| Security & Enterprise 2.0을 향하여 | 2009.01.14 | ||
안에 깊숙이 들어가 있으면 전체를 보지 못하고 눈을 돌리지 않고서는 다른 면이 있다는 생각조차 못하는 것이 우리들의 모습이다. 변화는 안 되는 것의 가장 끝에 있다. 환경이 좋을 때는 변화를 생각하지 못하는 이유이다. 의도적으로 다른 관점으로 생각하거나 조장된 또는 실질적인 위기는 변화의 필요성과 명분을 만들어낸다. \r\n이번 호는 연재의 마지막으로 만남, 나눔, 신뢰, 그리고 공존을 소제목으로 해 보안과 안전에 관한 이야기를 ‘교육’이라는 화두로 정리하고 마무리하고자 한다. \r\n만남 \r\n지난 4회 연재의 큰 흐름이자 저변에 흐르는 공유, 개방, 참여를 근간으로 하는 웹 2.0의 정신은 처음엔 개방을 통한 만남으로 시작되고 지금까지 이어져 왔다. 누구에게나 개방, 즉 열려 있음으로 해서 만남을 위한 첫 준비는 이미 끝난 것이다. 수없이 많은 정보와 지식으로 가득한 블로그를 보라. 카페처럼 약간의 폐쇄성을 갖는 것도 있지만 각 분야별 콘텐츠와 전문적인 정보들은 무수히 많이 노출되어 있다. 그리고 내용의 참신성에 따라 때로는 정책기준이 되기도 하고, 여론을 수렴하기도 하며, 성찰과 논쟁을 통해 성숙해짐과 더불어 접하기 어렵던 전문가적 깊이도 얻을 수 있다. \r\n새로운 정보와 지식을 찾는 수많은 사람들에게 잘 정리된 전문가의 정보는 충분히 지침이 되고 방향을 설정하기에 더없이 좋은 역할을 한다. 온라인을 통한 쉬운(?) 만남이 오프라인을 통한 깊은(?) 만남으로 승화되고, 다시 온라인 대화를 통해 더 깊은 관계로 발전해 간다. \r\n보안 영역에서 각자의 길을 가는 두 사람을 생각해 보자. 물리적 보안과 기술적 보안을 담당하는 두 영역의 사람은 어쩌면 가장 가까워야 할 관계이다. 그러나 현재처럼 분리된 모습에서는 가깝지도 않고 심지어는 경계하기도 한다. 하지만 전사적인 위험을 관리해야 하는 목적 하에서는 가장 유기적으로 만나야 할 사람들인 것이다. \r\n이번 연재의 결론이기도 한 이른바 차세대 통합보안의 화두를 풀어내기 위해서는 서로를 이해하기 위해 만나야 하고, 스스로 자극 받아 더욱 높은 수준의 혁신과 개발을 위한 계기를 위해서도 만남이 있어야 한다. 이를 통해 앞일을 계획하고 신중하게 준비하여 전사적인 위험을 관리하는 공동 목적에 대해 논의할 수 있게 된다. \r\n학습에 대해 살펴보자. 한자로 學習을 풀어보면 어린아이가 양손에 책을 들고 익혀 백 번의 날갯짓을 통해 체화, 즉 나는 형태를 띠고 있다. 배워서 익히는 일인 학습은 강한 자극을 통해서 이끌어낼 수도 있지만 열린 만남을 통해 촉진되기가 가장 쉽다. \r\n기업의 보안과 안전관련 담당자들은 조직의 영속성을 보장하는 위기관리라는 명제 하에 의도적으로라도 만남이 이루어져야 한다. 그것이 지금과 같은 통합커뮤니케이션의 트렌드에 부합하는 길이고 혁신의 방법이 되기도 한다. \r\nSecurity 2.0도 좋고, 정보보호 거버넌스도 좋다, 전사적 통합보안관리면 어떻고 보안과 안전의 미래면 어떤가. 다른 영역에 있는 사람들이 만나서 공동의 목적을 이룰 수 있다면 온라인이든 오프라인이든 세계적 표준이든 업종별 베스트 프랙티스든 상관이 없다. \r\n만났을 때 서로의 다름으로 인해 적정한 자극만 주어진다면 자연스럽게 공동의 목표를 향한 학습은 촉진될 수 있을 것이다. \r\n나눔 \r\n보안관련 자료와 정보들은 전술한 전사적 위험관리라는 목적 하에 서로 공유되어야 한다. 