CISO, ‘금지’가 아니라 사업 활성화를 목표로 삼아야
자동화 활용으로 사람다운 일에 집중하기, 보안 문화 정착시키기
[보안뉴스 문가용] PC의 등장 이후 기술 업계가 이처럼 격한 변화의 시기를 겪은 때가 있었나 싶을 정도다. 메인프레임(mainframe)은 클라이언트와 서버의 시대로 넘어갔으며 이젠 그것도 지나 클라우드의 때로 흘러가고 있다. 기업들은 온라인으로 몇 초 안에 뚝딱 클라우드 계약을 성사시키고, 사용자들은 3만 5천피트 상공에서도 자유롭게 접속한다.
이는 기존 사업의 운영 자체를 바꿔놓고 있다. 긍정적으로도 그렇고, 부정적으로도 그렇다. 정보보안 담당자는 그 무엇보다 클라우드에 저장되어 있는 기업기밀과 같은 중요한 정보를 보호해야 한다는 과제를 받은 것이나 다름없다. 이는 회사 전체를 보호해야 하는 CISO들도 마찬가지다. 그러나 도구라고 주어진 것들이 별로다. 적은 매일 더 무서워지고 있고 숫자도 늘어나고 있는데 조력해줄 사람은 아직도 턱 없이 부족하기 때문이다. 이런 때 CISO들은 뭘 어떻게 해야 할까? 세 가지를 꼽아본다.
1. CISO는 사업을 원활히 하는 사람이지 문지기가 아니다
물론 CISO의 S는 보안이나 경비를 뜻하는 Security에서 왔다. 그렇다고 문지기가 하듯이 문을 철저히 잠가버리는 건 안 될 말이다. 데이터를 하루 종일 잠그고 어떻게 일을 할 수 있겠는가. 데이터를 보호한다는 건 ‘업무를 안전하게 활성화하는 차원’에서 고민해야 할 문제다. 즉 엄격하고 통제하는 것으로 업무를 규정해서는 좋은 CISO가 될 수 없다는 것이다. 이제 모바일을 사용하지 말라고 하고 소프트웨어를 지우라고 하고 클라우드에 접속하지 말라고 해서는 안 된다.
이렇게 ‘금지’ 위주에서 ‘허용’으로 가려면 CISO의 근본 역할에 대한 생각의 개선이 필요하다. 뿐만 아니라 정보보안이라는 것과 그 역할 자체에 대해서도 뿌리부터 다시 생각해보아야 한다. 전체 IT환경이 어떤 식으로 흘러가는지, IT 기술의 목표가 무엇인지 큰 그림을 보면 조금 더 가닥을 잡기가 쉬울 것이다.
그런 맥락에서 CISO는 클라우드와 데이터의 자유로운 흐름을 바라봐야 한다. 또한 무수히 늘어나고 있는 기기들의 생산 트렌드도 고려해야 한다. 네트워크는 더 이상 데이터를 잡아둘 수 없다. CISO는 오히려 이 흐름을 더 촉진시켜야 한다. 이것은 무조건 열어놓는 것과는 다른 일이다. 어디가 어떻게 다른가는 기업마다 다르고 환경마다 달라서 몇 줄로 정리가 되지 않는다. 그러니 모호하지만 ‘마인드’만을 언급하는 것이다. 게다가 CISO라는 직군의 역사가 깊지 않아 구체적인 사례도 찾기 힘들다. 하지만 모든 걸 다 허용하지 않았을 때의 결과를 우리는 알고 있다. 바로 은둔의 IT다.
2. 자동화를 적극 활용하라
데이터와 기기, 사용자와 워크로드라는 ‘보안이 커버해야 하는 것’은 이미 무한의 영역에 들어섰다. 정보의 흐름이나 교체 시기도 빨라졌다. CISO에게 요구되는 능력에는 민첩함도 포함된다. 민첩하다는 건 업무 환경에 있어서는 반드시 효율성도 수반하는 개념이다. 그러나 사람이 알파고도 아니고, 이걸 다 소화할 수 있을 리가 없다. 기업이 CISO를 여러 명 고용하지도 않는다. 이럴 때 필요한 건 자동화 기술이다. 특정 알고리즘을 가지고 수많은 첩보 중 진짜를 골라내고, 분석에 알맞게 수많은 데이터를 일정한 포맷으로 배열하는 등의 기술을 최대한 활용해야 한다.
