| 연방정부. 보안규제 강제력 강화해야 한다 | 2007.04.02 | |
연방정부의 보안규제가 도움이 되는가? (2)
보안규제를 지시하는 생각은 최소일치 관행, 즉 시작단계부터 심지를 세우는 것이다. 필자가 하는 말이 어렵게 들린다면 유감이지만 치료기준선이 있는 우수한 컴플라이언스조차 ‘칭찬’을 받아서는 안된다는 것이다. 연방정부가 엄청난 비용을 쓰고 있지만, F에서 D로 올라간 것은 성취의 증거가 아니다. 그것은 무능과 잘못된 운영, 낭비의 증거이다. 브루스가 말하듯이, 배상책임으로 이동해 가는 것은 매력적인 접근이다. 그러나 동물에게 벌을 준다고 해서 옳은 일을 하도록 훈련시킬 수는 없다. 공공기관 및 기업, 개인에게 배상책임을 부과하는 것은 단지 벌을 주는 것이다. 우리에게는 효과적인 최소한의 기준선이 필요하다. 그러나 불행히도 기준선이 훨씬 더 낮을 수 있다. 정보보호 분야에서 불길한 징조중 하나는 이미 약화된 연방정보보호관리법 (FISMA), 사베인스-옥슬리 법안, 건강보험 이전가능성 및 책임에 관한 특별법(HIPAA)이 미래에 더 약화될 가능성이 있다는 생각이다. 한 IT 업계의 중역은 규제를 지키지 않았을 때의 불리한 면이 증가하는 것보다 컴플라이언스의 비용이 더 빨리 떨어지고 있기 때문에, HIPAA를 2~3년간 무시하는 것이 오히려 성공적인 전략이 될 것이라는 의견을 내놓았다. 이런 사람들에게 책임을 지울 수 있다고 생각하는 것은 너무 순진한 발상이다. 연방정부의 입장에서, 당국 IT 관리자와 중역에게 보내지는 메시지는 결국, “규제를 준수하시오, 그렇지 않으면 우리가 음, 더 많이 규제를 준수하라고 말할 것이오!”라고 말하는 것이다. 사실 필자는 연방 IT 규제를 찬성하는 사람이다. 그러나 사람들은 “10 플러스 테라바이트의 데이터가 중국행 네트워크에 남아있는 것을 회사가 알게 되었을 때, IT 부서의 모든 관리자들이 정보담당최고책임자(CIO)가 해고되는 것을 보아 왔다” 하지만 아무리 무능할지라도 공무원은 자리에서 해고되지 않는다는 것을 알고 있다. 이런 사실이 연방정부의 규제를 ‘종이 호랑이’로 만들어 버리게 되었을 것이다. 그러므로, 연방 IT 보안규정이 알프레드 E. 노이만(Alfred E. Neuman)이 아닌 나폴레옹 보나파르트가 만들었고, 블라드 드라큘라가 집행하는 것처럼 강화될 필요가 있다. 규제와 배상책임간의 균형을 맞추는 지점이 브루스와 가장 의견이 일치하지 않는 부분일 것이다. ‘규제가 경제의 모든 것’이라는 그의 말은 옳다. 그러나 배상책임 또한 그러하다. 그리고 보안에 관해 경제적 관점을 취하는 데 있어서의 문제점은, 사람들로 하여금 존재하지 않는 타협이 있다고 믿게 만들 수 있다는 것이다. 보안이 배상책임에 의해 추진되도록 하는 것은 그것을 여전히 경제문제로 보고 있음을 의미한다. 그러나 경제는 결국 변호사와 배상책임 분석가의 통제하에 있다. 경제적 문제로 보안에 접근하기를 원하는 누구도 21세기 정보화 시대의 정보전쟁이 얼마나 큰 위협요소를 포함하고 있는지, 그것이 사회에 얼마나 큰 영향을 미칠 것인지 알지 못한다. 또한, 어느 정도의 피해를 줄 것인지에 대한 측정이 불가능하고 그로 인한 비용 또한 측정할 수 없을 정도라는 것을 알지 못한다. ‘연방 보안규제’에 대한 필자의 생각은 서구문명에 대한 간디의 유명한 말, “나는 그것이 좋은 생각이라고 생각합니다”와 흡사하다. 그러므로 우리가 시행하는 규제가 실질적으로 강력한 강제력을 갖도록 해야 할 것이다. <글: 마르커스 라넘> Copyright ⓒ 2006 Information Security and TechTarget [월간 정보보호21c 통권 제74호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
||
 |
