| 시큐리티 2.0? 변화와 기회! | 2007.10.09 | ||||
인터넷 1세대가 보는 보안과 비즈니스의 변화
시큐리티 2.0은 보안의 3원칙(CIA)을 포함한 기술적·관리적·물리적 영역과 인식제고를 포함하고, 환경변화에 따라 새로운 위협이 주는 변화나 규제와 질서를 위한 법적 요구사항들이 기업과 개인, 그리고 연결된 환경에서 어떻게 대응되고 유용하게 작용할 것인가에 대한 문제이다. 또한, 정보와 지식을 통해 안전이라는 가치를 비즈니스가 존속하는 한 계속해서 제공해야 하는 진행형의 이야기라는 표현을 쓴 바 있다. 더불어 오늘날 정보보호는 비지니스에 있어 전략과 프로세스, 그리고 실행의 전 영역에 걸쳐 마치 몸의 신경과도 같은 형태로 진화하고 있고 과거보다 더 큰 영향력을 발휘하는 중요한 역할을 부여 받게 되었음에도 불구하고, 비즈니스 영속성만큼의 핵심은 아니기에 마케팅 구호와 무조건적인 정보보호 영역의 위기 또는 공포 조성의 남용 역시 경계해야 할 대상이라고 지적한 바 있다. 향후에는 정보보호에 관한 이슈가 현재 다양한 영역에서 문제되고 있는 프라이버시 영역까지를 포함해 더욱 세분화·고도화될 것으로 보인다. 이를 염두에 두고 이번 호에서는 IT 거버넌스를 맞아 시큐리티 2.0을 구성하는 세 가지 주요한 영역을 살펴보고, 변화와 기회가 어떻게 다른 것인가를 통해 새로운 환경과 비즈니스를 대하는 태도를 생각해 본다. 더불어 IT 거버넌스를 향한 Enterprise Security Architecture 등의 시각과 향후 보안업계가 나아갈 방향에 대해 짚어본다.
IT 거버넌스를 맞으며
그러나 관련내용의 개념적 리더십을 가지는 ITGI와 같은 조직은 ‘이사회와 경영진의 책임이다. IT 거버넌스는 기업 거버넌스의 통합적 측면에서 볼 때 부분이며, 조직의 전략과 목표달성을 뒷받침하는 조직구조와 프로세스, 그리고 리더십으로 구성된다’고 정의한다.
IT 거버넌스를 정의하는 단어들인 이사회, 경영진, 리더십, 기업 거버넌스, 기업전략, 비즈니스 등의 언급에서 보듯이 이는 당연히 경영의 책임이자 주관해야 할 주체이다. 그러나 현실적인 대부분의 논의는 IT 현업 즉 실무부서에서 주로 이야기된다. 간략한 결론은 IT 거버넌스는 기업 거버넌스에 종속되고 비 IT인 경영에 책임이 있다. 이는 IT 부서가 잘하지 않으면 점차 기술을 이해하는 경영의 뜻에 의해 언제든 종속되고 지배된다고도 할 수 있다. IT 거버넌스의 핵심적 동인은 회계 부정방지 등을 통한 주주가치의 보호를 목표로 IT와 전체 비즈니스 시스템에 대한 통제력을 갖자는 시도에서 비롯됐다. 또한, IT거버넌스는 오늘날 발생하는 회계부정과 같은 사건이 IT의 도움 없이는 불가능한 현실에서 비 IT 사람들이 IT 조직의 투자와 지출 프로젝트 등을 통제하려는 것으로 이해할 수도 있다. 그러나 거버넌스에 관련된 접근이 ITA/ EA, IT 컴플라이언스와 규제 또는 프로젝트와 포트폴리오 관리(PPM), ITSM, IT ROI 등의 IT 프로젝트에 집중적으로 이루어지고 있는 것은 무엇을 의미할까? 이는 IT의 미래진화 방향에 대한 이해와 방향성을 가진 거대 보안업체와 협업하는 컨설팅회사의 전략에 부응한 IT 전문가 주도의 프로젝트를 비 IT사람들이 지시(의사결정)해 구현되는 모습을 보인다는 점에서 답을 찾을 수도 있다. 보안업체와 컨설팅은 개념제시, IT 전문가는 실행적용, 비IT 경영진의 의사결정이라는 세 개의 주체가 거버넌스에 의한 새로운 비즈니스와 혁신전략 창출의 차원에서 접근하고 있는 것이다. 