보안은 일상의 재난시에 발생할 수 있는 물과 전기 결핍 같은 다양한 가능성을 고려하는 시나리오 기반 위험분석을 포함해야 한다. 또한, 원격 사용자에게 업무량을 분배시킬 경우, 개인 방화벽(Personal Firewall)과 같은 보안 컨트롤 시스템을 사업계획 속에 포함시키는 것을 결코 잊어서는 안된다. 

대부분의 사업분야들은 그들의 기업과 조직을 잠재적 조류독감 유행병으로부터 보호하기 위한 전략을 세우고 있다. 이런 계획들 대부분은 종업원들을 먼 곳에서 일하게 하는 것과 사무실 밖에서 종업원들이 감염되지 않도록 하면서 업무에 지장없이 제대로 진행되도록 하는 기본적 자체 검역에 초점을 맞추는 경향이 있다. 그러나 이런 전략들은 정말 중요한 사실을 간과하고 있다. 우리가 제어할 수 있는 것은 우리의 원격 사용자들을 지원하는 공유기반 구조와 본부 상시 운영계획뿐이다.

만약, 가능성 있는 유행병에 대처하는데 모두 동일한 접근법을 채택한다면, 사업연속성 계획(BCP:Business Continuity Planning)과 재난복구 계획에 공공기반 구조(Public Infrastructure)가 포함되어야 한다. 즉, 사람들이 일정한 시간동안 머물 수 있게 물과 식량, 피난처가 마련되어 있어야 한다. 직원들이 컴퓨터와 전화, 전등을 켜고 DSL, 케이블, 전화선으로 멀리 있는 사람과 의사소통하기 위해 전기가 필요하다.

또한, 그런 방법들을 이용할 수 없을 경우에는 회사 외부 이메일을 통해 의사소통하는 방법들이 필요하다. 하지만 알고 있듯 이런 서비스들 대부분이 각 기업의 제어영역밖에 있기 때문에 위험성이 증가할 수밖에 없다. 

식료품점, 약국, 주유소 같은 사업체들의 원격 사용자 모델은 다른 사람들과의 접촉을 피하고자 하는 동안 정말 딜레마를 야기하게 되어, 선택의 여지조차 없다. 그런 경우, 고용주는 역병으로 인해 야기되는 더 큰 수요와 보건을 비교해, 사업을 개방해 둘 필요에 대해 결정을 해야 한다. 종업원을 효과적으로 보호하는 것에 대한 법적 책임, 의료보험 혜택청구, 효과적인 운영시간, 강제적 정부 조업정지 같은 다른 이슈들이 BCP 개발을 힘들게 할 수 있다.

우리는 우리가 속한 가정과 지역사회에 대해 재난복구계획을 수립할 필요가 있다. 아이들이 학교에 갈 수 없을 수도 있다. 만약, 많은 가정이 직업을 갖고 업무를 계속하기 위해 동일한 광대역 커넥션에 접근할 필요가 있다면 무슨 일이 생길까? 식료품과 가스, 물을 얻기 위하여 누가 자발적으로 나설 것인가? 

결론은 모든 것이 순조롭게 돌아가기 위한 긴 의존성의 고리이다. 이 아이템들 가운데 일부는 우리가 컨트롤할 수 있지만, 일부는 그렇지 못하다. 또한, 위험분석 툴을 통해 이런 중요한 사항을 사업지도자들에게 알려야 하는 게 우리의 몫인 것이다.   

효율성을 확보하기 위해, 물과 전기결핍 같은 다양한 가능성을 고려하는 시나리오 기반 위험분석을 채택한다. 또한, 멀리 있는 사용자에게 업무량을 분배시킬 때 당신의 계획속에 개인 방화벽(Personal Firewall) 같은 보안 컨트롤 시스템을 포함시키는 것을 결코 잊어서는 안된다. 

마지막으로 나는 여러분들 각자가 지역 커뮤니티, 공익설비, 기반구조를 공유하는 다른 공급자들의 BCP 계획을 이해하고 있어야 한다고 강조하고 싶다. 어떤 서비스가 합법적인 요구이며, 제공이 보장되는지 알고 있어야 한다. 열려있는 식료품점에서 광대역 서비스까지, 당신의 위험분석 점검항목을 정리하다보면 증가하는 리스트 항목에 놀랄 수밖에 없을 것이다.

<글: 리처드 로혼>

CISSP, CISA인 리처드 로혼(Richard Lawhorn)은 포춘지 선정 500대 보험 재무서비스 회사의 수석 IT 보안임원이다.

Copyright ⓒ 2006 Information Security and TechTarget

 

[월간 정보보호21c 통권 제75호(info@boannews.com)]

           

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>