공유에 이르러 나눔은 촉진되고 의미가 부여되며, 더불어 상호의존과 학습은 촉진된다. 물리적 및 기술적 보안조직은 보안과 관련해 사용하는 용어가 다름으로 인해 바라보는 관점이 다를 수 있지만 주체의 객체에 대한 접근보장이라는 보안의 가장 기본적인 명제에 있어 이미 충분한 공감대를 헝성하고 있다. \r\n제 아무리 훌륭한 통합계정관리 시스템을 가졌다고 하더라도 그 근간을 이루는 인원에 대한 물리적인 출입통제가 되지 않는다면 오히려 통합계정 관리는 아무런 의미를 가질 수 없다. \r\n또한, 인원에 대한 출입통제와 검색 등 모든 차원의 물리적 보안조치가 이루어졌다고 해서 개방된 유무선과 이동매체 등의 핵심정보자산의 보안이 보장될 수 없다. \r\n주체의 객체에 대한 접근 보장과 부정사용을 방지하기 위한 정보는 상호 공유되었을 때 보다 높은 효용가치를 가진다. 이를 기반으로 통합적인 모니터링 체계와 함께 세부적인 역할별 대응방안이 함께 고민되고 이렇게 만들어진 ERM이 지속적으로 개선되어야 한다. 더 나아가 각종 사전예방 및 인식제고 활동을 통해 학습과 숙련이 촉진되고, 사전에서 사후대응까지가 일련의 시스템으로 통합되어 있다면 자연스럽게 전사적인 리스크 관리가 가능해진다. \r\n즉, 나눔으로써 자연스럽게 상호학습이 일어나고, 보다 높은 목표이자 가치인 안전이라는 성과를 향한 발걸음을 내걷게 되는 것이며, 한 방향과 목표를 공유하게 되는 것이다. 이는 조직의 핵심인 비즈니스 영속성을 보장하는 첩경이다. 단지 나눔으로써 더 큰 가치를 만들어 내는 커뮤니케이션의 활성화는 어느 조직에서나 필요한 기본이 된다. 여기에 굳이 협업에 의한 혁신이나 2.0을 갖다 붙이지 않더라도 제대로 가는 조직이 되는 것이다. \r\n내부적으로 나눔이 가능한 조직은 업계의 기준과 더불어 글로벌 기준 즉, 표준에 대한 현재의 수준을 감지하고 목표로 하는 기준에 다가가기 위한 의도적이고 적극적인 협업 즉, 학습조직에 관하여 자연스럽게 논의할 수 있다. 이렇게 나누는 일련의 과정을 통해 자연스럽게 상호 인정하며 의존하게 되는 것이고 그러는 사이 자연스럽게 신뢰가 형성되는 것이다. \r\n태생과 추구하는 바가 다른 두 개의 조직이 하나의 공동목표에 의해 만나서 공유함으로써 생긴 신뢰는 소모적 경쟁과 비방이 아닌 생산적이고 유용한 혁신의 에너지로 작용하게 된다. \r\n두 개의 보안을 바라보는 실무조직과 더불어 정책 전략적 조직 또는 경영의 책임을 담당하는 조직이 이러한 대화에 자연스럽게 합류할 수 있다. 실무조직이든 정책조직이든 누가 먼저를 따지지 않고 공동의 목표인 비즈니스 영속성을 위한 대화는 수시로 이루어져야 한다. \r\n이러한 나눔의 환경을 조성하는데 있어 경영의 책임을 지는 조직에서 적정한 자극과 기대를 주는 것이 바로 하향식이다. 실무부서에서부터 논의되어 올라오는 상향식 접근도 좋겠지만 가장 먼저 인식한 중간의 기획조직이 먼저 나서는 이른바 미들 업다운 내지 미들 다운업이면 어떠한가. 누가 시작하건 간에 공동의 목표를 위한 나눔은 항상 그 빛을 발휘할 것이다. \r\n신뢰 \r\n공유와 개방에 참여하고, 만나고 나눔으로써 새로운 가치인 신뢰가 싹튼다. 이해와 참여는 자신을 아래에 둠으로써 가능해진다. 아래에 서서 이해하게 되는 것이고 상대로 하여금 공유의 장에 나서게 하는 것이다. 이를 위해선 먼저 행동하는 것이 중요하다. \r\n작은 것부터 행함으로써 신뢰를 형성하는 첫걸음이 시작되는 것이고 이는 결국 공존의 법칙을 만들어내는 것이다. 