• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

보안 잘 하는 금융기관들의 변화된 사고방식 몇 가지 2016.09.15

솔루션 사용 줄어들었는데도 오히려 높아진 자신감...전략의 도입
회사 전체의 문제로 풀기 시작...사용자들은 구멍 아닌 최전선

[보안뉴스 문가용] 2015년 6월, 웹센스(Websense)에서 금융 서비스 기관에 대한 사이버 공격이 다른 산업 기관에 비해 4배나 높다는 보고서를 발표한 적이 있다. 돈이 많은 곳이니 공격을 많이 받는 게 이상하지는 않다. 게다가 금융기관에는 정보도 몰린다. 속칭 ‘증권가 찌라시’라는 것이 그쪽에서 먼저 도는 것도 이유가 있다. 뿐만 아니라 금융기관을 이용하지 않는 사람은 거의 한 명도 없다. 누구나 개인정보를 금융기관에 맡긴다는 거다.

▲ 자신 있는 사람?


비슷한 보고서를 시스코가 발표했다. 시스코는 지난 한 해 동안 12개국에 있는 다양한 산업들을 조사했다. 그 결과 나온 것이 시스코 2016 보안 기능 벤치마크 스터디(Cisco 2016 Securit Capabilities Benchmark Study)다. 총 2400명의 보안전문가들을 만났으며 호주, 브라질, 중국, 프랑스, 독일, 인도, 이탈리아, 일본, 멕시코, 러시아, 영국과 미국에서 조사활동이 벌어졌다. 그리고 금융 산업만을 따로 분석했고 보안전문가들의 ‘말’과 ‘행동’에 상당한 차이가 있음을 발견했다.

먼저 금융기관의 보안담당자들이 2014년에는 어땠을까? 66%가 네트워크 내 비정상 행위에 대한 탐지와 위협의 변화에 대한 방어대책이 효과적이라고 답했다. 같은 답을 한 보안담당자들이 2015년에는 76%로 올랐다. 또한, 2014년 67%가 침해 정도를 측정할 수 있는 보안 툴의 효율이 좋다고 답했고, 2015년엔 74%가 같은 응답을 했다. 하지만 이는 보안전문가들이 관찰한 것과는 상당히 다른 내용이다.

먼저 금융기관들이 전체적으로 탐지 및 위협 방어 툴의 사용량을 줄이고 있는 추세다. 2014년에는 접근제어 및 인증 툴을 사용한다는 조직이 57%였는데, 2015년에는 48%로 줄어들었다. 또한, 43%가 네트워크 포렌식 툴을 사용한다고 답했지만 실제 조사한 결과 2015년 사용량은 32%에 불과했다.

즉, 자신감은 올라갔는데 툴의 사용은 오히려 줄어든 것이다. 왜 이런 차이가 발생하는 걸까? 금융기관의 보안담당자들의 ‘사고방식’에 변화가 있었기 때문이다.

먼저 눈에 띄는 건 위협에 방어할 수 있다는 자신감이 많이 떨어졌다는 점이다. 그래서 탐지 및 방어 툴의 사용을 줄이고 보다 현실적인 방법을 택한 것으로 보인다. 또한 CSO(Chief Security Officer)들이 내부 인력과 툴만으로는 제대로 된 방어가 불가능하다는 걸 보다 잘 이해하고 있으며, 보안을 위한 전략을 갖추고 통솔적인 움직임을 보이기 시작했다는 점도 주목할 만하다.

툴의 사용을 줄이고도 자신감을 올릴 수 있는 ‘능동적인’ CSO들의 전략은 무엇일까? 다음 몇 가지로 정리가 가능하다. 보안 잘 하고 있는 금융기관들의 CSO들은 다음과 같은 사고방식을 가지고 일을 한다.

1. 도움 요청은 부끄러운 게 아니다. 이번 시스코 보고서를 통해 발견된 사실 중 하나는 금융기관의 CSO들은 ‘내부 전문가가 모든 걸 할 수 있는 게 아니다’라는 걸 ‘쿨 하게’ 받아들이고 있다는 것이다. 그래서 내부 전문가와 외주 인력이 함께 일하도록 한다. 이 수는 점점 증가하고 있다.

2. 네트워크의 최전선은 임직원들이고, 그러므로 임직원 보안교육을 자주 실시한다. 보안을 잘 모르는 일반 사용자는 보안의 구멍이기도 하지만 가장 첫 선에서 방어를 해줄 수도 있는 게이트웨이이기도 하다. 이는 교육과 훈련에 따라 달라질 수 있다. 이번 조사에 따르면 44%의 CSO들이 보안 교육 및 훈련 프로그램을 강화했다고 답했다.

3. 보안은 더 이상 담당부서만의 문제가 아니다. 기업 전체가 한꺼번에 통일된 움직임을 보여야 할 분야다. 실제로 금융기관에서 일하는 사람들은 평균적으로 보안에 더 민감한 편인데 이는 꾸준한 교육으로 인한 것이다. 많은 운영진들이 여태껏 보안을 ‘투자금 잡아먹는 구멍’이라고 인식했다면 이제 ‘안전한 것이 곧 돈을 버는 것’이라고 이해하기 시작했다. 그리고 그러려면 모든 조직원이 동참해야 한다. 실제 2014년에는 영업부문 담당자들이 보안에 더 신경을 쓴다고 한 응답자가 46%였는데, 2015년에는 59%로 늘었다.

이는 매우 고무적인 변화다. 돈과 정보를 직접 다루는 현장의 CSO들은 보안에 대한 현실을 직시하기 시작했다고 정리가 가능하다. 현실적인 직시를 하다보니 약점과 강점을 그대로 받아들일 수 있게 되고 이들을 적절히 활용하거나 보강하는 방법을 모색하기 시작했다. 그러다보니 조직 전체를 움직이는 방법론들이 등장하고, 기술에만 의존하는 것이 줄어들고 있다. 물론 이것만이 정답은 아니다. 하지만 바람직한 방향으로의 전환임은 분명해 보인다.

글 : 레니 셀바지오(Leni Selvaggio)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>