보안을 담당하는 팀과 프라이버시를 담당하는 팀의 미묘한 차이
분리 강조하면 효율성 떨어지고, 합하면 기능성 떨어져
[보안뉴스 문가용 기자] 보안 팀과 프라이버시 팀은 둘 다 중요한 임무를 맡고 있다. 두 팀의 전문 영역이 다르긴 하지만 조직을 위협하는 각종 위험요소들을 이해하고 적발하는 일을 한다는 것은 동일하다. 조직이 생성하거나 보유한 데이터의 기밀, 온전성, 가용성 등을 책임지는 것이 보안 팀의 일이라면, 정보 자체에 보호막을 씌워서 그 정보가 어디로 흘러가고 어디에 저장되고 누구에 의해 접속되는지 관리하는 건 프라이버시 팀의 일이라고 볼 수 있다. 둘의 차이는 매우 미묘하지만 분명하고, 또 중요하다.
원문에서 글쓴이는 Security Team과 Privacy Team을 언급해 그대로 번역해 실었다. 하지만 해외에서 보안 팀이 경영 리스크를 관리하는 팀으로 자리 잡아가고 있고, 조직 내 부서 운영이라는 맥락에서 말하는 프라이버시는 데이터 프라이버시를 말하는 게 많다는 걸 고려했을 때, Security Team은 리스크 관리팀, Privacy Team은 컴플라이언스팀으로 이해해도 무방할 것으로 보인다_역주
.jpg)
먼저, 보안 팀은 프라이버시 팀보다 훨씬 더 사업 운영 부분과 가깝게 일한다. 즉 기업을 경영하는 데에서 발생하는 각종 리스크를 관리하는 것이 보안 팀의 일이라는 것이다. 정보가 유출되는 일이 벌어졌을 때, 정보 한 건 당 발생하는 비용이나 벌금을 알아보는 것도 보안 팀의 일이다. 그에 반해 프라이버시 팀은 정책이나 사규 등과 밀접한 관계에 있다. 수사 과정을 돕고 책임자를 찾아내는 등의 일을 한다. 또한 조직의 컴플라이언스 문제도 프라이버시 팀이 조사한다.
이 두 기능은 독립적으로 발동해야 하며, 그렇기에 많은 조직들에서 두 팀을 따로 따로 만들어 운영한다. 혹은 담당자를 별도로 두기도 한다. 이론적으로는 전혀 문제가 없는 접근법이다. 하지만 위에서 말했다시피 두 팀 간의 차이는 매우 미묘하다. 심지어 현장에서는 많이 겹치는 것이 일상다반사다. 일반 직원들을 대상으로 한 보안 교육 문제가 대표적이다. 그래서 둘을 운영하는 데에 있어 ‘분리’에만 치중할 수가 없게 된다.
보안과 프라이버시가 상호 독립적으로 운영되는 구조일 때, 둘은 당연히 다른 목표를 지향하게 된다. 이 때문에 문제가 발생하기도 하는데, 대표적인 것 몇 가지는 다음과 같다.
1. 비슷하거나 겹치는 일을 해야 할 때도 많은데, 두 기능이 완전히 분리되면 효율이 떨어진다.
2. 각 영역에서 이뤄지는 활동들과 그로 인해 생기는 정보들을 공유할 때 발생하는 시너지를 기대하거나, 공유하지 않으면 보이지 않는 맥락들을 파악하기가 어렵게 된다.
3. 의견을 취합하는 데에 있어서 목소리가 더 크거나 언변이 능하거나 직급이 더 높은 사람이 있는 곳이 유리한 고지를 선점하고, 따라서 실제 문제 해결과는 다른 방향으로 상황이 전개될 수 있다.
4. 둘의 목표가 다르므로 통합적인 제어나 관리가 힘들게 된다. 중심이 되는 뭔가가 없으면, 같은 사안이라도 보는 시각이 다르고 해석이 달라져서 올바른 해결책이 나올 가능성이 낮아진다. 이는 특히 조직 내 보안 구멍을 발견하는 데에 치명적으로 작용한다.
어쩌면 둘의 철저한 분리로 인해 위 네 가지 중 한 가지 현상만 일어나도 다행이라고 말할 수 있을 것이다. 보통은 위 네 가지를 한꺼번에 겪게 된다. 보안과 프라이버시의 기능은 분명히 다르긴 하지만, 겹치는 곳도 상당부분 존재한다. 그렇기 때문에 이 공통점을 찾아 효율을 극대화시키는 노력도 중요하다. 즉, 겹치는 부분은 겹치는 대로, 분리시켜야 할 부분은 분리시켜서 운영하는 노하우가 갈수록 중요해지고 있다는 뜻.