또한, 완전히 새로운 것이 아니라 기존에 존재해 온 시스템들을 재정렬하고 요구되는 혁신을 수용해 보다 비즈니스 지향적으로 재편하자는 의미로도 해석할 수 있다. 이러한 상황에서 IT 거버넌스를 이루는 핵심적인 기반체계의 하나라고 할 수 있는 보안은 EA를 예로 들더라도 Enterprise Security Architecture와 같은 형태의 구체적이고 명확한 대응이 되도록 과거와는 다른 새로운 도전을 받게 되는 것이다. IT가 이러한 새로운 도전을 받듯이 보안 역시 엔터프라이즈와 비즈니스 혁신, 더불어 거버넌스를 이해하지 않고는 더 이상 사업을 계속하기가 힘들어졌다는 뜻이다. IT 거버넌스 지향 시큐리티 2.0의 해부
지난 호에서 언급한 시큐리티 2.0, 즉 정보보호 혁신의 구조를 세 가지 측면에서 살펴보자. 하나는 이른바 표준에 관한 측면, 또 다른 하나는 현실적인 기술측면, 마지막 하는 바람직한 통합 측면이다. 물론 이는 개인정보보호 이슈의 제기와 같은 제도적 환경 변화와 그에 따른 개개인의 책임과 같은 문제를 포함하는 것이다. 표준 측면 가장 처음에 표준을 이야기한 것은 나름의 이유가 있다. 근래에 이야기되는 지식정보화와 지식경영의 새로운 방향인 집단지성과 같은 이슈와는 별개로 마음만 먹으면 바로 공유해 향유할 수 있는 측면의 국제 표준을 현재까지의 함축된 지식으로 인정하고 따르자는 뜻이다. BS7799를 지나 ISO27001로 정착한 정보보호관리체계는 정보보호에 있어 가장 일반적이고 다양한 분야에 적용된 기준이라고 할 수 있다. 물론 국제기준이 다 옳다는 뜻은 아니다. 이미 오랜 시간을 거치면서 개정·증보되면서 현재에 채택하기 좋은 기준이라는 뜻이다. 또한, 이를 보완하거나 경쟁관계에 있는, 최근 4.1로 개정된 CoBit과 같은 기준 역시 채택하고 실천하게 되면 단 시간 내에 적정한 수준으로 올릴 수 있는 좋은 예시와 기준이 될 수 있다. 더불어 필요하다면 동일 분야 업계 선두의 기준을 따르거나 타 분야의 표준을 이용할 수도 있다. 이들을 참고로 한 국내의 기준이나 대기업 그룹단위에서 정한 표준 역시 가장 기본적인 역할을 하게 된다. 예를 들어 PWC와 같은 조직은 글로벌 파트너에게도 자신의 기준을 따를 것을 요구하고 있다. 국내 굴지의 한 그룹은 주요 협력사에게 보안영역의 경우 ISO27001의 획득과 유지를 요구한다. 그렇게 함으로써 최소한의 기준에 의한 관리를 가능케 한다. 현실적인 기술 측면 두 번째는 현실적인 기술 측면이다. 표준의 채택은 관리적 거버넌스 영역의 기준으로 유효한 것이고 이들 기준은 실제적인 기술로 구현되고 운영되는 것이 일반적이다. 여기서 말하는 기술 측면은 CC, 보안성 평가 등과 같은 각종 규정과 기준에 따라 검증 받은 상용제품에 의한 표준정책과 세부시행지침의 실천을 의미하지만 경우에 따라서는 공개돼 있는 기술도 어느 정도의 수준에서는 효과적으로 활용할 수 있고 어느 경우에는 더 유효하게 작용할 수도 있다. 예를 들어 웹 방화벽을 보유하지 못한 기업의 경우 KISA에서도 보급을 권장하고 확대되도록 유도하는 공개용 웹 방화벽의 적용은 가장 최소한의 비용을 통해 필요한 기술적 요인을 확보함으로써 효과를 얻게 되는 현실적인 기술요건이 될 것이다. 바람직한 통합 측면 마지막으로 시큐리티 2.0의 핵심구조중의 하나는 바람직한 방향의 통합이다. 