정보보안의 가장 중요한 자원 소중히 길러내기
단순 반복 작업 자동화시켜 ‘진짜’에 역량 쏟을 수 있도록
[보안뉴스 문가용] 보안에서 가장 중요한 자원은 무엇일까? 바로 사람이다. 문제가 일어난 부분을 발견하는 것도 사람이고 그에 대해 수사의 지능을 발휘하는 것도 사람이며 경고를 서로에게 주고받는 것도 사람이다. 그러므로 사람만 제대로 보안에 대한 조치를 취할 수 있다면 어지간한 보안 사고는 다 막을 수 있다. 보안은 더 이상 프로그램이나 솔루션의 싸움이 아니다.
그러나 기업들은 이상하게 같은 돈이면 솔루션에 더 투자하지 사람을 고용하려 하지 않는다. 사람이 더 비싸서? 의외로 그게 이유가 아닌 경우가 더 많다. ‘인재가 없어서’가 가장 흔히 말하는 이유 되겠다. 보통 여러 보안 상황에 대처하려면 10년 경력자가 필요하다고 하는데, 10년 경력자가 한 번 업계에 출현하려면 말 그대로 10년이 걸린다. 그러니 기업들은 차선책을 선택할 수밖에 없게 되는데, 이 차선책의 효율을 높일 수 있는 방법이 몇 가지 있어 간략하게 소개해보고자 한다.
1. 매일 기계처럼 해야 하는 일에 사람을 쓰지 말라
지금 회사 내에 있는 보안담당자에게 뻔하고 단순한 업무를 과하게 시키지 않는 편이 좋다. 자동으로 처리할 수 있는 일은 최대한 자동으로 처리하라. 물론 자동으로 처리할 수 있으니 사람을 하나 덜 써도 되겠다는 결론에 이를 정도로 자동화에 업무를 맡기라는 소리는 아니다. 오히려 정말 ‘사람다운 능력을 발휘할 수 있도록’ 최대한의 여건을 마련해 주라는 뜻이다. 사람이 할 수 있는 진짜 일을 자꾸만 시켜서 능력을 키우면 그것이 곧 회사의 경쟁력이 된다.
그렇다면 어떤 일에 자동화를 적용할 수 있을까? 이 역시 보안팀의 의견을 받고 소통을 해서 정해야 한다. 이 때 작업의 성격이 단순히 반복적이기만 하다는 이유로 자동화를 적용해서는 안 된다. 회사의 보안 정책, 사고가 발생했을 때 생기는 리스크의 크기, 책임소재가 분명한 정도 등을 고루 고려해야 한다. 하지만 대체적으로는 ‘노력에 비해 성과가 적은 작업’에 자동화 적용을 고려하는 편이 좋다.
2. 양은 많고 반복적이기까지 한 일은 기계의 몫
위와 비슷한 이야기다. 반복적인 일을 다량으로 처리하다보면 사람은 당연히 생각도 없어지고 속도도 느려지며 만족감도 없어지기 마련이다. 창의력이나 날카로움은 모조리 휘발되고 그저 형식과 틀만 남을 때가 많다. 결과물 역시 실속은 하나도 찾을 수 없게 된다. 굳이 소중한 인적 자원을 망쳐가며 기계를 아낄 필요가 없다.
사람만을 위한 얘기가 아니다. 사람이 기계처럼 하던 것만 그저 생각 없이 하게 되면 정확도 또한 떨어진다. 즉 아무런 감정 없는 기계를 사용하는 편이 결과에 대한 신뢰도를 높일 수 있게 된다. 단순 반복 작업을 좋아하는 사람도 있지만 보편적으로는 기계가 이런 종류의 일에 훨씬 더 강점을 보인다. 인간에게는 늘 오류가 있기 마련이지만 기계는 그렇지 않다.
