NIST가 만드는 자료들, 좋은 참고자료 이상의 가치를 갖기 시작하나

[보안뉴스 문가용] NIST의 사이버보안 프레임워크를 적용하는 데에 가장 큰 장애는 ‘예산’이라는 설문결과가 나왔다. 테너블 네트워크 시큐리티(Tenable Network Security)가 최근 미국 IT 및 보안 전문가들 300명을 대상으로 실시한 설문조사에서였다.



일단 응답자의 84%는 적어도 한 가지 이상의 보안 프레임워크가 조직에 도입되어 있다고 답한 것으로 나타났다. 또한 70%는 NIST가 정립한 프레임워크가 가장 신뢰할 만하며 명실상부 최고라고 답했다. 그러나 NIST의 프레임워크는 도입시 필요한 예산이 너무 커서 부담된다는 응답자가 50%나 되었다.

64%는 그래서 NIST 프레임워크의 일부만 적용하고 있다고 답했다. 비용도 부담이지만 NIST 프레임워크는 정책이나 법으로 마련된 것이 아니라 강제성이 부족해서이기도 하다. 앞으로 한 해 안에 NIST의 프레임워크를 도입해나갈 것이라는 기업의 83% 역시 이런 점진적인 방식을 택할 것이라고 답했다.

이 설문의 결과에 대해 테너블의 CEO인 론 굴라(Ron Gula)는 “NIST가 비싸다는 결론을 내린다면, 그건 인사이트가 부족한 것”이라고 설명을 시작했다. “NIST 프레임워크가 비싸다는 고민을 하기 시작한 건 그걸 도입하기 위한 실제적인 고민을 하기 시작했다는 뜻입니다. 사실 NIST에서 만든 정책들이나 가이드라인, 프레임워크가 질이나 양적인 측면에서 매우 훌륭하다는 건 누구나 알고 있는 사실이죠. 다만 대중들이나 산업에서 이를 진지하게 받아들이지 않고 좋은 참고자료로만 사용해왔었습니다.”

NIST의 프레임워크가 실제 도입대상으로서 고민이 되고 있다는 건 또 무슨 뜻일까? “컴플라이언스에 대한 개념 자체가 바뀌고 있다는 걸로 해석할 수 있습니다. 컴플라이언스라는 게 여태까지는 보통 정부기관 같은 곳에서 감사 나올 때를 대비해 그 순간에만 정책을 잘 지키는 1회성 개념이었다면, 이제 늘 지속적으로 보안에 입각한 행위들을 하겠다는 거죠. NIST 사이버보안 프레임워크 자체가 지속적인 보안에 초점이 맞춰져 있거든요. 그렇게나 외치던 ‘보안의 문화화’에 한 걸음 더 갔다고 이해해도 됩니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>