자동화가 단순히 CISO의 업무만 빨라지게 하는 건 아니다. 보안도 강화시킨다. 보안을 강화시키는 여러 할 일들 중 자동화로 처리할 수 있는 것들이 있다. 특히 주기적으로 암호를 바꾼다거나 방금 만든 코드에서 취약점이 있는지 검사하는 것처럼 일반 사용자가 귀찮아하는 비교적 사소한 일들 중에서 찾아보면 의외로 많이 나온다. 어차피 사용자들이 귀찮아해서 실천하지 않는 거, 자동화로 돌려버리면 말 그대로 누이 좋고 매부 좋은 상황이 연출되는 것이다.
이렇게 사람들을 ‘풀어주면’ 생산 쪽이나 아직은 소프트웨어들이 할 수 없는 고차원적인 일에 신경을 더 쓸 수 있게 된다. 이는 CISO가 회사의 수익과 생산을 도울 수 있는 한 방법 중 하나다. CISO 스스로도 자동화로 처리할 수 있는 것들을 찾아내면 위협 분석이라든지 정책과의 충돌, 보안 리소스의 잘못된 사용처 발견 등 더 많은 일들을 해낼 수 있다.
3. 복잡할수록 기본이 중요하다
적국의 유능한 해커들을 한 번에 박살내거나 산업 스파이를 원천 차단할 수 있는 솔루션이란 존재하지 않는다. 임기 동안 단 한 번도 공격받지 않겠다는 것조차 허황된 꿈일 수 있는 때다. 이런 때 기본으로 돌아가 내부적으로 ‘보안 위생’을 정착시키는 것에 힘을 쏟겠다는 것이 보다 실질적이고 효율적이며 바람직하다. 파트타임 근무자부터 CEO들까지도 모두 참여하는 접근 통제, 데이터 암호화, 소프트웨어 패치 문화를 하나하나 정립시켜 나가는 것이 기업을 위협으로부터 지킬 수 있는 튼튼한 토대가 된다. 게다가 그리 어렵지 않다. 해야 할 일도 구체적이다.
현재 일어나는 해킹 사건 중 90%가 사소한 실수만 하지 않았다면 막을 수 있는 것들이라고 한다. 지난 주에 암호만 바꿨다면, 메일 클릭을 잘못하지 않았다면, 그때 그 게이트웨이 로그를 살펴봤다면 90%는 위험에서 벗어날 수 있다는 소리다. 그리고 이는 모두 ‘보안 위생’ 문화 속에서 얼마든지 해결할 수 있는 것들이다.
IT 환경이 급변하고 있다. 그 변화의 최전선에 CISO들이 있다.
글 : 암릿 윌리엄즈(Amrit Williams)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
자동화 활용으로 사람다운 일에 집중하기, 보안 문화 정착시키기
[보안뉴스 문가용] PC의 등장 이후 기술 업계가 이처럼 격한 변화의 시기를 겪은 때가 있었나 싶을 정도다. 메인프레임(mainframe)은 클라이언트와 서버의 시대로 넘어갔으며 이젠 그것도 지나 클라우드의 때로 흘러가고 있다. 기업들은 온라인으로 몇 초 안에 뚝딱 클라우드 계약을 성사시키고, 사용자들은 3만 5천피트 상공에서도 자유롭게 접속한다.
이는 기존 사업의 운영 자체를 바꿔놓고 있다. 긍정적으로도 그렇고, 부정적으로도 그렇다. 정보보안 담당자는 그 무엇보다 클라우드에 저장되어 있는 기업기밀과 같은 중요한 정보를 보호해야 한다는 과제를 받은 것이나 다름없다. 이는 회사 전체를 보호해야 하는 CISO들도 마찬가지다. 그러나 도구라고 주어진 것들이 별로다. 적은 매일 더 무서워지고 있고 숫자도 늘어나고 있는데 조력해줄 사람은 아직도 턱 없이 부족하기 때문이다. 이런 때 CISO들은 뭘 어떻게 해야 할까? 세 가지를 꼽아본다.
1. CISO는 사업을 원활히 하는 사람이지 문지기가 아니다
물론 CISO의 S는 보안이나 경비를 뜻하는 Security에서 왔다. 그렇다고 문지기가 하듯이 문을 철저히 잠가버리는 건 안 될 말이다. 데이터를 하루 종일 잠그고 어떻게 일을 할 수 있겠는가. 데이터를 보호한다는 건 ‘업무를 안전하게 활성화하는 차원’에서 고민해야 할 문제다. 즉 엄격하고 통제하는 것으로 업무를 규정해서는 좋은 CISO가 될 수 없다는 것이다. 이제 모바일을 사용하지 말라고 하고 소프트웨어를 지우라고 하고 클라우드에 접속하지 말라고 해서는 안 된다.
