보안은 생산성 저하 요인으로 언급되는 것이 보통이다. 대놓고 그렇게 이야기하지 못하더라도 사람들의 오랜 인식은 아직 다 바뀌지 않았다. 그래서 보안 팀은 다른 부서와 팀들에 좀더 파트너로서 다가가야 할 필요가 있다.
[보안뉴스 문가용 기자] 사이버 보안이 사업에 미치는 영향과 그 값어치를 시각적으로 혹은 유형적으로 보여준다는 건 꽤나 까다로운 일이다. 특히 C레벨 임원들과 ROI라는 계산법으로 얘기해야만 하는 상황에서는 더더욱 그렇다. 보안에 대한 인식이 상당히 좋아진 지금도 보안은 생산성을 저해한다는 선입견이 없다고 말하기 힘들고, 그렇기 때문에 제대로 된 대화를 이어간다는 게 쉬운 일은 아니다.
[이미지 = utoimage]
지난 주 열린 블랙햇 아시아 행사에서 기조 연설자로 나선 NASA 전 사이버 보안 담당자인 조지 도(George Do)가 바로 이 부분을 심도 깊게 다뤘다. 사업을 진행함에 있어서 보안이 어떤 가치를 발휘하고 있는지 보여주고 제시하는 부분에 대해 언급한 것이다. 이는 정보 보안이라는 것의 양적 가치를 효율적으로 측량하는 것에서부터 시작된다고 한다.
“보안을 위해 우리가 얼마나 많은 것을 투자합니까? 예산이 들어가고, 사람을 고용해야 하고, 피와 땀과 눈물을 매일처럼 쏟아붓고 있지요. 그런 것의 가치를, 그저 측량하기 힘들다는 이유로 포기해야 할까요? 그렇다면 그런 것들에는 의미나 가치가 전혀 없는 것이겠죠. 다른 사람들이 보안의 가치를 몰라준다고 말하기 전에 정말로 내가 보안에 가치가 있다고 믿고 있는지부터 물어야 할 것입니다.” 도의 연설문 중 일부 내용이다.
소통이 원활히 되지 않을 때
보안이 중요하다는 걸 인정하지 않는 사람은 이제 거의 없다고 해도 무방하다. 그럼에도 보안 팀원들로서 내부 다른 팀들과 소통이 원활하다고 느끼는 사람은 드문 것이 현실이다. ‘보안이 중요하다’는 것까지는 이제 모두 알고 있는데, ‘나도 보안에 참여해야 한다’는 것까지는 아직 생각이 닿지 않고 있기 때문이다. 그래서 ‘보안 규정’이라는 걸 이야기 하면 갑자기 ‘왜 날 귀찮게 하느냐’라는 식의 반응이 나온다. 그러니 보안에 대한 인식이 안 좋을 수밖에 없는 것이다.
“실제 대화를 하다보면 확연히 느껴지죠. 특히 IT 팀들은 저희 보안 팀을 장애물로 인식하고 있습니다. 매번 이런 저런 안전 문제로 ‘안 된다’고 말하기만 하는 사람들이라는 것이죠. 심지어 고객에게 어필하기 전에 보안 팀을 통과하지 못한다는 식으로 윗사람들에게 보고를 올리는 IT 담당자들도 봤어요. 일어나지도 않은 일, 있지도 않은 일이 두려워 예산을 증발시키는 게 보안 팀이라고 말하는 것도 들어봤고요.” 도의 설명이다.
그러면서 도는 그렇게 느끼는 게 어느 정도는 타당하기도 하다고 연설을 이어갔다. “우리가 더 많은 프로세스와 더 많은 게이트웨이를 설치하면 할수록 안전해지는 건 맞지만 그 만큼 비즈니스 프로세스가 느려지는 것도 맞고, 사용자의 불편을 초래하는 것도 맞습니다. 보안에 대해 불평하는 사람들이 있는 것처럼 보안 내부에서도 우리를 이해하지 못하는 사람들에 대해서 불평하는 사람들도 똑같이 존재하죠.”
