IT 보안시장의 진화

Web Security Solution All Guide

Chapter 3. 웹 보안 전문가 노하우 훔쳐보기

MANAGED SERVICE로 확대

포춘지 선정 1000대 기업, 공공기관 CIO/CTO를 대상으로 엑센추어에서 실시한 IT 고성과(High Performance IT)리서치에 따르면 글로벌 고성과 기업이 되기 위해서는 혁신(Innovation)활동을 통한 신기술의 적극 도입, 산업화(Industrialization)활동을 위한 SLA(Service Level Agreement) 프로세스 확립 등 IT거버넌스 모델, 품질, 예측가능성, 속도 및 IT 딜리버리를 비용 효과적으로 실현하는 데에 역점을 둘 것을 권고하고 있다.

기업의 IT인력은 한정되어 있고 날로 위험이 증가하고 있는 보안 위협에 대해 대응하고자 지금도 수많은 해킹 기술의 출현과 정보유출의 위협에 기업 및 공공기관의 IT담당자들은 고심하고 있다. 행자부에서 실시한 ‘2007년 하반기 공공기관 웹 사이트 개인정보 노출 점검결과’에 따르면 개인정보 노출방지를 위한 규제 강화에 따라서 웹 방화벽 솔루션 및 웹 필터링 솔루션의 도입을 적극 장려해 노출건수가 많이 줄어들긴 했지만 아직도 담당자 부주의를 통한 정보노출 비율이 매우 높다.

IT보안, 솔루션이 아닌 서비스로 진화

금융감독원에서는 인터넷 금융거래 시 발생할 수 있는 해킹에 대해 금융기관의 책임으로 하는 규정 때문에 금융기관에서는 이를 막을 수 있는 키보드해킹 보안솔루션, 개인방화벽 등의 솔루션을 대부분 도입했다. 또한 무선네트워크 환경의 보급 확대에 따라 최근 정규직이 아닌 직원을 통한 정보유출 사례가 늘고 있고 바이러스나 웜 등에 감염된 PC의 네트워크 접속을 통한 사내 유포를 방지하기 위해 NAC(Network Access Control)솔루션을 도입하는 사례가 늘고 있다.

국가정보원에서는 USB 등 보조기억매체를 통한 정보유출을 방지하기 위해 지침을 배포하여 정부가 정보유출 방지를 위해 앞장설 것을 권고하고 있다. 이와 같이 다양한 IT자산에 대한 위협이 증가하면 이에 대응되는 솔루션을 만들고 정부의 규제강화에 따라 솔루션이 활성화되는 순선환구조를 가지고 있다.

그러나 우리는 이를 본질적인 관점에서 접근해야 할 필요가 있다. IT자산에 대한 위협이 증가하고 이의 방지를 위한 솔루션을 도입한다고 해서 과연 해킹의 위협으로부터 안전한 것인가? 웹 방화벽, NAC, 방화벽, IPS, 문서보안, 보안USB 등 수많은 보안솔루션을 도입한다고 해서 내부 직원의 보안 의식이 올라가는 것인가? 정부의 각종 규정 및 지침의 영향으로 보안솔루션 시장이 활성화되는 것은 사실이지만 과연 보안솔루션 업체들이 돈을 많이 벌고 있는 것인가?

기업의 IT자산 보호를 위해 도입한 보안솔루션 제조사가 도산하여 더 이상의 유지보수가 되지 않거나 기술지원이 불가능할 때에 고객은 또 다시 새로운 업체의 솔루션을 도입하는 이중지출을 하는 경우조차도 우리는 주변에서 쉽게 볼 수 있다.

보안! 한 번도 사고가 나지 않을지 모르지만 언제 터질지 모르는 위협으로부터 IT 자산 보호를 위해 어쩔 수 없이 투자해야 하는 비용이 이젠 아니다.

보안과 관련한 IT비용은 기업의 IT거버넌스를 위해 가장 비용 효과적인 면을 고려해야 하는 비용이다. 이러한 점을 고려했을 때 고객의 예산부족, 인력부족, 인식부족 등 고객이 갖는 고통과, 보안솔루션 업체의 수익 악화에 따른 도산으로 고객 불만족이 높아지는 현상 등을 위해 이제 IT보안 제품은 더 이상 솔루션이 아닌 서비스로 진화해야 한다. 바로 매니지드 서비스로의 진화를 말함이다.

서비스로서의 보안 활성화 기대

매니지드 서비스란 고객이 고객 본연의 업무에 보다 집중할 수 있도록 IT를 활용한 각종 업무를 초기조사 단계부터, 기획, 설계, 구축, 운용, 보수, 확장에 이르기까지 Professional IT Outsourcing기업에 맡기는 서비스를 말한다.

위키피디아에서는 매니지드 서비스를 “개선된 효율적인 운영을 위해 전략적 방법으로써 매일 발생하는 관리의 책임을 이관하는 것”으로 정의하고 있다. 또한 ResearchANDMarket에 따르면 매니지드 서비스는 “외부에서 관리해주는 서비스로 시스템과 Application 등의 공급에 따른 투자비용을 절감하고 IT 운영을 단순화하는 것으로써 24*365 IT 관리서비스를 제공하면서 고객의 IT 담당자가 전략적 이슈에 중점을 두도록 도와주는 것”으로 정의하고 있다. 전산인력이 부족하고 예산이 부족한 기업들의 경우 매니지드 서비스의 활용이 절실히 요구된다. 특히 보안과 관련한 솔루션은 오늘 도입한 보안 솔루션이 내일 발생한 해킹 위협에 대해 무용지물이 될 수 있는 위험에 항상 노출되어 있기에 더더욱 그러하다. 고객은 새로운 해킹 사고와 방지를 위한 솔루션에 대해 새로운 학습을 할 필요가 없다. 매니지드 서비스 기관에서 알아서 안내를 해주고 대처를 해준다. 고객의 내부 보안의식 고취를 위하여 정기적으로 교육도 실시해준다.

심지어 보안솔루션 벤더가 도산하더라도 매니지드 서비스 기관에서 새로운 보안솔루션을 적용해 서비스를 유지해준다. 이러한 매니지드 서비스를 위해 대기업이 앞장서야 한다. 보안솔루션을 매니지드 서비스 기관이 모두 보유할 필요는 없다. 영세하더라고 기술력이 있는 보안솔루션 벤더가 매니지드 서비스 기관과 협력구조로 가져가면 된다. 고객은 월 저렴한 비용으로 서비스만 받으면 된다. 이러한 비용으로 솔루션의 도입뿐 아니라 정기적인 취약점 점검 서비스에 이르기까지 보안에 관련된 One-Stop Service를 받게 된다.

보안솔루션 벤더 또한 지속적인 수입원을 확보하며 보안솔루션 기술개발에만 집중할 수 있다. SaaA(Security as a Service)는 이제 트렌드가 됐다. 국내 수백개의 보안솔루션 벤더와 대기업은 고객이 더 이상 보안솔루션을 도입하기 위해 고민하는 것이 아니라 어떠한 질 좋은 서비스를 받을 것인지에 관해 고민하도록 만들어야 한다. 조만간 서비스로서의 IT보안이 활성화되어 고객은 물론이고 솔루션업체와 서비스기관 모두가 Win-Win-Win하는 시장이 형성될 것을 기대해본다.

<글·이준호 코스콤 기술연구소 팀장(jhlee@koscom.co.kr)>

[정보보호21c (info@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)