Home > 전체기사
임원진들이 할 일 : 배우고, 다잡고, 감독하라
  |  입력 : 2015-07-13 16:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

보안 투자금만 늘린다고 보안 위협이 줄어들지 않아

사건은 분명히 일어날 것, 그러므로 후속조치에 집중하는 게 바람직


[보안뉴스 문가용] 얼마 전까지만 해도 사이버 보안이란 IT 부서가 전담하는 영역이었다. 구매부터 설치까지 이르는 전 과정까지 말이다. 아직 이런 시대를 살아가고 있는 사람들이 있어 강조하자면, 그런 때는 이미 오래 전에 지나갔다. 타깃(Target), JP모건 체이스(JP Morgan Chase), 홈데포(Home Depot) 등의 사건과 함께 말이다. 게다가 바로 얼마 전에는 인사관리처 처장이 해킹 사고 때문에 사임하기도 했다. 임원진들 사이에서 긴장감이 돌고 있다. 해킹 사고로 인한 책임이 점점 조직 내 최고 높은 자리에 앉은 사람에게 돌아가는 분위기이기 때문이다.

 


그래서 그런지 ‘기업을 망가트릴 수 있는 가장 큰 위협은 무엇인가?’하는 설문에서 전통의 ‘신용’, ‘파산’, ‘운영’과 함께 최근에는 사이버 위협도 당당히 비슷한 위치를 차지하는 결과가 나오고 있다. 특히 미국 내 가장 큰 쇼핑 소매점이었던 타깃의 해킹 사건 직후부터 임원진들은 해킹이 자신의 목을 위협할 수 있다는 걸 피부로 느끼기 시작했다고 한다. 법정 싸움에서도 임원진들의 책임을 묻는 경우가 많아졌으며 특히나 고객의 민감한 정보가 유출된 경우 해외에서는 임원진들에게 불리한 판결이 많이 내려졌다.


그래서 사이버 보안에 투자를 늘리는 기업들이 많아졌다. 물론 바람직한 현상이었고, 진작에 이랬어야 했다. JP모건은 해킹을 겪은 후 한 해에 사이버 보안에만 2억 5천만 달러를 투자하고 있다. 그리고 5년 안에 이를 2배로 늘릴 계획이라고 한다. 그러나 돈을 쏟아 붓는다고 전부 해결될 문제는 아니다. 돈을 아무리 늘려도 ‘이제 우린 100% 안전하다’라고 안심할 수 있는 상태란 것은 존재하지 않기 때문이다.


투자를 늘려도 안 된다면 회사 임원들이 할 수 있는 일은 무엇인가? 직접 보안담당자가 되어 네트워크와 로그파일을 매일 들여다보고 결재해야 하나? 정답이 존재하지는 않지만 미국의 최고 기업들 중 사이버 보안에 대해 차별성이 눈에 띈다는 곳들에는 공통점이 존재하는데, 그것은 다음과 같다.


1. 임원진들이 보안에 대해 끊임없이 공부한다. 보안의 전반적인 사항들도 그러하지만, 일단 자기 회사의 네트워크 상태나 보안 위협에 대해 굉장히 잘 이해하고 있다.


2. 계속해서 회사의 네트워크 상태나 보안 위협에 대해 조언을 구할 수 있는 전문가와 이야기를 나누고 친분을 쌓는다. 필요하다면 고용까지도 이어진다.


3. 사이버 보안 혹은 위협 관리 상태에 대한 검토를 상시로 진행한다. 어디서 사고가 터질 확률이 높은지, 어떤 공격이 들어올 수 있는지 묻고 파악하고 조치를 취한다.


몇 년 전 개봉한 영화 중 <먹고, 기도하고, 사랑하라>라는 제목의 작품이 있었다면 현재 보안이 잘 되어 있는 회사의 임원진들 사이에서는 배우고, 다잡고, 감독하라가 유행처럼 번지고 있다. 이런 임원진들이 있는 곳이면 해킹 사고가 일어났을 때 대처가 빠르고 피해규모가 최소한으로 줄어든다.


중요한 건 배우고 다잡고 감독하는 최종 목적이 해킹을 아예 처음부터 막는 것이 아니라 실제 해킹 사건이 발생했을 때 피해를 최소한으로 줄이는 것이다. 지금 같은 시대에 해킹 사고가 아예 안 일어나리라고는 기대하기 힘들기 때문이다. 그런 관점에서 배우고 다잡고 감독한다는 게 뭔지 보다 자세히 들여다보면 다음과 같다.


1. 배우다 : 일단 중역 회의 때마다 사이버 보안을 늘 이야기 하고 토론하는 곳이 많아졌다. 아무런 일이 없어도 회의의 중요한 주제로서 다룬다고 한다. 사소한 사건이라도 회의석상에 꺼내놓고 검토하면서 재발 방지를 논한다. 아예 아무런 사건이 없을 땐 위협이 어떤 식으로 악용될 수 있는지, 실제 사건이 일어났을 때 법적으로 어떤 대처를 할 수 있는지 자문하고 공부한다. 해킹의 기술을 공부한다기보다 이를 처리할 수 있게 해주는 법과 제도의 근간을 파악해 사건 이후를 대비하는 경향이 강하다.


2. 다잡다 : 리스크 관리, 즉 위험요소를 다잡는다는 건 원래 임원진들의 몫이며 책임이다. 그러므로 그 책임을 다하기 위해 관련분야의 전문가를 확보하는 것 역시 이들의 할 일이다. 내부 인원으로 그 역할을 하게 할 수도 있고, 외부 조력자 혹은 파트너의 도움을 받을 수도 있다. 요즘은 보험에 드는 것도 괜찮은 리스크 관리 방법이다. 하지만 무엇보다 사내의 보안의식이 어떠한지 계속해서 다잡는 것이 임원진들의 진짜로 할 일이다. 내부 유출 사고가 빈번히 일어나는 건 사건을 일으킨 개인의 책임이 분명 크지만, 요즘 사회 분위기는 ‘회사가 뭐했느냐’라고 묻기도 하기 때문에 임원진들이 ‘개인의 책임’으로 돌릴 수만은 없다.


3. 감독하다 : 이게 굉장히 까다로운 부분이면서 동시에 가장 중요한 부분이다. 항상 활성화되어 있으며 주기적으로 발생해야 한다. 보안을 강조하면서 프라이버시도 지켜야 하고, 전체의 안전을 꾀하면서 동시에 개인의 불만도 최소화시켜야 한다. 보안의 기술적인 세부사항을 임원진이 전부 알 수는 없다. 하지만 전체 시야는 최소한 가지고 있어야 한다. 그래서 사건이 터졌을 경우 포렌식이 맞는 방향으로 갈 수 있도록 제안을 할 정도는 되어야 한다. 또한 사건 재발을 막도록 정비를 지휘하기도 해야 한다.


결국 투자를 한다는 건 올바른 방향이지만 시작점에 불과하기도 하다. 세상에서 제일 쉬운 착한 일은 기부하는 거라는 소리도 있다. 필요한 사람에게 돈을 주는 것도 중요하지만, 편지 한 장 손수 써줄 애정을 가지고 있는 사람들에게서 보통 돕고자 하는 진심을 더 높은 확률로 발견할 수 있다는 것이다. 투자금 늘리는 CEO는 많지만, 실제로 공부하고자 하는 사람은 적다. 그리고 그 적은 사람이 실제 변화를 일으키고 있다.


글 : 제이슨 스트레이트(Jason Straight)

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향