CISO와 CIO, CTO 사이에서도 소통이 어려운 건 마찬가지다. 이 셋은 임원 회의에 같이 들어가는 경우가 많은데, 여기서 같은 사안에 대해 다른 의견과 시각을 제공하기 일쑤다. 그러면 아무리 같은 조직 내 동료라도 틈이 벌어지게 되고, 서로 협조는커녕 경쟁 관계가 만들어지기도 한다. 이런 부분에 대하여 도는 “다른 기술 분야 책임자들을 파트너로 보는 시각이 안착되는 것이 중요하다”고 CISO들에게 강조했다.
“CIO와 CTO라고 해서 보안에 대해 모르는 게 절대 아닙니다. 그런데 CISO들은 이 사람들에게 주로 어떤 이야기를 합니까? 우리 네트워크와 시스템들이 이런 저런 나쁜 것들이 있다고 회의 자리에서 공개하죠. 마치 중요한 회의 시간에 내 치부를 드러내는 것을 전문으로 하는 사람처럼 보일 수밖에 없어요. 고쳐야 할 부분입니다. 그런 악성 요소들이나 취약점들에 대하여 발표하려면 미리 CIO 및 CTO들과 논의를 하셔야 합니다. 미리 알리시고, 그래서 문제와 함께 해결책도 같이 회의 자리에 들고 가야 합니다. 그게 생산적이고 효과적이죠.”
또 다른 효과적인 전략은 회의 자리에 있는 다른 임원진들도 보안에 있어 역할이 있음을 강조하는 것이다. CIO나 CTO에만 부담감을 주는 게 아니라 모두에게 같은 책임을 부여함으로써 보안이라는 것이 공공의 임무라는 분위기를 계속해서 형성해야 한다는 의미다.
보안의 효과를 알리기 위한 5가지 전략
그러면서 도는 다섯 가지 소통의 전략을 참석자들에게 제안하기도 했다. 이를 정리해 보면 다음과 같다.
1) 듣는 사람을 이해하라 : 보안의 성과를 이해시키려면 먼저 설명을 들을 사람을 생각해야 한다. 그들이 쓰는 언어를 최대한 많이 활용해야 하기 때문이다. 임원진들에게 알리려면 ROI의 언어로 이야기 하는 것이 가장 빠르고 이해가 쉽다고 도는 강조했다. “그리고 가장 중요한 원칙은 보안 용어 혹은 전문 용어를 사용하지 않는다는 겁니다. 그런 단어가 나오는 순간 사람들은 이해하기를 포기합니다.”
2) 숫자부터 꺼내지 말라 : 숫자는 만국공통어이기 때문에 숫자를 최대한 많이 사용해야 이해를 도울 수 있을 것 같지만 꼭 그렇지도 않다. “같은 기업에 속한 임원진으로서 공동의 목표를 가지고 있음을 먼저 상기시키는 게 좋습니다. 모두가 똑같이 추구하고 있는 그 공동의 가치에 밑줄을 분명하게 긋고 나서 보안 이야기를 시작하는 게 높은 효과를 냅니다. 우리 회사는 사회에 이런 이바지를 하고 있고, 그런 가운데 이런 방식으로 수익을 내고 있으며, 그런 맥락에서 보안이 해야 하는 역할은 이것이라는 걸 명료하게 정의하십시오.”
3) 최대한 정량적인 언어를 사용하라 : 기업 공동의 목적이 정의되었고, 그 가운데 보안이 나아가야 할 길을 모두에게 이해시켰다면, 이제 그 목표를 어떻게 평가해야 하는지를 제시해야 한다. 이 때 ‘아무 사고도 안 일어나면 보안이 잘 한 것’이라는 식으로 애매하게 목표를 설정하는 건 금물이다. 무엇을 얼마나 어떻게 이뤄냈을 때 보안이 제대로 기능한 것인지를 정량적으로 설명해야 한다. 그리고 그 정량적 결과를 반복적으로 낼 수 있어야 한다. 이렇게 정량적으로 이야기를 해야 모두가 보안 목표를 쉽게 이해하게 되고, 그래야 보안 규정을 보다 쉽게 준수할 수 있게 된다.
