• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

K兄, 보안 그리고 단무지 2016.06.13

보안담당자들, 융통성 없는 원칙주의자 아닌 소통의 대가들

[보안뉴스= 양두상 대구은행 CISO] K兄, 대구의 봄은 너무 짧게 지나갑니다. 모두들 계절의 여왕이라고 받들며 신록의 계절이 돌아 왔다라고 말할 때부터 이미 여름의 경계선까지 다가 갑니다. 서울에 정착하신 후 이제 대구의 날씨까지 잊으신 것은 아니겠지요?


문득 지난 번 저에게 하신 말씀과 관련 글을 올립니다. 오래간만에 이런 저런 대화는 무척 즐거웠습니다만, 제가 종사하는 보안업무에 대해 ‘단무지’라고 폄하하여 말씀하신 것은 지금 생각해도 섭섭합니다. ‘단순한 놈이 무식하게 지x을 하는 것’이 단무지라고 하셨죠? 만약 막걸리를 한잔하는 자리에서 그런 말씀하셨다면 제가 취중인 척하며 한방 날렸을지도 모릅니다. 그러나 한편으로, 제가 정말 단무지처럼 행동했는지 돌아보게도 하였음을 고백합니다.

K兄,
최근 출간된 ‘사이버스톰’의 마지막에 이런 단순한 문구가 있습니다. “사이버전쟁은 전쟁이다.” 사이버세상이 위험하면 현실의 세상도 함께 위험하게 됩니다. 따라서 사이버 세상에서 현업의 내부망으로 들어오는 모든 데이터 이동은 마치 인천공항에서 CIQ의 검역, 세관검사, 출입국신고와 동일한 절차 즉 바이러스 검색, 개인정보 검색 및 반·출입 사유 기록 등의 절차를 하게 됩니다. 대부분 여행객들은 공항에서 CIQ 절차에 대해 불평을 하지 않습니다. 여행의 시작점이거나 아니면 긴 여행의 종착점이거나 나름대로의 기대감이나 안도감에 긴 줄을 서 있어도 적어도 기분 나쁜 표정은 아닌 것 같습니다.

그러나 지리적 국경이 아닌 사이버와 현실 세계라는 가상의 국경을 넘는 여행객(데이터 이동)에 대한 엄격한 CIQ는 때론 사용자들에게 불편함을 주기도 합니다. 그렇다고 해서 편의성을 위해 보안을 희생한다면 엄청난 대가를 지불할 수도 있습니다. 원격조정이 가능한 심장 제세동기를 제거한 미국 딕 체니 전 부통령의 두려움은 바로 암살을 노린 생체해킹의 위협이었습니다. 따라서 보안담당자들은 리스크를 최소화하기 위한 예외 없는 원칙들을 고수합니다. 그래서 보안담당자들은 대부분 당신께서 말하신 단무지 즉 융통성 없는 원칙주의자로 보여지기도 하지만, 사실은 사용자들의 불편함을 듣고 대안을 제시하는 소통과 설득 능력의 소유자입니다. 따라서 요즘 보안담당자들은 모두 소통의 대가들입니다.

K兄,
프로야구 열기에 전 구단 야구장이 들썩거리는 것을 보고 계시겠지요? 프로의 세계에서는 오로지 결과가 중요하다고 합니다. 그러나 결과만을 중요시 하는 것은 프로야구만은 아닙니다. 현재 우리 사회는 오로지 결과, 효율이라는 단어를 따라 가고 있습니다. 이것도 압축성장의 폐단일까요? 하여튼 결과만 좋으면 그만인 문화 속에 익숙해져 있습니다.

그러나 보안업무는 결과도 중요하지만 절차를 중요시합니다. 종합병원 응급실의사는 굳이 결과만 가지고 얘기한다면 살아남을 수가 없다고 합니다. 소생할 확률이 낮은 환자에게 최선을 다하는 의사에게 결과 및 효율을 가지고 논할 수는 없을 것입니다. 곧 사망할 환자라 하더라도 조그마한 희망이 있으면 그 순간 최선을 다하는 것과 보안 위협에 대한 취약점 보완은 마찬가지입니다.

K兄,
금년도 종합건강검진은 받으셨습니까? 저는 이번에도 술 적게 마시고, 운동 많이 하라는 충고를 받았습니다. 이런 건강수칙을 제대로 지키지 않으면 곧 후회하게 될 것이라는 경고도 있었습니다.

이런 건강수칙이 보안영역으로 넘어 오면 바로 보안수칙이라는 말로 바뀌게 됩니다. 평소에 운동을 통해 면역력을 높이지 않고 알약 하나로 해결할 수는 없듯이, 보안도 특정 솔루션 하나 달랑 도입하여 완벽하게 막을 수는 없습니다. 건강을 위해 매일 운동하듯이, 보안수칙을 습관화해 보안의식이 내재된 기업문화를 만드는 것이 중요합니다. 어떤 회사의 보안의 정도는 기술력과 담당자의 노력에 비례관계이지만 직원의 보안의식이나 태도에는 그 제곱에 비례한다는 것이 평소 제 주장입니다. 보안수칙 준수는 잠깐 동안의 슬로건이 아니라 평생 함께 가야 할 습관입니다. 모든 기업에서 보안이 핵심 경쟁력이라고 할 수는 없겠지만, 잘못하면 한 방에 훅 가는 수가 있습니다.

K兄,
옛날 훈련소 시절 이런 군가를 많이 불렀죠. “부모형제 나를 믿고 단잠을 이룬다.” 지금 보안담당자들은 “직원, 고객 나를 믿고 단잠을 이룬다”라고 생각하고 매일 밤잠을 설치며 사이버전선에서 보초를 서고 있습니다. 이제 보안담당자가 하는 말을 ‘단순 무식하게 지x’하는 단무지가 아니라 새로운 프레임으로 받아들이시기 바랍니다. 그렇지 않을 경우 당신의 불길한 예감은 설마(if)가 아니라 시기(when)의 문제가 될 것이니, 부디 ‘디 들으시고, 조건 보완하고, 금 바로 실행’하십시오.
[글 _ 양두상 대구은행 본부장/CISO(dsyang@dgbfn.com)]

필자 소개 _ 대구은행 양두상 본부장은 대구은행에 입행해 초창기 사무전산부에서 경력을 쌓고, 이후 사이버독도지점장, E영업부장, 영업점장, 금융소비사보호부장을 거쳐 현재 대구은행의 정보보호최고책임자(CISO)로 재직 중이다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>