그렇다면 어떻게 해야 할까? 간단히는, 둘을 합치는 것도 한 방법이 될 수 있다. 직원 수가 적은 회사나 조직이라면 생각해봄직한 방법이다. 그러나 규모가 큰 조직이 취할만한 방법이라고 보기에는 어렵다. 또한 프라이버시 전문가 혹은 보안 전문가라는 경력을 온전히 걸어가고 싶은 사람에게는 이러한 조치가 퇴사의 이유까지 될 수 있다.
이것이 무리라면, 회사의 자원을 공유하도록 하고 목표도 함께 맞춰나가도록 조정해줘야 한다. 자원을 공유한다는 건, 직원, 툴, 보고 체계, 관리 기술 등을 나눠서 사용하거나 순환직 개념으로 활용한다는 것이다. 공유되는 자원이 많아지면 많아질수록 보안 팀과 프라이버시 팀의 업무는 높은 효율을 띈 채 진행될 수 있다. 이 중 팀원을 일정 기간 동안 바꾸는 것의 효과가 좋은 것으로 알려져 있다. 보안 팀원을 6개월이나 1년 동안 프라이버시 팀으로 보냄으로써, 두 분야를 한꺼번에 바라보는 넓은 시야를 기를 수 있다. 반대의 경우도 마찬가지다.
이때 중요한 건 말단의 팀원만 바꾸는 게 아니라 팀장급도 바꿔서 근무시킬 수 있어야 한다. 당장 일처리가 급하다고 해서 팀장을 계속 그대로 두면 팀내 변화가 좀처럼 일어나지 않는다. 마찬가지로 사무적인 일을 처리해야 한다고 팀장급만 바꾸고 팀원들을 계속 그대로 두면, 실무자들이 혼란스러워진다. 그러므로 이러한 순환 근무는 전 직급별로 실시해야 한다.
보안과 프라이버시 팀을 합치든 분리하든, 정답은 없다. 각각의 기능이 존재하지만, 둘이 합쳐져야만 하는 부분도 존재하기 때문이다. 공유와 분리의 적절한 균형을 맞춰나가면서 가장 적절한 지점을 찾아나가야 할 것이다. 정보보안과 관련된 조직 내 팀들의 상생 관계가 끊임없이 변하고 있다는 걸 염두에 두자.
글 : 마크 윌리엄즈(Mark Williams)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
분리 강조하면 효율성 떨어지고, 합하면 기능성 떨어져
[보안뉴스 문가용 기자] 보안 팀과 프라이버시 팀은 둘 다 중요한 임무를 맡고 있다. 두 팀의 전문 영역이 다르긴 하지만 조직을 위협하는 각종 위험요소들을 이해하고 적발하는 일을 한다는 것은 동일하다. 조직이 생성하거나 보유한 데이터의 기밀, 온전성, 가용성 등을 책임지는 것이 보안 팀의 일이라면, 정보 자체에 보호막을 씌워서 그 정보가 어디로 흘러가고 어디에 저장되고 누구에 의해 접속되는지 관리하는 건 프라이버시 팀의 일이라고 볼 수 있다. 둘의 차이는 매우 미묘하지만 분명하고, 또 중요하다.
원문에서 글쓴이는 Security Team과 Privacy Team을 언급해 그대로 번역해 실었다. 하지만 해외에서 보안 팀이 경영 리스크를 관리하는 팀으로 자리 잡아가고 있고, 조직 내 부서 운영이라는 맥락에서 말하는 프라이버시는 데이터 프라이버시를 말하는 게 많다는 걸 고려했을 때, Security Team은 리스크 관리팀, Privacy Team은 컴플라이언스팀으로 이해해도 무방할 것으로 보인다_역주
먼저, 보안 팀은 프라이버시 팀보다 훨씬 더 사업 운영 부분과 가깝게 일한다. 즉 기업을 경영하는 데에서 발생하는 각종 리스크를 관리하는 것이 보안 팀의 일이라는 것이다. 정보가 유출되는 일이 벌어졌을 때, 정보 한 건 당 발생하는 비용이나 벌금을 알아보는 것도 보안 팀의 일이다. 그에 반해 프라이버시 팀은 정책이나 사규 등과 밀접한 관계에 있다. 수사 과정을 돕고 책임자를 찾아내는 등의 일을 한다. 또한 조직의 컴플라이언스 문제도 프라이버시 팀이 조사한다.
