• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

내 이름은 보안, 내 친구는 ‘사실’이지 2021.08.05

‘사실’이 튼튼하지 않으면 보안은 무너진다. 보안이 수많은 사고에도 대부분의 사람들에게 ‘뒷전’ 취급을 받는 건, ‘사실’과 충분히 친하지 않아서일지도 모른다. 위험성을 부풀려 말하는 버릇이야 말로 보안을 위험하게 만든다.

[보안뉴스 문가용 기자] 어느 날은 길을 걷다가 누군가 사람들 앞에서 허위 주장을 하는 것을 봤다. 진실성에 대한 추구로 유명한 프랑스의 문학가 에밀 졸라(Emile Zola)의 이름을 딴 거리를 걷던 중이어서였을까. 그냥 지나치기가 힘들었고, 그 사람 앞으로 걸어가 그의 거짓된 주장을 바로잡았다. 난 사실을 근거로 하고 있었고, 그는 아니었기에, 결과는 뻔했다.

[이미지 = utoimage]


‘사실’이라는 것은 굉장한 힘을 가지고 있다. 아무리 강력한 심문을 하더라도 ‘사실’은 무너지지 않는다. ‘사실’은 영원히 남고, 그래서 어떤 거짓보다 오래 살며 어떤 거짓보다 힘이 세다. 보안 전문가들은 이런 ‘사실’의 특성에서부터 뭘 배울 수 있을까? 보안 전략과 아키텍처를 수립할 때 반박할 수 없는 사실과 데이터를 기반으로 해야 한다는 것이다. 이를 조금 더 풀어보겠다.

‘리스크’의 측면에서
보안 담당자들은 ‘우리 조직이 어떠한 리스크에 노출되어 있는가?’를 이해하고 있어야 한다. 특히 돈을 직접 다루고 있는 조직들이라면 더 그렇다. 또한 파악된 위험 요소들을 운영진과 주주들에게 정확하게 알릴 수 있어야 한다. 이럴 때 ‘사실’이 큰 힘을 발휘하도록 하는 게 최선이다. 보안 담당자들이 흔히 저지르는 실수는 위험을 실제보다 부풀리는 것이다. 종종 ‘최악의 상황’을 답변으로 내놓기도 하는데, 이건 보안 담당자 스스로가 위험에 대한 정확하고 객관적인 이해가 안 됐다는 뜻이라고 생각한다. 매번 위험에 대해 부풀리고 과장하다 보니 예측은 좀처럼 들어맞지 않고, 그러다 보니 보안 자체에 대한 신뢰가 깎인다는 걸 염두에 두어야 한다.

보안이 인정받기 위해서 반드시 위험성이 높아야 되는 건 아니다. 우리에게는 담백한 사실만이 중요하다. ‘사실’ 위에 전략과 대응책을 쌓아야 한다. 위험 요인들을 세부적으로 나누고, 수치와 정량적인 자료를 기반으로 우선 순위까지 정했다면(즉 해결의 방안까지 마련했다면) 충분한 설득력을 가질 수 있고, 그것을 바탕으로 조직적인 대응을 보다 수월하게 할 수 있게 된다.

‘정책’의 측면에서
보안은 정책으로 이뤄진 분야라고 해도 과언이 아닐 정도로 정책이 중요한 부분을 차지하고 있다. 하지만 이 정책이라는 걸 보안 내 여러 하위 요소 중 하나로만 파악해서는 안 된다. 보안의 다른 요소들과 결합하여 고려할 수 있어야 한다. 또한 정책은 현실적이며, 지켰을 때의 가치가 확 와 닿아야 한다. 그런 가치를 제시할 때 기존 업무 프로세스를 바꿔가면서까지 정책 지키기를 유도할 수 있다(필요하다면). 현실적이고 가치가 있다는 건, 다시 말해 정책이 논리적이고 합리적이어야 한다는 뜻이다. 그리고 ‘지켰더니 정말로 위험이 줄더라’라는 경험도 제공할 수 있어야 한다.

‘업무 프로세스’의 측면에서
이상적으로 생각했을 때 업무 프로세스들은 정책과 딱 들어맞아야 한다. 사용자들의 역할과 책임이 명확히 규명되고, 워크플로우는 효율적이어야 한다. 그래서 업무 프로세스는 초기 설계와 규정이 대단히 중요하다. 그런데 이 업무 프로세스를 몇 사람의 ‘편하다’, ‘괜찮다’는 평으로 결정해서는 안 된다. 객관적인 논리성을 가지고 기획하고, 실험을 통해 나온 객관적 데이터를 통해 평가하면서 설계해야 한다. 그래야 규정된 워크플로우를 누군가 반대하고 나서더라도 근거를 댈 수 있다. 프로세스를 무시하는 임원들에게도 할 말이 생긴다. 이 업무 프로세스야 말로 가장 사실에 기초해야 할 것이다.

‘사실’을 벗어나는 건 너무나 쉬운 일이다. 그렇기에 유혹도 만만치 않다. 반대로 ‘사실’과 편을 먹으려면 조금 귀찮은 과정을 지나야 한다. 어쩌면 자신의 생각과 다를 수 있는 데이터와 자료, 정보들을 꾸준히 축적하고, 그것을 토대로 새로운 결론을 도출해야 한다. 이런 귀찮음을 무릅썼을 때의 가장 큰 장점은 긴 시간이 지나도 흔들리지 않는 근거가 되고, 때문에 결국 막강한 설득력을 가지게 된다는 것이다. 즉 사실과 친하면 친해질수록 종국에 승자가 될 가능성이 높다. 보안은 장기전이다. 사실과 친구가 될 필요가 다분하다.

글 : 조슈아 골드팝(Joshua Goldfarb)
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>