“보안 ROI, 적용하기 어려운 곳에 적용하는 것이 문제”

A3시큐리티, 보안관리자를 대상으로 한 ‘Made 人 Security’ 개최

[보안뉴스 김정완] 정보보호컨설팅 전문기업 에이쓰리시큐리티(대표 한재호)가 매년 개최해 오고 있는 전략 세미나 ‘Security Management Strategy 2010’를 25일 서울 삼성동 코엑스에서 개최했다. 특히 올해는 ‘Made 인(人) Security’라는 주제로 기존 자사의 보안 관리 플랫폼 RFinder 시리즈 등의 신제품 소개 중심에서 벗어난 보안 관리자를 대상으로 특화시켜 컴플라이언스, Security ROI, 관제, 보안관리 등을 중심으로 세션을 구성해 참관객들의 많은 호응을 얻었다.

▲에이쓰리시큐리티는 25일, 코엑스에서 ‘SMS 2010’을 개최했다. 사진은 이날 세미나에서 주세홍 팀장이 ‘컨버전스 환경에서 스마트폰 보안위협과 대응전략’에 대해 발표하고 있다. ＠보안뉴스.

◇ 이강신 단장, “보안, 기업 비즈니스 성공의 키워드...위험관리 강화 필요”

우선 이날 행사에서 첫 발표자로 나선 이강신 한국인터넷진흥원(KISA) 단장은 ‘강화되는 보안 컴플라이언스에서 보안관리자의 역할’이란 주제를 통해 IT 환경변화 및 정보보호 이슈, 정보보호 컴플라이언스 동향 등을 소개했다.

특히 이강신 단장은 결론적으로 보안관리자는 “컴플라이언스는 비즈니스 활동에 있어서 최우선으로 고려해야 하며, 비즈니스와 연계한 정보보호 활동과 통제 중심이 아닌 자율적 참여를 유도할 필요가 있다”고 말하고 “기업의 정보보호 노력은 더 이상 불요불급한 비용이 아니라 미래를 위한 투자”라고 밝혔다.

또한 이강신 단장은 “경기 침체기를 맞아 무분별한 정보보호 투자가 아닌 비용효과적인 방법으로 효과적인 보호대책을 선정하기 위해서는 기업의 위험관리 및 위기대응을 강화가 필요하다”고 전하고 “정보보호가 기업 경쟁력의 요소로 인식되고 비즈니스 성공의 키워드로 자리 잡고 있는 가운데 기업은 보안사고 발생으로 인한 법적 분쟁 발생 시 정보보호 활동에 대한 입증이 필요한 만큼 단편적인 보안 솔루션 구축이 아닌 종합적인 정보보호관리체계(ISMS)의 구축이 필요하다”고 강조했다.

◇ 전상미 이사, “기존 정보보호 인프라 최대 활용해 효율성 극대화해야”

전상미 에이쓰리시큐리티 ESP사업본부장 겸 이사는 ‘정보보호 컴플라이언스를 위한 ESP(Enterprise Security Platform) 구축’이란 주제를 통해 “보안 관리에서도 IT GRC(Governance, Risk, Compliance)에 대한 요구가 높아지고 있으며 현업에서도 적용의 필요성이 높아지고 있다”고 강조하며 ESP에 대한 소개 및 구축전략 등을 발표했다.

특히 전상미 이사는 이날 발표를 통해 기업은 정보보안 컴플라이언스에 대한 대응 체계 수립이 필요하다며 ESP 구축을 위한 제언으로 “정보보안 컴플라이언스 준수를 위해서는 우리와 관련된 정보를 알아야 하는가가 중요하다”며 “정보보안 컴플라이언스 현행화를 위한 점검 및 모니터 활동이 일회성이 아닌 지속적으로 이루어져야 한다”고 말했다.

또한 전상미 이사는 “비즈니스의 규모, 산업특성, 보안위협의 강약 등을 고려한 차별적 ESP 설계가 필요하다”며 “기존 정보보호 인프라를 최대한 활용해 효율성을 극대화해야 한다”고 강조했다.

◇ 김휘강 교수, “SROI, 적용하기 어려운 곳에 무리해 적용하는 것이 문제”

김휘강 고려대학교 대학원 교수는 ‘효과적인 보안전략 수립을 위한 SROI(Security ROI)’라는 주제를 통해 기업이 보안 예산에 소극적일 수밖에 없는 현실을 슬기롭게 해결하기 위한 방안을 발표했다.

김휘강 교수는 우선 “아직 시장에서 초기단계에 있는 신종 보안솔루션이 나왔을 때 이 솔루션 도입으로 인한 SROI 계산 등 SROI를 적용하기 어려운 곳에 무리하게 적용하는 것”이나 “솔루션 도입비, 구축시 투입된 내·외부 인건비, 향후 연간 유지보수비 등 실제(Factor)를 과다하게 또는 지나치게 간소하게 계산하려는 것”이 SROI의 문제라고 지적했다.

이에 김휘강 교수는 활용도가 높은 곳과 쓸 수 있는 곳에 쓸 것을 제언했다. 즉 김 교수는 “예를 들어 PC 1대 전원을 끄고 가면 전기료 절감 측면을 말할 수 있지만, 그 외에도 보안 관제 노력 절감 효과가 나타날 수 있다는 점 등을 사용자들이 언제라도 계산해 볼 수 있게 하는 것이 필요하다는 것”과 “특정 취약점 제거시 기대효과 계산과 특정 취약점 미 제거시 영향받는 자산을 계산하는 것이 필요하다”며 두루뭉술하게 치부해서 버리지 말고 활용도와 쓸 수 있는 곳에 써야 한다고 설명했다.

아울러 이날 행사에서는 작년 7.7DDoS대란 등 급증하는 신종 침해사고에 대한 조기 대응체계와 상시 보안 취약점 진단체계 강화의 필요성을 인식하고 ‘침해사고 조기대응체계 고도화’를 추진하게 된 신한은행의 김진섭 차장이 신한은행이 보안 관리 플랫폼을 어떻게 구축했는지를 소개하면서, 이를 구축해 진행해 오면서 어떻게 효과적이고 효율적인 구축을 할 수 있는지에 대한 사례를 발표했다.

또한 최근 주목 받고 있는 모바일 분야와 관련해 주세홍 에이쓰리시큐리티 지식사업팀장은 모바일에서 발생할 수 있는 다양한 취약점 공격 시나리오를 제공하며, 특히 안드로이드 스마트폰에서 간단한 악성코드 앱(App)을 이용해 주소록을 훔쳐오거나 해킹된 안드로이드를 통해 대량의 SMS 폭탄을 보내는 것과 모바일 앱에 포함된 위치 정보를 해커가 훔쳐감으로써 스마트폰 사용자가 지금 어디에 있는지를 찾아내는 것을 직접 시연해 눈길을 끌었다.

한편 이번 행사를 주체한 에이쓰리시큐리티의 한재호 대표는 “그 동안 국내에 보안 담당자를 위한 세미나는 계속 있어 왔으나, 기술적인 관점에서 바라보는 원포인트성 정보 전달보다는 기업이나 기관이 정말 보안이라는 것을 어떻게 생각해야 하는지 인식의 전환을 갖게 하는 자리를 마련하고 싶었다”며 “앞으로도 보안 관리자들이 좀더 좋은 정보를 알아가서 자리에 돌아가서 실질적으로 정보보호를 관리할 수 있게 할 수 있도록 자리를 마련할 생각”이라고 전했다.

[김정완 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)