임원진들이 할 일 : 배우고, 다잡고, 감독하라

보안 투자금만 늘린다고 보안 위협이 줄어들지 않아

사건은 분명히 일어날 것, 그러므로 후속조치에 집중하는 게 바람직

[보안뉴스 문가용] 얼마 전까지만 해도 사이버 보안이란 IT 부서가 전담하는 영역이었다. 구매부터 설치까지 이르는 전 과정까지 말이다. 아직 이런 시대를 살아가고 있는 사람들이 있어 강조하자면, 그런 때는 이미 오래 전에 지나갔다. 타깃(Target), JP모건 체이스(JP Morgan Chase), 홈데포(Home Depot) 등의 사건과 함께 말이다. 게다가 바로 얼마 전에는 인사관리처 처장이 해킹 사고 때문에 사임하기도 했다. 임원진들 사이에서 긴장감이 돌고 있다. 해킹 사고로 인한 책임이 점점 조직 내 최고 높은 자리에 앉은 사람에게 돌아가는 분위기이기 때문이다.

그래서 그런지 ‘기업을 망가트릴 수 있는 가장 큰 위협은 무엇인가?’하는 설문에서 전통의 ‘신용’, ‘파산’, ‘운영’과 함께 최근에는 사이버 위협도 당당히 비슷한 위치를 차지하는 결과가 나오고 있다. 특히 미국 내 가장 큰 쇼핑 소매점이었던 타깃의 해킹 사건 직후부터 임원진들은 해킹이 자신의 목을 위협할 수 있다는 걸 피부로 느끼기 시작했다고 한다. 법정 싸움에서도 임원진들의 책임을 묻는 경우가 많아졌으며 특히나 고객의 민감한 정보가 유출된 경우 해외에서는 임원진들에게 불리한 판결이 많이 내려졌다.

그래서 사이버 보안에 투자를 늘리는 기업들이 많아졌다. 물론 바람직한 현상이었고, 진작에 이랬어야 했다. JP모건은 해킹을 겪은 후 한 해에 사이버 보안에만 2억 5천만 달러를 투자하고 있다. 그리고 5년 안에 이를 2배로 늘릴 계획이라고 한다. 그러나 돈을 쏟아 붓는다고 전부 해결될 문제는 아니다. 돈을 아무리 늘려도 ‘이제 우린 100% 안전하다’라고 안심할 수 있는 상태란 것은 존재하지 않기 때문이다.

투자를 늘려도 안 된다면 회사 임원들이 할 수 있는 일은 무엇인가? 직접 보안담당자가 되어 네트워크와 로그파일을 매일 들여다보고 결재해야 하나? 정답이 존재하지는 않지만 미국의 최고 기업들 중 사이버 보안에 대해 차별성이 눈에 띈다는 곳들에는 공통점이 존재하는데, 그것은 다음과 같다.

1. 임원진들이 보안에 대해 끊임없이 공부한다. 보안의 전반적인 사항들도 그러하지만, 일단 자기 회사의 네트워크 상태나 보안 위협에 대해 굉장히 잘 이해하고 있다.

2. 계속해서 회사의 네트워크 상태나 보안 위협에 대해 조언을 구할 수 있는 전문가와 이야기를 나누고 친분을 쌓는다. 필요하다면 고용까지도 이어진다.

3. 사이버 보안 혹은 위협 관리 상태에 대한 검토를 상시로 진행한다. 어디서 사고가 터질 확률이 높은지, 어떤 공격이 들어올 수 있는지 묻고 파악하고 조치를 취한다.

몇 년 전 개봉한 영화 중 <먹고, 기도하고, 사랑하라>라는 제목의 작품이 있었다면 현재 보안이 잘 되어 있는 회사의 임원진들 사이에서는 배우고, 다잡고, 감독하라가 유행처럼 번지고 있다. 이런 임원진들이 있는 곳이면 해킹 사고가 일어났을 때 대처가 빠르고 피해규모가 최소한으로 줄어든다.