4) 보안의 핵심이 팀웍이라는 걸 강조하라 : 보안의 로드맵을 정해놓고 ‘이제 모두가 동참해야 한다’고 말을 하는 게 CISO로서는 민망할 수 있다. 도는 “마치 보안이 실제 하는 일은 없는 것처럼 느껴지는 말이기 때문”이라고 설명한다. “많은 일을 열심히 한다는 걸 강조하고 싶은 게 인지상정이죠. 그래서 보안 팀에서 이런 저런 일들을 맡겠다고 하다가 결국 보안의 모든 책임을 보안 혼자서 지게 되는 경우가 종종 생깁니다. 하지만 특정 부서 한둘 혹은 개인 한두 명이 어떻게 해보려다가 더 망가지는 게 보안입니다. 모두가 참여해야 한다는 걸 스스로가 잊지 말아야 합니다.”
5) 보안의 권한과 임무는 정비례 한다 : 아무리 모두의 책임이라고 해도 결국 전 조직적 보안을 책임져야 할 사람들은 따로 정해지기 마련이다. 보안의 할 일이 뚜렷해지고, 그 성과 역시 정량적으로 이해하기 쉽게 표현되고 있다는 건 책임자의 존재 역시 분명해진다는 의미이기도 하다. 이는 당연한 일이며, 보안 담당자들도 그 책임을 받아들여야 한다. 대신 여기에는 전제조건이 하나 있다. 그 보안 책임자에게 합당한 권한을 부여해야 한다는 것이다. “권한도 없이 책임만 지라고 하는 건, 사실 일 하지 말라는 소리나 다름이 없습니다. 보안 담당자들은 회의 석상에서 이러한 점도 꾸준히 알리고 요구해야 합니다.”
3줄 요약
1. 보안이 중요하다는 걸 인지하고는 있지만 아직 나의 일로 받아들이는 사람은 적음.
2. 그래서 보안 담당자들은 여전히 조직 내에서 기피되고 있음.
3. 보안은 사내에서 여러 다른 부서들과 파트너십을 맺고 언어를 바꿔 ‘동반자’의 느낌을 줄 수 있어야 함.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 사이버 보안이 사업에 미치는 영향과 그 값어치를 시각적으로 혹은 유형적으로 보여준다는 건 꽤나 까다로운 일이다. 특히 C레벨 임원들과 ROI라는 계산법으로 얘기해야만 하는 상황에서는 더더욱 그렇다. 보안에 대한 인식이 상당히 좋아진 지금도 보안은 생산성을 저해한다는 선입견이 없다고 말하기 힘들고, 그렇기 때문에 제대로 된 대화를 이어간다는 게 쉬운 일은 아니다.
[이미지 = utoimage]
지난 주 열린 블랙햇 아시아 행사에서 기조 연설자로 나선 NASA 전 사이버 보안 담당자인 조지 도(George Do)가 바로 이 부분을 심도 깊게 다뤘다. 사업을 진행함에 있어서 보안이 어떤 가치를 발휘하고 있는지 보여주고 제시하는 부분에 대해 언급한 것이다. 이는 정보 보안이라는 것의 양적 가치를 효율적으로 측량하는 것에서부터 시작된다고 한다.
“보안을 위해 우리가 얼마나 많은 것을 투자합니까? 예산이 들어가고, 사람을 고용해야 하고, 피와 땀과 눈물을 매일처럼 쏟아붓고 있지요. 그런 것의 가치를, 그저 측량하기 힘들다는 이유로 포기해야 할까요? 그렇다면 그런 것들에는 의미나 가치가 전혀 없는 것이겠죠. 다른 사람들이 보안의 가치를 몰라준다고 말하기 전에 정말로 내가 보안에 가치가 있다고 믿고 있는지부터 물어야 할 것입니다.” 도의 연설문 중 일부 내용이다.