이렇게 ‘금지’ 위주에서 ‘허용’으로 가려면 CISO의 근본 역할에 대한 생각의 개선이 필요하다. 뿐만 아니라 정보보안이라는 것과 그 역할 자체에 대해서도 뿌리부터 다시 생각해보아야 한다. 전체 IT환경이 어떤 식으로 흘러가는지, IT 기술의 목표가 무엇인지 큰 그림을 보면 조금 더 가닥을 잡기가 쉬울 것이다.
그런 맥락에서 CISO는 클라우드와 데이터의 자유로운 흐름을 바라봐야 한다. 또한 무수히 늘어나고 있는 기기들의 생산 트렌드도 고려해야 한다. 네트워크는 더 이상 데이터를 잡아둘 수 없다. CISO는 오히려 이 흐름을 더 촉진시켜야 한다. 이것은 무조건 열어놓는 것과는 다른 일이다. 어디가 어떻게 다른가는 기업마다 다르고 환경마다 달라서 몇 줄로 정리가 되지 않는다. 그러니 모호하지만 ‘마인드’만을 언급하는 것이다. 게다가 CISO라는 직군의 역사가 깊지 않아 구체적인 사례도 찾기 힘들다. 하지만 모든 걸 다 허용하지 않았을 때의 결과를 우리는 알고 있다. 바로 은둔의 IT다.
2. 자동화를 적극 활용하라
데이터와 기기, 사용자와 워크로드라는 ‘보안이 커버해야 하는 것’은 이미 무한의 영역에 들어섰다. 정보의 흐름이나 교체 시기도 빨라졌다. CISO에게 요구되는 능력에는 민첩함도 포함된다. 민첩하다는 건 업무 환경에 있어서는 반드시 효율성도 수반하는 개념이다. 그러나 사람이 알파고도 아니고, 이걸 다 소화할 수 있을 리가 없다. 기업이 CISO를 여러 명 고용하지도 않는다. 이럴 때 필요한 건 자동화 기술이다. 특정 알고리즘을 가지고 수많은 첩보 중 진짜를 골라내고, 분석에 알맞게 수많은 데이터를 일정한 포맷으로 배열하는 등의 기술을 최대한 활용해야 한다.
자동화가 단순히 CISO의 업무만 빨라지게 하는 건 아니다. 보안도 강화시킨다. 보안을 강화시키는 여러 할 일들 중 자동화로 처리할 수 있는 것들이 있다. 특히 주기적으로 암호를 바꾼다거나 방금 만든 코드에서 취약점이 있는지 검사하는 것처럼 일반 사용자가 귀찮아하는 비교적 사소한 일들 중에서 찾아보면 의외로 많이 나온다. 어차피 사용자들이 귀찮아해서 실천하지 않는 거, 자동화로 돌려버리면 말 그대로 누이 좋고 매부 좋은 상황이 연출되는 것이다.
이렇게 사람들을 ‘풀어주면’ 생산 쪽이나 아직은 소프트웨어들이 할 수 없는 고차원적인 일에 신경을 더 쓸 수 있게 된다. 이는 CISO가 회사의 수익과 생산을 도울 수 있는 한 방법 중 하나다. CISO 스스로도 자동화로 처리할 수 있는 것들을 찾아내면 위협 분석이라든지 정책과의 충돌, 보안 리소스의 잘못된 사용처 발견 등 더 많은 일들을 해낼 수 있다.
3. 복잡할수록 기본이 중요하다
적국의 유능한 해커들을 한 번에 박살내거나 산업 스파이를 원천 차단할 수 있는 솔루션이란 존재하지 않는다. 임기 동안 단 한 번도 공격받지 않겠다는 것조차 허황된 꿈일 수 있는 때다. 이런 때 기본으로 돌아가 내부적으로 ‘보안 위생’을 정착시키는 것에 힘을 쏟겠다는 것이 보다 실질적이고 효율적이며 바람직하다. 파트타임 근무자부터 CEO들까지도 모두 참여하는 접근 통제, 데이터 암호화, 소프트웨어 패치 문화를 하나하나 정립시켜 나가는 것이 기업을 위협으로부터 지킬 수 있는 튼튼한 토대가 된다. 게다가 그리 어렵지 않다. 해야 할 일도 구체적이다.
현재 일어나는 해킹 사건 중 90%가 사소한 실수만 하지 않았다면 막을 수 있는 것들이라고 한다. 지난 주에 암호만 바꿨다면, 메일 클릭을 잘못하지 않았다면, 그때 그 게이트웨이 로그를 살펴봤다면 90%는 위험에서 벗어날 수 있다는 소리다. 그리고 이는 모두 ‘보안 위생’ 문화 속에서 얼마든지 해결할 수 있는 것들이다.
IT 환경이 급변하고 있다. 그 변화의 최전선에 CISO들이 있다.
글 : 암릿 윌리엄즈(Amrit Williams)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
