[기고]기업에서 보안팀의 본질적인 역할이란
상태바
[기고]기업에서 보안팀의 본질적인 역할이란
  • 김선애 기자
  • 승인 2016.08.12 16:59
  • 댓글 0
이 기사를 공유합니다

보안 조직, 더 많은 권한·책임 가져야…침해사고 대응 프로세스 반복하면서 전문성 키워야
▲ 황석훈 타이거팀 대표이사

수많은 세상의 기기와 서비스가 인터넷이라는 공간에 연결되고 활성화되면서 일상생활이 편리해졌지만, 그만큼 위험도 높아졌다.

해킹으로 민감한 개인정보가 유출되고 거래되고 불법적으로 활용되면서 2차, 3차 피해를 일으키고 있다. 이 사고가 빈번하게 발생하면서 보안 불감증이 만연해지고 있으며, 심각한 보안 사고가 발생해도 흥미조차 끌지 못하는 상황에 이른 것으로 나타났다.

나아가 합법적인 테두리에서 생겨난 정보보안 전문가에 대한 비판적인 시각도 늘어난다.

“투자해도 뚫린다면서” “완벽한 보안은 없다” “그렇게만 하면 완벽해지나요?” “우리는 안전한가요?”

보안, 비즈니스 기여하기 위해 전문성 키워야

보안 사고가 나면 보안 담당자들이 모든 책임을 져야 한다. 그렇다면 보안 사고를 당하지만 않게 하면 보안의 책임을 다하는 것인가? 보안 담당자는 정보유출을 원천적으로 차단하면 끝나는 일일까? 보안을 비즈니스 영위를 위해 기여해야 한다는 이상은 현실적으로 가능한 것인가? 이를 가능하게 할 수 있는 ‘보안 전문가’는 공급할 수 있을까?

CxO의 목표는 회사가 지속가능하도록 노력하는 사람들이다. 다음달에도 급여가 안정적으로 지급될수 있도록 노력하고, 보다 많은 수익을 창출할 수 있는 아이디어와 방향성을 제시하는 사람들이다.

보안을 책임지는 CSO, CISO 역시 같은 목표를 가져야 한다. 이들은 회사의 비즈니스가 영속적이고 안정적으로 운영될 수 있도록 방향을 수립하고 그를 달성하기 위해서 최선의 노력을 다해야 한다. CEO가 경영의 총괄 책임자로서 머나먼 여정을 떠나듯, 보안 책임자 역시 CEO의 동반자로써 함께 머나먼 여정을 떠나는 사람이여야 할 것이다.

사고가 발생하면 침해사고 대응 프로세스가 정상적으로 돌아가 2차 피해를 최소화하고 근본적인 원인을 밝혀 보다 안정적인 운영을 하도록 하는 것이 중요하다. 실상은 그렇지 않다. 안정적 운영을 위한 것이 아니라 사고 나지 않는 것에 급급하며, 사고가 발생했을 때 누가 책임지고 물러날 것인가에만 관심을 갖는다. 이 일이 반복되면 보안 전문성을 쌓을 수 없게 되고, 보안 연속성을 유지할 수 없게 된다.

보안 담당자에 충분한 책임·권한 보장해야

현실적인 해결 방법은 보안 사고가 발생했을 때 담당자를 징계하고 끝내는 것이 아니라, 발생한 사고에 대해 침해사고대응 프로세스를 가동시키고, 사고를 수습하고 재발 방지를 위한 대책을 마련해 적용해야 한다. 사고가 발생할 때 마다 이를 반복하면서 노하우를 쌓아 전문성을 높여나가며, 더 발전된 보안서비스를 개발해야 한다.

보안 사고가 발생했다고 해서 기존의 인력을 해고하고 새로운 인력으로 채운다면 전문성을 기를 수 없으며, 보안에 대한 부정적인 시각을 더욱 확고하게 할 뿐이다.

보안은 비즈니스 연속성을 위해서 존재하는 것이 아니라, 사고에 대한 책임자로서만 남게 된다. 근본적으로 보안은 비즈니스를 보다 견고히 하기 위한 방법이며, 기존 업무에 부담이 될 수 밖에 없다.

네트워크 장비를 통해 보안 문제를 해결하기 위해 노력하지만, 많은 오탐으로 인해 관리 복잡성이 높아지고, 보안 담당자 업무가 가중된다. 보안 정책을 우회하는 공격을 막지 못해 보안 신뢰도는 더 떨어진다.

보안 사고가 발생했을 대, 보안 조직 몇 명 징계하고 끝내는 것으로 수습하는 과거의 사례를 반복한다면, 이와 같은 사고는 또 다시 발생할 수 밖에 없다는 우려가 든다. 이번 일을 반면교사 삼아 CSO/CISO에게 더 강력한 권한과 책임을 주고, CEO는 그들에게 방향성을 함께 공유하며 리딩할 때, 보안 수준은 한 차원 높아질 것이다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.