여기에서 가장 중요한 개념인 신뢰에 대해 한번 이야기해보자. 전술한 두 영역 즉, 물리적 영역과 기술적 영역 또는 논리적 영역과 관리적 영역이 같이 만나는데 있어 스스로의 의지가 없는 경우 어떤 방법이 좋을까. \r\n답은 멀리 있지 않다. 책임을 지는 조직 즉, 관리적 영역에서 원칙과 기준을 가지고 만남을 주선하면 되는 것이다. 전사적 통합위험관리라는 목표를 부여하고 두 영역이 적절히 협의하여 달성하는 거버넌스적 원칙과 기준을 제시하면 되는 것이다. \r\n보안이 특정부서의 대응이 아닌 것은 점차 일반화되어 가는 상식이다. 정보 시스템을 운영하는 부서에 부수적으로 맡겨지는 임무도 아니다. 개인정보보호가 중요하니까 CPO(Chief Privacy Officer)와 개인정보보호총괄담당 등과 같이 시대에 편승하는 조직과 자리하나 만든다고 해결되는 것도 아니다. \r\n이미 있는 것들을 공동의 목표에 따라 통합하고 새로이 요구되는 기준을 수용하며, 지속적으로 대응하는 유기체적인 시스템이 필요한 것이다. 이 시스템이 비즈니스와 공존하며 조직의 영속성을 지원하는 것이다. \r\n신뢰가 없는 것은 기준에 합의하지 않았기 때문이다. 조직에서의 신뢰의 근간은 책임을 지는 위로부터의 정책과 기준이다. 단지 그것만 있으면 된다. 경영진의 정책과 관심은 실제 행동으로 옮기는 조직의 태도를 결정한다. \r\n힘을 가진 조직이 원칙과 목표를 정했을 때 이는 주요한 내부기준이 되는 것이고, 그러한 바탕에 자연스럽게 공존과 공동의 비전이 점차 구체화되는 것이다. 구체화된다는 것은 점차 시스템에 대한 합의를 이루어간다는 의미다. \r\n사건과 사고가 일어날 때마다 반복되는 지엽적인 방책과 단순한 조치 하나로 보안 문제는 해결될 수 없다. 최종 목표 하에 제대로 설계된 시스템적 대응이 이루어져야만 미연에 방지하고, 적절히 대응하며, 지속적으로 효과를 발휘할 수 있다. \r\n이와 더불어 글로벌 컴플라이언스를 신뢰의 주요요인으로 인식하고 가장 기본적인 전체 시스템을 구성하는 요소의 하나로서 시스템에 포함되어야 한다. 규제에 대한 대응이 아니라 내부기준으로써 이를 포용하는 것은 비용절감뿐만 아니라 실질적인 대응을 위해서도 매우 중요하다. \r\n각 영역별, 단계별, 그리고 상황별 프로세스도 중요하지만 이것이 하나의 공동 비전에 따라 정렬된 시스템에서는 스스로 성숙해지는 이른바 학습 조직적 생태계가 형성되며, 신뢰라는 가치 하에 상호의존적 학습이 가속화되고, 더욱 견고해지며 아직 보이지 않았던 취약성에 대해서도 능동적인 대응이 가능해지는 것이다. \r\n그리고 공존을 위한 학습 \r\n앞선 조직과 기업에서 시험하는 정보보호 거버넌스에 의해 역할을 부여 받은 전사적 비즈니스 위험을 관리하는 통합보안체계는 물리적·기술적·관리적 세 개의 영역과 더불어 논리적인 영역이 역할에 따라 적절한 기능을 수행할 수 있다. 더 나아가 관련된 정보와 지식을 나누는 가운데 글로벌 기준을 넘어 조직에 특화된 최고 수준의 선례를 만들어 갈 수 있으며, 비즈니스를 지원하는 역할을 수행해갈 것이다. 