Home > 전체기사
정보보안의 역할은 ‘방패’가 아니라 ‘안내자’
  |  입력 : 2017-04-13 15:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
현재 상태를 파악하고, 쉬운 말을 쓰고, 사업을 이해해야
보안이 왜 중요한가 설득할 필요 없다는 것만으로도 큰 발전


▲ 나만 따라와!

[보안뉴스 문가용 기자] 2017년 3월초, 서드파티의 보안 문제를 해결하는 데에 도움을 주기위해 새로운 플랫폼이 출범했다. 이름은 사이버GRX(CyberGRX). 사이버GRX의 포부는 대단했다. 사실상 엑셀표와 같은 문서에서 수기로 점검되는 ‘서드파티 보안 실태’ 문제를 깔끔하게 해결해주겠다는 것이었다. 이 플랫폼만 있으면 보안 팀이 좀 더 생산적인 일에 효율적으로 집중할 수 있을 것이라고도 했다.

이러한 플랫폼이 등장했다는 건 사이버 ‘보안’이 사업 성장이라는 문제에 있어 중추적인 역할을 한다는 것을 뜻한다. 이런 상황에서 사업체 간의 협의를 진행할 때나 서로 간 지켜야 할 보안 정책과 전략을 수립할 때 보안 책임자가 앞장서야 한다. 사업을 이뤄감에 있어 보안 담당자들의 목소리가 점점 더 크게 개입할 거라는 뜻이다.

그리고 이는 실제 여러 사업의 현장에서 이미 발생하고 있다. 사이버 공격의 증가와 피해 업체들이 속출하면서 보안 전문가들을 더 이상 묵살할 수 없게 되었다. 보안 문제는 누구나의 문제가 되었고, 이제는 보안이 왜 중요한지 근본부터 설명해야 하는 경우도 거의 다 사라졌다. 그리고 점점 사업 진행 방향을 결정하는 데에 있어 중요한 참고인으로 부상하고 있다.

우리 주위의 흐름이 이렇게 변해간다면, 우리도 변해야 한다. ‘나쁜 놈을 막아라’의 역할에서 ‘사업 전체를 안내하라’로 말이다. 이는 사고방식 자체의 전환을 뜻하는 것이며, 사실 오래 전부터 진행돼온 것이기도 하다. 다만 그 변화가 최근 들어 본격적으로 가시화되는 것이다. 그런 김에 그 ‘안내자’의 마음이 가져다주는 구체적인 변화들에 대해 정리해보자.

1. 현재 보안 상태를 정확히 알고 있다
현재 보안 전문가들의 말에 사람들은 귀를 기울인다. 처음부터 그랬던 건 아니다. 어떤 과정 속에 C 레벨 임원들의 마음이 움직여, 보안 담당자의 의견을 접수하게 되었을까? 여기에는 세 가지 트렌드가 관련되어 있다.

- 사이버 사고의 속도와 부피가 커졌다. 2016년에는 42억 개의 기록이 전 세계적으로 4,149개 사건을 통해 유출되었다. 이는 점점 더 커지는 추세다.

- 사업에 미치는 영향력이 훨씬 커졌다. 이제 업체가 겪는 해킹 사고는 경영 자체에서 말하는 사업적 리스크 수준에서 논의된다. 그도 그럴 것이 소비자의 신용과, 업체의 이미지 등이 훼손되기 때문이다.

- 책무성이 더 커졌다. 무슨 말이냐면, 사업을 벌여감에 있어 함께하는 공급사, 배포사, 고객, 경쟁사, 정부 기관 등도 사이버 보안에 더 민감하게 변했다는 뜻이다. 정책은 더 엄격해지고, 보고 체계 역시 탄탄하게 구성되고 있다. GDPR이 내년에 발효되기 시작하면, 이는 더 ‘실제적인’ 현실로 다가올 것이다.

2. 누구나 알아들을 수 있는 말을 사용한다
위에서 거듭 말했지만, 이제 그들은 보안이 중요하다고 인정해주기에 이르렀다. 그렇다면 보안 쪽에서도 그들의 말을 해주어야 할 때다. 그리고 안내자에게 ‘쉬운 말’은 필수덕목이다. 그저 단어만 쉽고 부드럽게 선택하라는 게 아니다. 보안 담당자는 ‘사업하는 주체’도 이해하고, ‘공격자’도 이해할 수 있는 유일한 사람이다. 서로 다를 수밖에 없는 그 두 가지 입장을 풀어주어야 한다는 것이다.

그렇다면 경영진들은 어떻게 해야 보안을 잘 이해할까? 그들은 어떤 언어를 사용하나? 성과 지표가 최고다. 보안 사고가 성과에 어떤 영향을 미치는지 시각적으로 나타내면 그들은 높은 이해도를 보인다. 사업 전략회 하듯, 보안 전략의 계획과 비전, 목표 등을 사업 방향의 관점에서 도식화해 표현해보라. ‘대화가 된다’는 걸 느낄 수 있을 것이다.

대화를 깊숙하게 이끌려면, 다음의 수단이 필요하다.
- 유출사고가 사업에 미치는 영향의 ‘수치화’ : 사고 수습에 드는 비용 혹은 유출된 기록 건당 지출 규모를 액수로 표현하는 건 대단히 좋은 방법이다. 더 나아가 이런 비용이 매출에 어떤 ‘마이너스’ 효과를 미치는지 역시 충격적인 금액으로 나타내야 한다. 또한 ‘유출사고’라는 것에 직원, 기술 등의 내부적인 요인과 정책, 산업 트렌드 등의 외부적인 요인이 어느 정도나 차지하는지, 생산 시간으로 따지면 몇 시간을 손해 보는 것인지를 보여주는 것도 효과적이다.

- 분명히 수치화할 수 없는 가치도 있다. 고객 신뢰도나 브랜드 이미지 같은 것들이다. 이걸 운영진이 이해하면 좋은데, 그렇지 않은 경우, ‘액수’나 ‘시간’으로 단위 환산 할 수 있어야 한다. 탄탄한 보안이 파트너사에게 얼마나 큰 신뢰를 주는지, 그 신뢰로서 얼마나 사업이 원활해지는지 논리적으로 연결해 설명하는 것도 도움이 된다.

3. 경영자 그 자체가 되어야 한다
2번을 잘 하기 위해서는 보안 담당자가 정말로 사업의 모든 프로세스를 처음부터 끝까지 숙지하고 있어야 한다. 누가 뭘 설계하고, 그것이 어떤 과정을 거쳐 공정에 이르게 되고, 상품은 어떤 경로로 배달되며, 고객 지원은 어떤 방식으로 이루어지는지 알아야 한다는 것이다. 새로운 걸 학습하려면 질문들을 잘 던져야 하는데, 예를 들자면 다음과 같다.

- 우리 회사의 주 수입원은 무엇인가? 수익구조는 무엇이며, 단골 고객을 대상으로 하는가 아니면 새로운 고객을 유치하는가?
- 우리 파트너사나 정보 기관 등은 어떤 정보를 주로 다루는가? 우리가 주로 사용하는 기술은 어떤 것인가? 파트너스들과 어떤 기술들을 주고받는가?
- 우리 회사의 지적재산은 무엇이며, 이 지적재산은 어떤 과정을 통해 ‘사업화’ 되는가?

글 : 롤란드 클루티어(Roland Cloutier)
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트