중요한 건 배우고 다잡고 감독하는 최종 목적이 해킹을 아예 처음부터 막는 것이 아니라 실제 해킹 사건이 발생했을 때 피해를 최소한으로 줄이는 것이다. 지금 같은 시대에 해킹 사고가 아예 안 일어나리라고는 기대하기 힘들기 때문이다. 그런 관점에서 배우고 다잡고 감독한다는 게 뭔지 보다 자세히 들여다보면 다음과 같다.

1. 배우다 : 일단 중역 회의 때마다 사이버 보안을 늘 이야기 하고 토론하는 곳이 많아졌다. 아무런 일이 없어도 회의의 중요한 주제로서 다룬다고 한다. 사소한 사건이라도 회의석상에 꺼내놓고 검토하면서 재발 방지를 논한다. 아예 아무런 사건이 없을 땐 위협이 어떤 식으로 악용될 수 있는지, 실제 사건이 일어났을 때 법적으로 어떤 대처를 할 수 있는지 자문하고 공부한다. 해킹의 기술을 공부한다기보다 이를 처리할 수 있게 해주는 법과 제도의 근간을 파악해 사건 이후를 대비하는 경향이 강하다.

2. 다잡다 : 리스크 관리, 즉 위험요소를 다잡는다는 건 원래 임원진들의 몫이며 책임이다. 그러므로 그 책임을 다하기 위해 관련분야의 전문가를 확보하는 것 역시 이들의 할 일이다. 내부 인원으로 그 역할을 하게 할 수도 있고, 외부 조력자 혹은 파트너의 도움을 받을 수도 있다. 요즘은 보험에 드는 것도 괜찮은 리스크 관리 방법이다. 하지만 무엇보다 사내의 보안의식이 어떠한지 계속해서 다잡는 것이 임원진들의 진짜로 할 일이다. 내부 유출 사고가 빈번히 일어나는 건 사건을 일으킨 개인의 책임이 분명 크지만, 요즘 사회 분위기는 ‘회사가 뭐했느냐’라고 묻기도 하기 때문에 임원진들이 ‘개인의 책임’으로 돌릴 수만은 없다.

3. 감독하다 : 이게 굉장히 까다로운 부분이면서 동시에 가장 중요한 부분이다. 항상 활성화되어 있으며 주기적으로 발생해야 한다. 보안을 강조하면서 프라이버시도 지켜야 하고, 전체의 안전을 꾀하면서 동시에 개인의 불만도 최소화시켜야 한다. 보안의 기술적인 세부사항을 임원진이 전부 알 수는 없다. 하지만 전체 시야는 최소한 가지고 있어야 한다. 그래서 사건이 터졌을 경우 포렌식이 맞는 방향으로 갈 수 있도록 제안을 할 정도는 되어야 한다. 또한 사건 재발을 막도록 정비를 지휘하기도 해야 한다.

결국 투자를 한다는 건 올바른 방향이지만 시작점에 불과하기도 하다. 세상에서 제일 쉬운 착한 일은 기부하는 거라는 소리도 있다. 필요한 사람에게 돈을 주는 것도 중요하지만, 편지 한 장 손수 써줄 애정을 가지고 있는 사람들에게서 보통 돕고자 하는 진심을 더 높은 확률로 발견할 수 있다는 것이다. 투자금 늘리는 CEO는 많지만, 실제로 공부하고자 하는 사람은 적다. 그리고 그 적은 사람이 실제 변화를 일으키고 있다.

글 : 제이슨 스트레이트(Jason Straight)

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 3

  ‘2024년도 ICT 중소기업 정보보호 지원...

• 4

  코드 서명 절차를 안전하게 유지시키기 위한 ...

• 5

  SW 공급망 보안 가이드라인 1.0 발표.....

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 3

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 4

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 5

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...