Home > 전체기사
기업의 수장들, 이미 코로나 이후 시대 때문에 고민이 깊다
  |  입력 : 2020-05-26 20:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
집에서 일 할 수 있다는 것을 경험해본 직원들, 같은 마음으로 출근할까?
사이버 공격은 오히려 더 사나워지고, 보안은 더 어려워져...혼란스러울 땐 ‘규정’부터


[보안뉴스 문가용 기자] 코로나로 사람들의 상호작용 방식과 근무 환경이 급변하고 있다. 코로나가 잠잠해지고 평상시로 돌아간다고 했을 때, 이 ‘평상시’라는 것은 어떤 모습을 하고 있을까?

[이미지 = utoimage]


일단 ‘일’이란 것은 다시는 예전 개념으로 돌아갈 수 없을 것이다. 산업에 따라 다르긴 하겠지만 많은 임직원들이 굳이 출퇴근을 하지 않아도 업무가 가능하다는 걸 깨달은 상태이기 때문이다. 출퇴근 자체에 걸리는 시간을 개인의 시간으로 전환할 수 있다는 걸 경험해본 이들이 이전과 같은 마음으로 회사에 출입할 수 있을까? 기업 입장에서는 작업 환경과 근무 방식이라는 것에 대해 근본적으로 다시 생각해봐야 할 것이다.

하지만 사이버 위협들은 변하지 않을 것이다. 아니, 오히려 코로나가 끝나고서 더 심각하게 증가할 가능성이 높다. 코로나 이전에도 사이버 보안 사고는 꾸준하게 증가 중이었고, 코로나 사태를 통해 사이버 공격자들이 사회 현상을 얼마나 적극적으로 활용하는지도 드러났다. 심지어 대기업만큼 중소기업들도 사이버 공격자들의 포화를 받아내고 있는 상황이니, ‘누가 나를 건드리겠어?’는 이미 구시대의 생각이 되었다.

이런 난리 통 속에서 기업 운영자들의 머릿속은 현재 굉장히 복잡하다. 집에서 한참 있다 온 직원들의 싱숭생숭한 마음도 달래줘야 하고, 심해져가는 사이버 공격도 막아야 하기 때문이다. 이럴 때 우선순위를 제대로 정하지 않으면, 전통적으로 늘 뒷전이었던 보안이 다시 한 번 망각될 수 있다. 즉 위험 요소들을 관리하고, 규정 준수 사항을 깜빡 잊기 십상이라는 것이다. 이는 보안이라는 측면에서만이 아니라, 벌금이라는 측면에서도 치명적으로 작용하기 쉽다.

사실 필자는 이렇게 큰 변화가 갑작스럽게 닥쳐 혼란스러울 때, 규정을 기준으로 상황을 정리하는 것을 선호하는 편이다. 일단 우리는 법치 사회에서 살고 있고, 따라서 규정은 그 자체로 모든 필요를 만족시키는 건 아니지만 분명히 우리가 살고 있는 사회에서 마땅히 지켜내야 할 것들의 최소 기준은 된다. 그런 의미에서, 필자가 기업 고객들에게 자주 묻는 규정 준수 관련 질문들과, 그에 대한 답을 이 글을 통해 공유하고자 한다.

1. 규정 준수(컴플라이언스)의 진짜 정의는 무엇인가?
말 그대로 반드시 따라야 할 규칙과 규정들을 어기지 않고 지키는 것을 말한다. 법, 행위규범, 표준 등이 여기에 다 포함된다. 사이버 보안이라는 측면에서 ‘규정 준수’란, 정보와 프라이버시를 안전하게 지키기 위해 마련된 업계 내 표준이나 국가 법을 따르는 것을 의미한다.

2. 어떤 규정과 표준을 지켜야 하는가?
미국을 기준으로 했을 때 프라이버시와 정보 보호를 위한 굵은 줄기의 가이드라인은 표준기술연구소(NIST)에서 나온다. 현재를 기준으로 했을 때 미국 내 거의 모든 조직이 참고하는 것이 NIST의 표준들이라고 할 수 있다. NIST의 표준들은 사회 기반 사실에서의 기본 수칙, 보안 평가, 인증, 인식 제고 및 훈련, 교육, 설정 관리, 아이덴티피케이션, 기획, 인적 보안, 시스템 무결성 유지 등 거의 모든 방면을 다루고 있기 때문에 아주 강력한 기초가 되고 있다.

3. 지켜야 할 규정이 무엇인지 알아봤다면, 그 다음은 무엇인가?
역시 미국을 기준으로 얘기해보자면 모든 조직들이 동일한 수준의 보안성을 유지해야 하는 건 아니다. 기본적으로 미국 내에서 인정받고 있는 보안 관련 규정 및 표준들은 어느 정도의 ‘커스터마이징’을 허용하고 있다. 유연하다면 유연하다고도 말할 수 있는 부분이다. 그러므로 각 조직들은 지켜야 할 규정에 대해 좀 더 깊이 알아봐야 한다. 단순히 글자에 적혀 있는 내용을 그대로 옮겨다가 실천하는 건 피곤한 일이고, 효과도 별로 없다. 규정을 각자의 상황에 맞게 해석해보고, 이를 확인 받는 과정이 필요하다.

4. 앞으로 원격 근무가 더 활성화될지도 모르는데, 이와 관련된 규정이 이미 존재하나?
자꾸만 미국을 기준으로 답하게 돼서 송구스럽다. 하지만 미국 내 기업 지도자들이 보안과 관련하여 이러한 고민을 하고 있다는 것을 알아주었으면 좋겠다. 이런 질문들이 분명 다른 나라에도 적용될 수 있다고 본다. 일단 답을 하자면, 이번 3월, NIST가 기업들을 위한 모바일 장비 보안 가이드라인 초안을 발표했다. NIST 800-124 문건이다. 이를 바탕으로 앞으로 원격 근무 보안 표준이 이뤄질 가능성이 높다. 해외 국가들도 NIST의 움직임을 많이 참고하는 것으로 알려져 있다.

5. 규정을 준수하지 않을 때 일어날 수 있는 일은?
일단 규정을 지키지 않는다는 건, 보안의 기본 바탕이 부실하다는 것이다. 실질적인 공격에 더 많이 노출될 수 있다. 어느 정도 표적을 잘 고를 줄 아는 해커들은 컴플라이언스 부분부터 확인하기도 한다. 또한 보안은 ‘언제나 항상 올바른 선택을 하는 것’이기도 하다. 해커들의 ‘한 번만 맞으면 되는 것’에 비해 불리하기는 하지만, 어쩔 수 없다. 우리는 보안 쪽에 서 있는 이상 어쩔 수 없이 항상 올바르기 위해 애써야 한다.

6. 위험 관리 전략을 수립하는 데 있어 컴플라이언스 외에 고려해야 할 건 무엇인가?
컴플라이언스를 별개로 보지 않는 게 중요하다. 컴플라이언스 따로, 실제 위기 관리 따로, 보안 따로 하면 자원만 많이 소모된다. 컴플라이언스 전략과 전체 보안 관리와 위기 대처, 사업상 결정 등이 조화롭게 어우러져야 한다. 이 점이 매우 중요하다. 컴플라이언스 준비는 이런 전체적인 그림이 완성되었을 때 완료됐다고 말할 수 있다.

글 : 반 알시나위(Baan Alsinawi), TalaTek LLC
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)