장 골칫거리이다. 나와 같은 일을 하는 대부분의 사람들은 여러 관련 잡지나 뉴스레터에서 이에 대한 해결방법을 접할 수 있기는 하다.

 

또한, IT 보안문제와 이들 문제를 처리할 수 있는 방법에 관한 컨퍼런스는 지금도 세계 도처에서 개최되고 있다. 문제는 모든 이런 잡지, 뉴스레터, 기사 및 컨퍼런스는 예산이 충분한 대기업만 대상으로 하고 있다는 것이다. 그렇다면 중소기업의 경우는 어떤가?

여러분은 필자가 예전의 생활을 그리워하는 것은 아닐지 궁금해할 수도 있다. 사실 별로 그렇지는 않다. 매주 비행기를 탈 필요가 없어서 좋고 가족과 더 많은 시간을 보낼 수 있어서 좋다. 하지만 때로는 300달러의 아침식사가 조금 그리운 때도 있긴 하다.

<글: 해리스 웨이즈맨.「Chemung Canal Trust Company」정보 시스템 보안 책임자> [월간 정보보호21(info@boannews.com)]

 

            <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>