이는 누가 주도해 물리적·기술적·관리적 보안뿐만 아니라 논리적 보안에 관한 전반사항을 통합하고 운영의 핵심을 차지할 것인가의 문제가 아니라 지속적으로 비즈니스 혁신과 전략을 능동적으로 보조할 것인가의 문제이다. 더불어 세부적인 내용으로 통합의 영역은 관리적·기술적·물리적·논리적 영역이 통합돼야 한다는 것이다. 따로 놓는 순간 보안에 있어서 가장 중요한 요인 중의 하나인 경계취약점이 생긴다. 더불어 전사적인 위험관리에 대한 관리적 비용 역시 증가한다. 게다가 책임의 한계가 불분명해져 디지털 정보의 법적 한계와 함께 비즈니스 영속성 측면에서 위험에 노출되게 된다. 따라서 IT 거버넌스에 맞는 시큐리티 2.0을 달성하고자 하는 조직의 관리부서와 기술부서 또는 정책부서의 권한과 책임을 논하기에 앞서 감사부서까지도 가능한 협업을 통해 비즈니스 영속성에 실질적으로 기여한다면 그 주체는 누가 되어도 좋을 것이다. 더불어 기술적 보안에 충실해온 나머지 간과한 물리적 보안에 관한 이슈를 포함한 산업보안적인 대응과 전통적인 관리적 보안에 대한 접근을 지속적으로 확대·발전시키는 측면에서도 고려할 필요가 있다. 변화와 기회가 어찌 다를 것인가 정보화·지식화를 지나 이른바 참여·공유·개방에 의한 협업을 표방하는 2.0의 큰 조류에서 보듯이 또다시 세상은 커다란 변화의 소용돌이 속으로 들어가고 있다. 이 변화는 분명 위험과 함께 기회를 갖고 있다. 변화의 방향이 블랙홀과 같은 형태로 진행될지 적정한 간격을 유지하는 낭만적인 생태계가 될지를 예측하는 것은 개인의 선택이 되겠지만, 고객가치의 혁신과 사회적 책임을 위한 유료 서비스의 무료 제공과 같은 근본적인 혁신은 앞으로도 지속될 것이다. 위키노믹스의 집단지성을 통해서도 알 수 있듯이 개인과 조직의 관점에서 과거와 달리 더욱 양쪽의 입장과 영역을 인정하는 단계로 가고 있다. 자기조직화와 지식을 가진 주체로써 점점 그 세력을 더해가는 개인이 필요로 하는 상품과 서비스는 이를 구현하기 위한 통합커뮤니케이션(UC)과 비즈니스 2.0, 즉 엔터프라이즈 2.0을 지향하는 조직에게 있어 최대의 도전이자 기회가 될 것이다. 어찌됐거나 물리적·재무적, 그리고 전통적 위계조직보다는 지식을 가지고 타인과 더불어 자기조직화를 이루는 방향으로 힘의 이동은 점차 가속도가 붙고 있다. 이러한 상황에서 국내와 같이 너무 여러 영역으로 세분화된 보안 생태계는 필연적으로 적자생존에 따라 재편될 것이고, 글로벌 검증이라는 절차를 거쳐야만 하며, 더불어 국내의 모든 보안관련 이슈는 IT 거버넌스에 대한 대응으로 지속적인 시큐리티 2.0을 실천하는 회사와 IT 거버넌스를 무시한 과거에 존재했던 회사를 나누게 될 것이다. 논란거리가 될 수 있는 비유를 하나 들어보자. 오늘날 글로벌 경영상황에서 점차 부각되는 지속기업, 존경 받는 기업의 조건인 기업의 사회적 책임 CSR(Corporate Social Responsibility)을 실천한다는 대의적 명분 하에, 인터넷을 안전한 클린 세상으로 바꾸자고 시도하는 상용 서비스의 무상 제공과 같은 비즈니스 전략은 유관산업계의 공격의 화살을 피하면서 좀 더 큰 사회적 자본을 만들며 실리를 취하는 시큐리티 2.0적인 사고로 볼 수는 없을까. 더불어 이런 시도를 열악한 국내가 아니라 해외에서 먼저 시행하는데 과연 용기까지 필요한 것일까. 