| 힘빠지는 정보보호 관리자들...실태 보고 | 2005.11.17 |
<정보보호 관리자 실태 보고서> CONCERT 회원 100명에게 물었습니다
정보보호 관리자들이 지쳐가고 있다. 정보보호 관리자들의 고충의 원인은 이미 오래 전부터 알려져 왔다. 시스템·네트워크 관리겸업으로 인한 업무과중, 내부직원들과의 마찰, 정보보호에 대한 경영층의 무지, 여기에 안팎으로 괴롭히는 유해 트래픽과 내부 정보유출 시도까지. 정보보호 관리자들을 괴롭히는 요소는 한두가지가 아니다. 하지만 그 어디에서도 이들의 실상을 정확하게 알린 적은 없었던 것 같다.
그저 ‘그들은 힘들 뿐’, 그 이하도 그 이상도 아니었다. 그런 의미에서 이번 특집은 정보보호 관리자만을 위한 특집을 꾸며봤다. 여기에는 솔루션을 효율적으로 운영하는 보안 담당자의 이야기도, 내부직원들의 마찰을 극복한 보안팀의 이상적인 이야기가 아닌, 보안 담당자들의 현실적인 이야기를 담고자 했다.
때문에 이들이 겪는 어려움의 원인은 무엇이고, 이 문제를 풀기 위한 해결책은 무엇인지를 제시하기에는 부족할 수 있다. 그러나 이번 특집의 목적 역시도 처음부터 원인과 해결책을 제시하고자 한 것은 아니다. 설문조사, 인터뷰, 그리고 그들이 말하는 에피소드들을 통해 이들이 어떤 생각을 가지고 보안이라는 업무를 수행하고, 국내 정보보호 관리자의 실태가 무엇인지를 알리고자 했을 뿐이다.
정보보호 관리자들이 자신의 업무에 대해 어떻게 생각하고 또 어떤 문제들이 이들의 업무를 가로막고 있는지 살펴보기 위해 한국침해사고대응팀협의회(CONCERT) 회원을 대상으로 CONCERT 사무국과 공동으로 설문조사를 실시했다. 국내에서 정보보호 업무를 비교적 모범적으로 수행하고 있는 것으로 알려진 이들인 만큼 정보보호 관리자들의 생활을 가늠해 볼 수 있는 좋은 척도가 될 수 있을 것으로 보인다.
실제로 CONCERT 회원 100명이 대답한 답변 역시 일정한 패턴을 보임으로써 정보보호 관리자가 느끼는 다양한 상황이 비단 특정 기업에 국한된 문제가 아님을 간접적으로 엿볼 수 있었다. 다만 설문조사 결과, 정보보호 조직에서도 양극화의 조짐을 보이고 있어 부익부, 빈익빈 현상이 나타나고 있음을 짐작해 볼 수 있었다.\ “저희가 갈 곳이 IT 부서 말고 더 있습니까” 1. 현재 귀사의 보안 관련 부서가 소속된 곳은 어디입니까?
2. 귀하의 업무에 해당하는 내용을 모두 선택해 주시기 바랍니다(중복 답변 가능). ①네트워크 관리 ②시스템 관리 ③PC 관리 ④보안 솔루션 관리 ⑤보안정책 수립
3. 보안업무를 보조해 줄 수 있는 인원은 몇 명입니까?
4. 보안사고 혹은 보안경보 발생시 어떻게 대처하고 계십니까(중복 답변 가능)?
5. 보안 솔루션 구매 프로젝트를 진행하려다, 경영진에 의해 계획이 무산된 적이 있습니까?
“보안보다 업무 효율성이 우선” 6. 업무 효율성과 보안정책이 서로 상충될 경우, 회사정책은 어떻게 결론이 나게 됩니까?
7. 사내 보안정책이 실제로 10건 중 몇 건이나 제대로 이뤄진다고 생각하십니까?
8. 보안정책이 제대로 적용되지 않는 이유가 무엇이라고 생각하십니까? (7번항목의 ①·②번 답변자)
“정보보호 관리자가 되기 위해서는 억울함도 감수해야 한다” 9. 사내 보안정책 상 사내 PC에 의한 보안사고 발생시 책임소재는 어디에 있습니까?
10. 보안업무와 관련한 지적사항 발생시 억울하다는 생각을 해보신 적이 있습니까?
11. 보안업무에 종사하면서 업무 수행 능력을 제대로 평가받고 있다고 생각하십니까?