소통이 원활히 되지 않을 때
보안이 중요하다는 걸 인정하지 않는 사람은 이제 거의 없다고 해도 무방하다. 그럼에도 보안 팀원들로서 내부 다른 팀들과 소통이 원활하다고 느끼는 사람은 드문 것이 현실이다. ‘보안이 중요하다’는 것까지는 이제 모두 알고 있는데, ‘나도 보안에 참여해야 한다’는 것까지는 아직 생각이 닿지 않고 있기 때문이다. 그래서 ‘보안 규정’이라는 걸 이야기 하면 갑자기 ‘왜 날 귀찮게 하느냐’라는 식의 반응이 나온다. 그러니 보안에 대한 인식이 안 좋을 수밖에 없는 것이다.
“실제 대화를 하다보면 확연히 느껴지죠. 특히 IT 팀들은 저희 보안 팀을 장애물로 인식하고 있습니다. 매번 이런 저런 안전 문제로 ‘안 된다’고 말하기만 하는 사람들이라는 것이죠. 심지어 고객에게 어필하기 전에 보안 팀을 통과하지 못한다는 식으로 윗사람들에게 보고를 올리는 IT 담당자들도 봤어요. 일어나지도 않은 일, 있지도 않은 일이 두려워 예산을 증발시키는 게 보안 팀이라고 말하는 것도 들어봤고요.” 도의 설명이다.
그러면서 도는 그렇게 느끼는 게 어느 정도는 타당하기도 하다고 연설을 이어갔다. “우리가 더 많은 프로세스와 더 많은 게이트웨이를 설치하면 할수록 안전해지는 건 맞지만 그 만큼 비즈니스 프로세스가 느려지는 것도 맞고, 사용자의 불편을 초래하는 것도 맞습니다. 보안에 대해 불평하는 사람들이 있는 것처럼 보안 내부에서도 우리를 이해하지 못하는 사람들에 대해서 불평하는 사람들도 똑같이 존재하죠.”
CISO와 CIO, CTO 사이에서도 소통이 어려운 건 마찬가지다. 이 셋은 임원 회의에 같이 들어가는 경우가 많은데, 여기서 같은 사안에 대해 다른 의견과 시각을 제공하기 일쑤다. 그러면 아무리 같은 조직 내 동료라도 틈이 벌어지게 되고, 서로 협조는커녕 경쟁 관계가 만들어지기도 한다. 이런 부분에 대하여 도는 “다른 기술 분야 책임자들을 파트너로 보는 시각이 안착되는 것이 중요하다”고 CISO들에게 강조했다.
“CIO와 CTO라고 해서 보안에 대해 모르는 게 절대 아닙니다. 그런데 CISO들은 이 사람들에게 주로 어떤 이야기를 합니까? 우리 네트워크와 시스템들이 이런 저런 나쁜 것들이 있다고 회의 자리에서 공개하죠. 마치 중요한 회의 시간에 내 치부를 드러내는 것을 전문으로 하는 사람처럼 보일 수밖에 없어요. 고쳐야 할 부분입니다. 그런 악성 요소들이나 취약점들에 대하여 발표하려면 미리 CIO 및 CTO들과 논의를 하셔야 합니다. 미리 알리시고, 그래서 문제와 함께 해결책도 같이 회의 자리에 들고 가야 합니다. 그게 생산적이고 효과적이죠.”
또 다른 효과적인 전략은 회의 자리에 있는 다른 임원진들도 보안에 있어 역할이 있음을 강조하는 것이다. CIO나 CTO에만 부담감을 주는 게 아니라 모두에게 같은 책임을 부여함으로써 보안이라는 것이 공공의 임무라는 분위기를 계속해서 형성해야 한다는 의미다.
보안의 효과를 알리기 위한 5가지 전략
그러면서 도는 다섯 가지 소통의 전략을 참석자들에게 제안하기도 했다. 이를 정리해 보면 다음과 같다.