3. 감사 준비 역시 자동화로
감사를 준비하는 건, 해본 사람은 알겠지만 어느 나라나 어느 분야나 똑같이 괴롭고 힘들며 재미도 없고 시간은 지독하게 잡아먹는 일이다. 감사 자체보다 준비 기간이 더 그렇다. 사실 감사 준비하면서 이게 뭐하는 미친 짓이냐며 욕 한 마디 안 해본 사람 없을 것이다.
그런데 곰곰이 생각해보면 감사 준비 작업에 자동화가 개입할 여지가 꽤나 있다. 문서 백업, 방화벽 설정, 문서 암호화 확인, 패치 적용 확인 등등 말이다. 물론 감사를 준비하는 데에 있어 모든 일을 기계에게 맡길 수는 없지만 분명 기계적으로 해야 하는 부분도 존재한다. 그 구분을 잘 하는 것이 감사의 성적을 높이는 첫 걸음이 될 수도 있다.
4. 운영과 관련된 IT는 IT 팀에게, 보안만 보안팀에게
많은 기업들이 IT 부서와 보안 부서의 업무를 잘 구분하지 못한다. 그래서 두 부서는 합쳐 있거나 심지어 한 담당자가 IT와 보안을 함께 맡고 있기도 하다. 그런데 둘 중 눈에 띄는 일, 즉 성과를 회사에 과시할 수 있는 건 IT 업무다. 당연히 보안이 뒤로 처질 수는 없다. 그러니 이 업무를 분명하게 구분할 필요가 있다. IT 담당자의 일과 보안 담당자의 일을 정확히 구분하라. 한 사람이 전부를 담당하는 건 IT나 보안 측면 모두에서 최악의 경우다.
5. 작은 지식이라도 모두에게 전파하라
기업의 가장 방대한 정보 저장소는 어디인가? 서버? NAS? 클라우드? 보통은 아직까지도 사람의 기억 속이다. 기업 내 시스템을 수년 간 관리해온 IT 담당자의 머릿속에 있는 정보는 어떤 문서로도 충분히 담아낼 수 없다. 각자 맡은 업무를 하느라 몸으로 익힌 정보들은 분명 한 사람 한 사람 속에는 존재하는데, 동료들 사이에서 공유되지는 않는다. 이는 회사의 전체 시스템 차원에서 해결해야 한다.
방금 예를 든 IT 담당자가 노하우의 정보공유 없이 회사를 퇴사한다면, 그 회사는 그날로부터 뒤로 처지기 시작할 것이다. 그보다 경험과 실력이 떨어진 후임자를 곧바로 현장에 투입하려면 미리부터 원활한 정보공유를 통해 학습하는 게 중요하다. 또한 회사 입장에서도 이미 ‘존재했었던 옛 기술과 정보’를 습득하느라 직원 하나가 아까운 근무 시간을 쏟아 붓지 않는 편이 효율적이고 말이다.
6. 구하기 힘든 보안담당자, 갈고 닦아 더 빛나게
이 기사가 존재할 수 있는 전제조건은 제일 처음 말한 ‘인재가 부족하다’는 것이다. 하지만 마냥 뒤에 오는 세대를 기다릴 수도 없는 노릇. 아니, 기다리는 것조차가 스스로 리스크를 높이는 꼴인 게 요즘 시대다. 이런 때 눈앞에 닥친 위험한 상황들을 타개하는 것도 중요하지만 멀리 보고 보안담당자가 더 많이 자랄 수 있도록 환경을 조성해주는 게 중요하다고 본다. 그 첫 번째 길은 단순 반복 작업에서 해방시켜주는 것이다. 보안은 ‘평소 습관’과 직결되어 있는 부분이 많아서 정보보안 담당자의 업무가 단순화되는 경향이 많은데, 오히려 해커들의 창의력이 대단하다는 것에 착안해 우리 보안담당자들의 역량 역시 창의와 혁신의 방향에 맞추는 편이 어떨까 싶다.
글 : 님미 레이첸버그(Nimmy Reichenberg)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
