| “총체적인 보안이 필요하다” | 2007.05.09 | |
수년간의 기다림 끝에 나는 이 직업의 진실을 알 준비가 되었다고 단언했다. 우리가 하고 있는 일은 본질적으로 종합품질관리의 한 형태이다. 나는 당신이 ‘그거 변덕이야’, ‘선전에 불과해’, ‘내용없는 유행어야’, ‘보안과 아무런 관계없는 제조기술이야’ 등의 말을 할 것이라고 예상한다. 그렇지 않은가? TQM(Total Quality Management)에 대한 많은 오해가 있기 때문에 일단 TQM이 아닌 것으로부터 출발하자. 그것은 인간행동에 대한 엄격하고 객관적인 정량화를 의미하는 것이 아니고 보안 ROI를 계산하기 위한 메커니즘도 결코 아니다. 공정하게 말하면 오늘날의 TQM은 프레데릭 테일러(Frederick Taylor)의 개척자적 연구 덕분인데, 그의 시간과 동작에 대한 방법론적 연구는 재료덩어리의 밀도와 삽의 최적 크기간의 관계 같은 것들을 규명했다. 통계적인 관리가 여전히 중요함에도, 많은 경우 적용이 어려워 아무도 스톱워치를 가진 방화벽 기술자의 단계를 넘으려고 하지는 않을 것이라고 확신했다. 그렇다면 품질관리가 스톱워치나 통계학이 아니라면 과연 무엇인가? 핵심적인 개념은 약간의 훈련을 통해 특별한 방법을 피해갈 수 있다는 것이다. TQM은 모든 것에 있어 최선을 제공할 것을 보장하지 않는다. 단지 우리가 하고 있는 일이 지속적으로 개선될 것이라는 식으로 문제해결에 접근해 간다. TQM은 무엇이 잘되고 무엇이 안 되는가를 배우는 것이며 잘 되는 것을 더 하고 안 되는 것을 덜 하는 것이다. 이것은 단지 새로운 관리형태의 대유행이 정보보안의 세계에 흘러 들어온 것이 아니다. 몇몇 대형 기업들은 정보보안기능을 그들의 품질관리부서 내부에 오랫동안 보관해왔다. 1995년 마리오 디바르가스(Mario Devargas)는 「IT 보안에 대한 종합품질관리 접근」을 출간했다. 1990년대 후반에 마련된 BS 7799를 위한 인증표준은 피드백 루프를 포함한 프로세스 즉, 지향적 접근법인 정보보안 관리시스템의 주변을 기초로 한 것이었다. TQM과의 관계는 소위 데밍 플랜/Do/Check/Act (PDCA) 사이클을 사용한 업데이트 버전인 BS 7799-2:2002에서 분명해졌다. Check와 Act라는 말은 지속적인 프로세스의 개선을 의미하며 완전무결한 것을 얻을 수는 없지만 더 나은 것을 얻을 것이라는 예상이다. 프로세스의 성숙도에 대한 강조는 모든 보안문제를 해결할 신비스런 관리법의 한 종류를 의미하는 것이 아니며 TQM의 선택적 활용이 느리지만 확실하게 정보보안기능을 향상시키고 있다. 이러한 기술을 사용하는 최고 정보보안 담당자들은 우선순위와 목표를 선택하는 일을 더 잘하고 있고 설명을 할 수 있다는 이유로 비 IT 관리자들로부터 존경을 받고 있다. 비전문인들 역시 위험과 위험관리에 대해 더 정확한 설명을 요구하고 있다. 비즈니스 파트너들, 고객들 그리고 단속자들은 우리 기업들이 위험관리를 더 조직적인 방식으로 수행할 것과 더 정확하게 문서화할 것을 요구한다. 이는 TQM 기술을 위해 맞춤형으로 만든 요구사항이다. 사람들은 새로운 문제를 푸는 동안 일을 자연스럽게 하지 못한다. 제대로 작동하는 것을 배우는 데는 시간이 걸린다. 우리에게는 풀어야 할 많은 정보보안 문제가 있다. 그렇기 때문에 허풍스러운 전문용어로 인해 우리의 이익을 손해보지 않고 어떻게 하면 일을 제대로 할 것인지 알아내야 한다. <글: 제이 하이저 가트너의 연구 부사장> Copyright ⓒ 2006 Information Security and TechTarget
[월간 정보보호21c 통권 제81호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
||
 |