1) 듣는 사람을 이해하라 : 보안의 성과를 이해시키려면 먼저 설명을 들을 사람을 생각해야 한다. 그들이 쓰는 언어를 최대한 많이 활용해야 하기 때문이다. 임원진들에게 알리려면 ROI의 언어로 이야기 하는 것이 가장 빠르고 이해가 쉽다고 도는 강조했다. “그리고 가장 중요한 원칙은 보안 용어 혹은 전문 용어를 사용하지 않는다는 겁니다. 그런 단어가 나오는 순간 사람들은 이해하기를 포기합니다.”
2) 숫자부터 꺼내지 말라 : 숫자는 만국공통어이기 때문에 숫자를 최대한 많이 사용해야 이해를 도울 수 있을 것 같지만 꼭 그렇지도 않다. “같은 기업에 속한 임원진으로서 공동의 목표를 가지고 있음을 먼저 상기시키는 게 좋습니다. 모두가 똑같이 추구하고 있는 그 공동의 가치에 밑줄을 분명하게 긋고 나서 보안 이야기를 시작하는 게 높은 효과를 냅니다. 우리 회사는 사회에 이런 이바지를 하고 있고, 그런 가운데 이런 방식으로 수익을 내고 있으며, 그런 맥락에서 보안이 해야 하는 역할은 이것이라는 걸 명료하게 정의하십시오.”
3) 최대한 정량적인 언어를 사용하라 : 기업 공동의 목적이 정의되었고, 그 가운데 보안이 나아가야 할 길을 모두에게 이해시켰다면, 이제 그 목표를 어떻게 평가해야 하는지를 제시해야 한다. 이 때 ‘아무 사고도 안 일어나면 보안이 잘 한 것’이라는 식으로 애매하게 목표를 설정하는 건 금물이다. 무엇을 얼마나 어떻게 이뤄냈을 때 보안이 제대로 기능한 것인지를 정량적으로 설명해야 한다. 그리고 그 정량적 결과를 반복적으로 낼 수 있어야 한다. 이렇게 정량적으로 이야기를 해야 모두가 보안 목표를 쉽게 이해하게 되고, 그래야 보안 규정을 보다 쉽게 준수할 수 있게 된다.
4) 보안의 핵심이 팀웍이라는 걸 강조하라 : 보안의 로드맵을 정해놓고 ‘이제 모두가 동참해야 한다’고 말을 하는 게 CISO로서는 민망할 수 있다. 도는 “마치 보안이 실제 하는 일은 없는 것처럼 느껴지는 말이기 때문”이라고 설명한다. “많은 일을 열심히 한다는 걸 강조하고 싶은 게 인지상정이죠. 그래서 보안 팀에서 이런 저런 일들을 맡겠다고 하다가 결국 보안의 모든 책임을 보안 혼자서 지게 되는 경우가 종종 생깁니다. 하지만 특정 부서 한둘 혹은 개인 한두 명이 어떻게 해보려다가 더 망가지는 게 보안입니다. 모두가 참여해야 한다는 걸 스스로가 잊지 말아야 합니다.”
5) 보안의 권한과 임무는 정비례 한다 : 아무리 모두의 책임이라고 해도 결국 전 조직적 보안을 책임져야 할 사람들은 따로 정해지기 마련이다. 보안의 할 일이 뚜렷해지고, 그 성과 역시 정량적으로 이해하기 쉽게 표현되고 있다는 건 책임자의 존재 역시 분명해진다는 의미이기도 하다. 이는 당연한 일이며, 보안 담당자들도 그 책임을 받아들여야 한다. 대신 여기에는 전제조건이 하나 있다. 그 보안 책임자에게 합당한 권한을 부여해야 한다는 것이다. “권한도 없이 책임만 지라고 하는 건, 사실 일 하지 말라는 소리나 다름이 없습니다. 보안 담당자들은 회의 석상에서 이러한 점도 꾸준히 알리고 요구해야 합니다.”
3줄 요약
1. 보안이 중요하다는 걸 인지하고는 있지만 아직 나의 일로 받아들이는 사람은 적음.
2. 그래서 보안 담당자들은 여전히 조직 내에서 기피되고 있음.
3. 보안은 사내에서 여러 다른 부서들과 파트너십을 맺고 언어를 바꿔 ‘동반자’의 느낌을 줄 수 있어야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