그러한 조직에서 나타날 것으로 예상되는 지극히 일상적인 몇 가지 모습을 살펴보자. \r\n·정보보호가 실패할 경우 나타나는 비즈니스 영향력이 측정되고, 총체적 비즈니스 전략에 반영되어 관리된다. \r\n·이사회는 통합보안에 대한 인식이 확고하고, 비즈니스 영속성에 대한 중요성을 인식해 정보보호 투자의 성과와 사고대응을 주기적으로 보고받고 지속적인 관심을 나타낸다. \r\n·인적 측면에서는 입사에서 퇴사에 이르는 계정 관리가 시스템적으로 처리되며, 협력사에 대한 정책과 지침 하에 권한의 위임과 회수가 시스템적으로 작동하게 된다. \r\n·소프트웨어 개발 측면에서는 생성에서 폐기에 이르는 즉, SDLC에 기반한 보안 가이드라인이 지켜지고 확인되며, 발생 가능한 위험을 원천적으로 최소화시킨다. 더불어 애플리케이션 관리 시에 단위별 테스트와 더불어 총체적인 취약성이 분석된 후, 사용되는 형상관리에 있어서도 보안취약성 점검이 철저하게 이루어진다. \r\n·핵심 비즈니스와 해당 지원 프로세스가 전체에 미치는 영향이 분석되고 관리되며, 해당 부서장이 이를 인식해 수용 가능한 위험수준에 대해 개선책을 항상 제시한다. \r\n·네트워크와 시스템 영역별 보안은 정책과 지침 및 가이드라인과 기준에 따른 증설과 변경이 이루어지며, 원천적으로 접근에 대한 통제와 주기적 감사가 행해진다. \r\n·신규 프로젝트 시 각종 지침이 발주 시부터 운용 시까지 준수되고 감사되며, 상시적인 점검을 통해 위험이 구체적인 수치로 측정되고 조정될 뿐만 아니라 발생 가능한 위험요인들을 사전에 탐지하는 지속적인 연습과 교육이 행해진다. \r\n·정보자원뿐만 아니라 보안제품과 대응조직이 비즈니스 목표 하에 세부적인 정보 분석을 통해 획득되고 관리되며, 주기적으로 비즈니스 프로세스와의 연관성이 검토되고 개선된다. \r\n·이러한 기본적인 활동과 더불어 변화하는 각종 유무선 환경이나 이동매체, 저작권과 프라이버시 등의 개인정보보호에 관한 이슈뿐만 아니라 BI, ERP, CRM 등 글로벌 환경에서의 통합과 지역별 안배, 그리고 통합커뮤니케이션과 각종 규제 하에서 어떻게 비즈니스 영속성을 보장할 것인가에 대해 함께 고민하고, 능동적으로 전사적 비즈니스 위험을 측정하고 관리하여 보안 거버넌스를 원하는 경영진에 보고한다. \r\n전사적 비즈니스 통합보안인 ERM을 확보하는 것은 공유·개방·참여라는 이른바 2.0 현상에 대한 충분한 고려와 함께 조직이라는 영역에서 기본인 상호의존적인 신뢰, 그리고 공동목표를 달성하기 위한 열린 만남, 그리고 관련지식을 지속적으로 나눔으로 인해 형성되는 신뢰를 전제로 하지 않으면 이루어질 수 없다. \r\n이를 위해서 경영자는 리더십을 발휘하여야 한다. 리더십의 핵심적 요소 중 하나가 바로 영향력이다. 영향력은 가치 있고 중요한 과제와 일의 완수에 대해 심각성을 제공한다. 여러분이 경영자이면 비즈니스에 있어 가장 중요한 과제인 비즈니스 영속성을 보장하고 비즈니스 체질을 강화하며, 모범적인 전사통합보안체계 수립과 운영이라는 정보보호 거버넌스 정책과 지침을 하달하여야 한다. \r\n지금 바로 영향력을 행사하는 것이다. \r\n그리고 지속적인 관심과 후원을 보내면 된다. \r\n통합보안의 시스템적 사고를 위해서는 무엇보다 발상의 전환이 필요하다. 보안은 비용이 아니라 투자라는 것, 그리고 보안은 단순히 정보 시스템에 대한 침해예방이나 대응이 아니라는 것이다. 물리적인 접근을 통제하는 것만도 더더욱 아닌 보안은 비즈니스 영속성과 안전을 확보하기 위한 총체적인 접근이다. 지금부터 통합보안의 목표달성을 위한 다섯 가지 실천지침을 살펴보자. \r\n첫째, 기존의 단선적·단편적이고 한 방향만을 보는 평면적인 접근태도를 버리고, 전체적·유기적으로 사고하는 발상의 전환이 필요하다. 