12. 자신의 보안 업무능력을 제대로 평가받기 위해서는 초점을 어디에 둬야한다고 생각하십니까?
“정보보호 부서에 힘을 달라” 13. 사내에서 보안팀의 위상이 타 부서에 비해 높다고 생각하십니까?
14. 일반적으로 보안업무는 힘든 직종으로 알려져 있습니다. 그 이유가 무엇이라고 생각하십니까(중복 답변 가능)?
15. 지금하고 있는 보안 업무에 대해 어느 정도 만족하고 계십니까?
[한수진 기자(is21@infothe.com)] <저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>
|
|
 |
가장 기초적으로 현 정보보호 조직이 소속된 부서를 묻는 질문에 압도적인 다수가 IT/업부지원부라고 답했다(85%). 최근 정보보호 조직의 역할과 범위가 단순히 IT 분야에 국한된 것이 아닌, 전사적인 범위로 넓어지고 있다는 사실은 감안해 보면, 분명 아쉬운 대목이다. 특히, 독립된 감사부서나 인사관리부 등 타 부서에게 영향력을 미칠 수 있는 부서에 소속된 정보보호 조직을 가진 기업이 단 한 곳도 없다는 사실은 국내 정보보호 조직의 근본적인 한계를 의미한다고도 볼 수 있다.
네트워크, 시스템, PC 관리, 보안 솔루션 관리 그리고 정보보호 정책 수립 등 정보보호 관리자의 업무영역에 대한 물음에서는 예상(?)대로 절반 이상의 답변자가 4개 이상의 업무를 수행하는 것(56%)으로 나타났으며, 그중에서 5개의 업무를 소화해 내는 슈퍼맨급 정보보호 관리자도 전체 중 30%를 차지했다. 반면 2개미만의 정보보호 업무를 담당하는 관리자의 수도 약 27%에 이르는 것으로 나타났는데, 이는 CONCERT 회원사중 정보보호의 업무가 정착된 대기업이나 일부 금융기관에 해당하는 것으로 파악됐다. 한편, 의미있는 결과로 단 하나의 업무만 담당하는 관리자들은 보안 솔루션을 운영하는 것이 아닌 보안정책 수립 업무를 하는 것으로 나타났다는 점이다.
한편, 많은 업무를 담당해야 하는 정보보호 관리자를 도와줄 수 있는 인원에 대한 설문에서는 비교적 고른 답변이 나왔다고 볼 수 있다. 1~2명인 기업이 가장 많은 것(39%)으로 나타났으며, 2명 이상인 곳도 25%를 차지했다. 하지만 긴급 상황 발생시 단 한 명만이 지원할 수 있는 곳(24%)이나, 현재의 관리자가 아니라면 정보보호를 담당할 직원이 아예 없는 곳(12%)도 적지 않은 것으로 나타났다. 여기에서 어떤 부서의 혹은 어떤 직위의 사람들이 지원을 하느냐도 중요한 문제라고 볼 수 있는데, 대기업이나 금융기관 몇몇 곳을 제외하면 대부분은 IT 분야의 직속상관이 보안 업무를 지원하는 것으로 알려져 있다.한편, 많은 업무를 담당해야 하는 정보보호 관리자를 도와줄 수 있는 인원에 대한 설문에서는 비교적 고른 답변이 나왔다고 볼 수 있다. 1~2명인 기업이 가장 많은 것(39%)으로 나타났으며, 2명 이상인 곳도 25%를 차지했다. 하지만 긴급 상황 발생시 단 한 명만이 지원할 수 있는 곳(24%)이나, 현재의 관리자가 아니라면 정보보호를 담당할 직원이 아예 없는 곳(12%)도 적지 않은 것으로 나타났다. 여기에서 어떤 부서의 혹은 어떤 직위의 사람들이 지원을 하느냐도 중요한 문제라고 볼 수 있는데, 대기업이나 금융기관 몇몇 곳을 제외하면 대부분은 IT 분야의 직속상관이 보안 업무를 지원하는 것으로 알려져 있다.