이것이 바로 능동적 변화이고, 시큐리티 2.1, 엔터프라이즈 3.0, 비즈니스 4.0은 아닐까. IT 거버넌스를 향해 보안도 넓고 큰 시각을 가져야 한다 큰 이야기인 IT 거버넌스에 있어 작지만 중요한 하나의 영역인 보안이 차지하는 범위와 위상은 인간욕구의 발달단계, 즉 단계 중 가장 아래에 위치한 근본적인 안전에 대한 욕구 측면에서 보안을 이야기할 수 있을 것이다. 어쨌거나 보안에 있어서도 양극화가 필연적으로 형성되고 있는 모습을 볼 수 있다. 성과가 좋은 기업은 보안 역시 높은 수준을 요구하며, 더욱더 안정적인 형태로 바뀌고 있다. 이들 조직에서는 개발단계에서 최종 폐기단계에 이르기까지 전체 라이프사이클을 염두에 둔 보안정책과 지침을 적용하는 것이다. 그럼에도 불구하고 보안은 비즈니스 종속적이고, 지속형의 현실에 따른 혁신을 요구받는다. 비즈니스가 지속되는 한 계속될 시큐리티 2.0은 단절이 아닌 지속적 혁신으로, 보이지 않는 위험에 대응하는 근원적인 변화를 의미한다. IT 거버넌스가 단지 몇 년의 유행으로 끝나지 않고 기업이 존재하는 한 지속될 것임을 감안하면 보안영역에 있어 새와 같이 한눈에 내려다보는 광의의 시각은 Enterprise Security Architecture라고 정의하든, 안전을 확보하기 위한 근본적이고 총체적인 대응이든, 차세대 통합보안전략이나 시큐리티 2.0이라고 정의하든 상관이 없다. IT 거버넌스에 효과적인 넓은 보안에 대한 시각은 지난 호에서 결어로 쓴 “비즈니스 2.0은 임직원은 물론 고객뿐만 아니라 경쟁자와도 열린 자세와 만남으로 가능한, 새로운 시대가 요구하는 뼈와 태를 바꾼, 공유·개방·참여의 혁신을 실천하는 공존기업의 틀이자 일하는 방식이다”를 위해서도 가장 기본적인 접근방식이 된다. 새롭게 일하는 방식이자 혁신의 문화인 엔터프라이즈 2.0에 대응하는 시큐리티 2.0은 지식의 재분배를 통해 부의 미래를 결정짓는 핵심요인이 될 것이라는 조심스런 예측이 사실로 확인되기 전인 바로 지금이 위기이자 기회이고, 변화의 정점에 있는 화두로서 다가온 현실이다. 이번 호를 통해서 기술한 시큐리티 2.0의 구조적 세 가지 틀 즉 표준수용, 기술응용, 영역통합은 앞으로의 기술 발전에 따라 가능한 것이 아니라 거버넌스의 핵심요소중의 하나인 비즈니스 리스크를 바라보는 경영자와 동반자인 각 영역의 핵심 리더인력의 근본적인 인식변화가 일어났을 때 적용 가능한, 이미 검증된 구조적 요인이자 보안전문가는 알고 있는 기본적인 지식이란 점을 강조하고 싶다. 더불어 경영자에게 조언하는 경영컨설팅 회사에 기회를 빼앗기기 전에 보안영역의 전문가로서 각 조직의 CIO, CFO 등을 설득하는 것은 물론 최종적으로 주주를 대신한 경영자와 CEO에게 참된 조언을 하는 이 땅의 의식 있는 보안전문가들에게 IT 거버넌스의 구체적인 실천대안으로써의 시큐리티 2.0의 혁신과 리더십을 기대해본다. <글: 김양욱 STG시큐리티 사업총괄이사> 김 양 욱 이사는 1989년부터 한국과학기술원에서 국내최초의 인터넷 전용회선 구축운영. 1994년 이후 삼성물산 국제경영연구소 인터넷 인프라 구축 이후, 삼성경제연구소 인력개발원 기획개발/컨설팅팀 소속으로 삼성그룹 교육정보 DB 기획/구축/운영 총괄. 2000년부터 해커스랩 교육사업본부장과 시큐리티맵의 기획이사를 거쳐 2003년부터 STG시큐리티에서 컨설팅사업본부장을 거쳐 현재 사업총괄이사 재직 중.
[월간 시큐리티월드 통권 제129호(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|||||
 |