전문성을 강조하면서 단편적으로 한곳에 집중하는 태도로는 큰 사실을 인식하지 못한다. \r\n둘째, 시각의 지평을 넓힌 이후에 지금까지 각자 해오거나 새로이 함께 부여된 영역에서 숙련을 해야 한다. 여기서 말하는 숙련이란 전사적 비즈니스 위험관리라는 공동 목표를 향한 영역과 분야별 자신의 비전을 분명히 하고 집중력을 기르며, 현실을 객관적으로 보는 훈련을 의미한다. \r\n셋째, 이러한 단위조직들이 공유하는 가치이자, 정신적인 모델은 사물에 대한 종합적 인식 능력을 말한다. 종합적인 인식은 통합보안에 있어서 대응 수준과 방식에 절대적인 영향을 미친다. 이를 위해서는 세부적인 상황대응이 가능한 종합적인 인식능력을 지원하는 시스템이 마련되어야 한다. \r\n넷째, 종합적 인식능력과 더불어 지속적인 비전의 공유가 필요하다. 한번의 의사결정이 아니라 개인의 비전이 조직의 비전으로 승화되는 비전공유가 필요한 것이다. 이러한 비전은 관련된 조직 전체에 걸쳐 목표, 가치, 사명 등에 대한 공감대를 형성하는 것이다. 이를 위해 리더는 지속적으로 통합보안의 시스템적인 대응을 점검하고 확인하며, 지속적인 비전을 제시하여 긴장을 유지해야 한다. \r\n다섯째, 마지막으로 필요한 것이 단위영역별, 그리고 통합 시스템적 팀별 학습이 요구되는데 여기서는 팀워크를 이루기 위한 대화의 원리가 중요하다. 아래에 서거나 상대를 인정하지 않으면 대화는 언제든지 단절된다. 공유·공존을 위해 가장 기본적인 질서이자 의무인 커뮤니케이션의 단절은 결정적인 위험을 인지하지 못하고 현실을 왜곡하게 되며, 기본적인 신뢰를 망가뜨리는 내부의 적이기 때문이다. \r\n영역과 분야별로 나누어 수행해온 보안을 비즈니스 위험관리로 규정하고 지속적인 커뮤니케이션을 통해 자기혁신과 함께 미래지향적인 전사적 위험관리의 공감대를 형성시켜 나가는 일이 가장 중요한 것이다. \r\n\r\n
이상의 다섯 가지 실천지침은 필자의 의견이 아니다. 이는 1970년대 말 하버드대의 크리스 아지리스와 MIT의 도널드 숀이 처음으로 학문적 개념을 제시한 학습조직론을 바탕으로, 1990년 피터 센게가 ‘제5경영’에서 피력한 시스템 사고에 기반한 학습조직의 내용을 통합보안의 시각으로 필자가 재해석한 것이다. \r\n피터 센게는 어떤 기업이 경쟁기업보다 앞서 가려면 각 조직구성원들이 함께 새로운 것을 학습하고자 하는 열의와 재능을 계발할 수 있는 방법을 찾아내야 한다고 강조했다. 필자의 예단인지는 모르나 1990년대에 제시된 센게의 이론은 20여 년에 가까운 지금까지도 제대로 꽃을 피우지 못했다. \r\n그러나 다분히 동양적 정서인 통찰과 통합에 있어 우리가 가진 직관을 그들의 시스템적 접근에 차용함으로서 얼마든지 그 이론을 현실에 적용할 수 있다고 본다. 통합보안의 화두는 학습의 필요성과 더불어 2.0을 지나 3.0으로 나아갈 비전을 제시할 것이다. \r\n만남, 나눔, 신뢰, 공존을 위한 지속적 학습 \r\n이것이 보안과 안전을 구현하는 협업지능이고, \r\n비즈니스 2.0을 지향하는 Enterprise 2.0과 Security 2.0의 핵심이다. \r\n |
|||
 |
오늘날 일어나는 국내외 보안산업의 다양한 시도와 변화는 다음 단계로 가기 위해서 필요한, 그리고 극복하고 넘어야 하는 변화에 대한 기회비용이다. 이러한 때 보안실무자들은 현업에서 잠깐 뒤로 물러서서 보안과 안전을 바라보는 지금의 시각이 과연 얼마나 정확하고 올바른 것인지를 생각해 보는 것은 일보 전진을 위한 중요한 의미를 가질 것이다.