정보보호 관리자들이 정보보호와 관련해 가장 아쉬워하는 요소 중 빠지지 않고 등장하는 것이 있다면 미흡한 커뮤니티 활동이다. 이런 사실은 정보보호에 있어 정보교류의 중요성을 감안할 때, 보안사고 발생했을 시 이들이 할 수 있는 역할도 매우 제한적임을 의미한다. 보안사고 발생시 대처방법에 대해서는 보안부서 자체 해결(35%)과 보안 전문업체에 의뢰하는 대처방법(38%)이 비슷한 것으로 파악됐다. 이에 반해 보안 커뮤니티를 이용한다는 답변은 불과 13%에 그쳐, 현재의 정보보호 조직들이 상대적으로 폐쇄적으로 운영되고 있음을 반증한다고 볼 수 있다. 한편, 정부기관에 의뢰하는 경우는 예상밖으로 극히 드문 4%로 불과해 눈길을 끌었다.
솔루션 도입이 정보보호를 수행하는 유일한 방법은 아니지만, 솔루션을 도입함으로써 관리자들의 업무량이 줄어든다는 사실은 부정할 수 없다. 그러나 투자대비 효과나 가시적인 이익이 드러나지 않는 정보보호 솔루션을 도입하기 위해 경영진을 설득하기란 쉽지 않은 문제. 그나마 최근에는 많은 기업들이 비교적 원활하게 보안 솔루션을 도입하고 있는 것(47%)으로 나타났지만 여전히 보안을 솔루션을 구매하는 데 애를 먹는 기업들도 절반이 넘는 것으로 나타났다(53%). 이중 거의 구매하지 못한다는 답변이 36%나 차지하고 있다는 점은 다소 의외로 받아들여진다.
기업이 정보보호를 포기한다면 모를까, 모든 기업에서 언제나 논란이 될 수 있는 것이 업무효율성과 보안정책의 대립이다. 과거에 비해 정보보호에 대한 인식이 변화했다는 최근에는 어떤 결과가 나올지 궁금했지만 그 결과는 ‘역시나’. 보안을 우선적으로 고려한다는 기업은 32%에 그친 반면, 여전히 대다수의 기업에서는 업무 효율성을 선택하는 것으로 나타났다(68%). 언제쯤 이 결과는 비슷해 질 수 있을까.
앞서 보안이냐 업무 효율성이냐를 묻는 설문에서 약 30% 가량의 답변자만이 보안을 우선적으로 고려한다고 했던 것이 보안정책의 실효성에도 반영 됐다고 볼 수 있다. 10건 중 7건 이상 정책이 실효를 거두고 있다고 자평한 관리자는 34% 정도이며, 평균 수준인 5~7건이 지켜진다고 답한 기업은 24%로 나타났다. 반면, 3건 미만이나, 3~5건이 지켜지는 즉, 비교적 낮은 정보보호 정책 이행 수준을 보이는 곳이 각각 23%, 19%로 각각 조사됐다. 정보보호 수준의 양극화가 나타나고 있다는 사실은 앞선 설문과 이번 설문을 통해서 짐작해 볼 수 있다.
한편, 정보보호 정책이 5건 미만으로 실시된다고 답변한 관리자를 대상으로 원인을 파악해 본 결과, 사내 직원의 비협조(38%)와 업무 효율성과의 대치(33%)를 우선적으로 꼽았으며, 보안정책 홍보 부족이나 경영진의 보안 마인드 부족을 그 원인으로 내세운 관리자는 각각 15%와 14%로 나타났다. 이런 결과는 최근 정보보호 사고의 원인이 사내 직원들과 이들이 사용하는 PC에서 발생하고 있어, 정보보호 관리자가 내부직원에 대한 보안업무 및 정책을 강화하고 있기 때문으로 풀이된다.
IT 전산자원에 대한 공격이 시스템에서 네트워크로 또 네트워크에서 개별 PC로 옮겨지고 있는 상황에서 취약점 패치나 백신을 설치하지 않아 보안 사고가 발생할 경우, 책임소재를 묻는 설문에서는 절반 정도의 기업이 PC 사용자와 보안 담당자 모두에게 책임을 추궁하는 것으로 밝혀졌다(51%). 물론 해당 PC 사용자에게만 책임을 추궁하는 기업도 40%에 이르는 것으로 나타났지만, 여전히 보안 담당자가 책임을 면하기 어려운 곳도 60%에 이르는 것으로 나타났다. 오히려 보안 담당자에게‘만’ 문제를 제기하는 곳이 낮게 나타난 결과(9%)로 위안을 삼아야 하는 것일까.