이 두 기능은 독립적으로 발동해야 하며, 그렇기에 많은 조직들에서 두 팀을 따로 따로 만들어 운영한다. 혹은 담당자를 별도로 두기도 한다. 이론적으로는 전혀 문제가 없는 접근법이다. 하지만 위에서 말했다시피 두 팀 간의 차이는 매우 미묘하다. 심지어 현장에서는 많이 겹치는 것이 일상다반사다. 일반 직원들을 대상으로 한 보안 교육 문제가 대표적이다. 그래서 둘을 운영하는 데에 있어 ‘분리’에만 치중할 수가 없게 된다.
보안과 프라이버시가 상호 독립적으로 운영되는 구조일 때, 둘은 당연히 다른 목표를 지향하게 된다. 이 때문에 문제가 발생하기도 하는데, 대표적인 것 몇 가지는 다음과 같다.
1. 비슷하거나 겹치는 일을 해야 할 때도 많은데, 두 기능이 완전히 분리되면 효율이 떨어진다.
2. 각 영역에서 이뤄지는 활동들과 그로 인해 생기는 정보들을 공유할 때 발생하는 시너지를 기대하거나, 공유하지 않으면 보이지 않는 맥락들을 파악하기가 어렵게 된다.
3. 의견을 취합하는 데에 있어서 목소리가 더 크거나 언변이 능하거나 직급이 더 높은 사람이 있는 곳이 유리한 고지를 선점하고, 따라서 실제 문제 해결과는 다른 방향으로 상황이 전개될 수 있다.
4. 둘의 목표가 다르므로 통합적인 제어나 관리가 힘들게 된다. 중심이 되는 뭔가가 없으면, 같은 사안이라도 보는 시각이 다르고 해석이 달라져서 올바른 해결책이 나올 가능성이 낮아진다. 이는 특히 조직 내 보안 구멍을 발견하는 데에 치명적으로 작용한다.
어쩌면 둘의 철저한 분리로 인해 위 네 가지 중 한 가지 현상만 일어나도 다행이라고 말할 수 있을 것이다. 보통은 위 네 가지를 한꺼번에 겪게 된다. 보안과 프라이버시의 기능은 분명히 다르긴 하지만, 겹치는 곳도 상당부분 존재한다. 그렇기 때문에 이 공통점을 찾아 효율을 극대화시키는 노력도 중요하다. 즉, 겹치는 부분은 겹치는 대로, 분리시켜야 할 부분은 분리시켜서 운영하는 노하우가 갈수록 중요해지고 있다는 뜻.
그렇다면 어떻게 해야 할까? 간단히는, 둘을 합치는 것도 한 방법이 될 수 있다. 직원 수가 적은 회사나 조직이라면 생각해봄직한 방법이다. 그러나 규모가 큰 조직이 취할만한 방법이라고 보기에는 어렵다. 또한 프라이버시 전문가 혹은 보안 전문가라는 경력을 온전히 걸어가고 싶은 사람에게는 이러한 조치가 퇴사의 이유까지 될 수 있다.
이것이 무리라면, 회사의 자원을 공유하도록 하고 목표도 함께 맞춰나가도록 조정해줘야 한다. 자원을 공유한다는 건, 직원, 툴, 보고 체계, 관리 기술 등을 나눠서 사용하거나 순환직 개념으로 활용한다는 것이다. 공유되는 자원이 많아지면 많아질수록 보안 팀과 프라이버시 팀의 업무는 높은 효율을 띈 채 진행될 수 있다. 이 중 팀원을 일정 기간 동안 바꾸는 것의 효과가 좋은 것으로 알려져 있다. 보안 팀원을 6개월이나 1년 동안 프라이버시 팀으로 보냄으로써, 두 분야를 한꺼번에 바라보는 넓은 시야를 기를 수 있다. 반대의 경우도 마찬가지다.
이때 중요한 건 말단의 팀원만 바꾸는 게 아니라 팀장급도 바꿔서 근무시킬 수 있어야 한다. 당장 일처리가 급하다고 해서 팀장을 계속 그대로 두면 팀내 변화가 좀처럼 일어나지 않는다. 마찬가지로 사무적인 일을 처리해야 한다고 팀장급만 바꾸고 팀원들을 계속 그대로 두면, 실무자들이 혼란스러워진다. 그러므로 이러한 순환 근무는 전 직급별로 실시해야 한다.
보안과 프라이버시 팀을 합치든 분리하든, 정답은 없다. 각각의 기능이 존재하지만, 둘이 합쳐져야만 하는 부분도 존재하기 때문이다. 공유와 분리의 적절한 균형을 맞춰나가면서 가장 적절한 지점을 찾아나가야 할 것이다. 정보보안과 관련된 조직 내 팀들의 상생 관계가 끊임없이 변하고 있다는 걸 염두에 두자.
글 : 마크 윌리엄즈(Mark Williams)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