전체 설문조사에서 가장 눈여겨 볼 항목으로, 보안업무와 관련해 지적사항 발생시 억울함을 느껴본 적이 있는지 여부를 묻는 질문에 응답자 중 70명 이상은 억울함을 느껴 본 적이 있다고 답한 반면, 28%는 아직까지 없다고 답했다. 그 대표적인 사례로는 역시 보안정책을 공고했음에도 불구하고 사용자들이 이를 제대로 지키지 않아 정보보호 관리자가 문책을 당하는 경우인 것으로 나타났으며, 이외에도 내부직원과의 불필요한 마찰 등을 또 다른 중요 이유로 생각하고 있다.
한편, 업무에 대한 수행능력 평가 부분에 있어서는 단지 6%만이 제대로 평가받고 있다고 밝혔으며, 보통이라고 밝힌 관리자는 30%로 집계됐다. 하지만 절반이 넘는 53%는 자신의 능력을 제대로 평가받지 못하고 있다고 답변했으며, 업무수행평가를 전혀 제대로 평가받고 있지 못하다고 밝힌 답변자도 11%에 이르는 것으로 집계됐다. 이런 결과는 최근 정보보호의 중요성에도 불구하고 업무를 수행하는 관리자에 대한 적절한 평가 수단이 없음을 의미한다고 볼 수 있으며, 동기부여와 업무의 효율성의 관계를 고려해 볼 때 시급히 개선해야 할 부분이라고 볼 수 있다.
보안 업무능력을 제대로 평가받기 위해 어디에 초점을 둬야 하는지에 대해 56%의 답변자가 기업 내 보안정책 이행여부를 통해 자신의 능력을 평가받아야 한다고 대답했으며, 시스템 및 네트워크 장애횟수를 기준으로 삼아야 한다고 답한 관리자(16%)와는 큰 차이를 보였다. 한편, 보안 솔루션 도입 후 운영보고서 작성에 대해서는 불과 9%에 그쳤으며, 20%에 해당하는 정보보호 관리자는 여전히 기업 내에서 자신의 능력을 어떻게 평가받아야 할 지 모르는 것으로 밝혀졌다(20%).
한편, 기업 조직 내 보안팀의 위상을 묻는 설문에서는 매우 높다(4%)를 포함해 27개 기업만이 위상이 높다고 답변했을 뿐, 대다수인 73%에 이르는 기업은 보안부서의 위상은 높지 않다고 관리자들은 생각하고 있는 것으로 나타났다. 심지어 이중 21%라는 적지 않은 수의 정보보호 관리자들은 자신의 부서가 매우 낮다고 판단하고 있는 것으로 조사됐다. 이에 대한 해석은 여러 가지가 있을 수 있겠지만 본 설문의 첫 번째 항목인 보안조직이 속한 부서의 위상과도 밀접한 관련이 있다고 볼 수 있으며, 더 나아가 보안팀의 위상을 높이는 방법의 하나로 IT 부서에서 벗어나는 방법을 생각해 볼 필요가 있음을 의미한다고 볼 수 있다.
한편, 정보보호 관리자들을 힘들게 하는 원인으로 경영진의 의지 부족이 가장 높게 나타났으며(41%), 내부 직원들의 협조 미약(30%), 보안 팀 내 인력부족(20%) 등이 큰 차이를 보이지 않은 채 그 뒤를 이었다. 다만 솔루션 미비(6%)와는 많은 차이를 보이고 있는데, 이는 정보보호를 위해서는 특별히 비용적인 측면이 문제가 아닌, 구성원의 협조와 지원이 필요하다는 것을 의미한다고 볼 수 있으며, 그중에서도 경영진의 적극적인 참여를 우선적으로 요구한고 해석해 볼 수 있다.
마지막으로 정보보호 업무에 대한 만족도 조사에서는 관리자들마다 엇갈린 반응을 보인다고 생각해 볼 수 있는데, 만족한다가 40%로 가장 많은 답변을 얻었지만 만족하지 못한다는 답변(36%)과 매우 만족하지 못한다는 답변(17%)을 포함해 전체적으로 만족하지 않는다가 조금 더 많다는 사실을 알 수 있다. 이에 대해 일부 관리자는 정보보호를 하고 싶지만 현재와 같이 업무 과중에 시달리는 정보보호가 아닌 보다 능동적인 형태의 정보보호를 하고 싶다고 답변하기도 했다. 이는 정보보호라는 업무 자체에 대해서는 만족하지만, 현재와 같은 정보보호 업무로는 자기 성취감을 느끼기에 미흡하다는 것으로 풀이해 볼 수 있다.