.jpg)
.gif)
현재 상태를 파악하고, 쉬운 말을 쓰고, 사업을 이해해야
보안이 왜 중요한가 설득할 필요 없다는 것만으로도 큰 발전
.jpg)
▲ 나만 따라와!
[보안뉴스 문가용 기자] 2017년 3월초, 서드파티의 보안 문제를 해결하는 데에 도움을 주기위해 새로운 플랫폼이 출범했다. 이름은 사이버GRX(CyberGRX). 사이버GRX의 포부는 대단했다. 사실상 엑셀표와 같은 문서에서 수기로 점검되는 ‘서드파티 보안 실태’ 문제를 깔끔하게 해결해주겠다는 것이었다. 이 플랫폼만 있으면 보안 팀이 좀 더 생산적인 일에 효율적으로 집중할 수 있을 것이라고도 했다.
이러한 플랫폼이 등장했다는 건 사이버 ‘보안’이 사업 성장이라는 문제에 있어 중추적인 역할을 한다는 것을 뜻한다. 이런 상황에서 사업체 간의 협의를 진행할 때나 서로 간 지켜야 할 보안 정책과 전략을 수립할 때 보안 책임자가 앞장서야 한다. 사업을 이뤄감에 있어 보안 담당자들의 목소리가 점점 더 크게 개입할 거라는 뜻이다.
그리고 이는 실제 여러 사업의 현장에서 이미 발생하고 있다. 사이버 공격의 증가와 피해 업체들이 속출하면서 보안 전문가들을 더 이상 묵살할 수 없게 되었다. 보안 문제는 누구나의 문제가 되었고, 이제는 보안이 왜 중요한지 근본부터 설명해야 하는 경우도 거의 다 사라졌다. 그리고 점점 사업 진행 방향을 결정하는 데에 있어 중요한 참고인으로 부상하고 있다.
우리 주위의 흐름이 이렇게 변해간다면, 우리도 변해야 한다. ‘나쁜 놈을 막아라’의 역할에서 ‘사업 전체를 안내하라’로 말이다. 이는 사고방식 자체의 전환을 뜻하는 것이며, 사실 오래 전부터 진행돼온 것이기도 하다. 다만 그 변화가 최근 들어 본격적으로 가시화되는 것이다. 그런 김에 그 ‘안내자’의 마음이 가져다주는 구체적인 변화들에 대해 정리해보자.
1. 현재 보안 상태를 정확히 알고 있다
현재 보안 전문가들의 말에 사람들은 귀를 기울인다. 처음부터 그랬던 건 아니다. 어떤 과정 속에 C 레벨 임원들의 마음이 움직여, 보안 담당자의 의견을 접수하게 되었을까? 여기에는 세 가지 트렌드가 관련되어 있다.
- 사이버 사고의 속도와 부피가 커졌다. 2016년에는 42억 개의 기록이 전 세계적으로 4,149개 사건을 통해 유출되었다. 이는 점점 더 커지는 추세다.
- 사업에 미치는 영향력이 훨씬 커졌다. 이제 업체가 겪는 해킹 사고는 경영 자체에서 말하는 사업적 리스크 수준에서 논의된다. 그도 그럴 것이 소비자의 신용과, 업체의 이미지 등이 훼손되기 때문이다.
- 책무성이 더 커졌다. 무슨 말이냐면, 사업을 벌여감에 있어 함께하는 공급사, 배포사, 고객, 경쟁사, 정부 기관 등도 사이버 보안에 더 민감하게 변했다는 뜻이다. 정책은 더 엄격해지고, 보고 체계 역시 탄탄하게 구성되고 있다. GDPR이 내년에 발효되기 시작하면, 이는 더 ‘실제적인’ 현실로 다가올 것이다.
2. 누구나 알아들을 수 있는 말을 사용한다
위에서 거듭 말했지만, 이제 그들은 보안이 중요하다고 인정해주기에 이르렀다. 그렇다면 보안 쪽에서도 그들의 말을 해주어야 할 때다. 그리고 안내자에게 ‘쉬운 말’은 필수덕목이다. 그저 단어만 쉽고 부드럽게 선택하라는 게 아니다. 보안 담당자는 ‘사업하는 주체’도 이해하고, ‘공격자’도 이해할 수 있는 유일한 사람이다. 서로 다를 수밖에 없는 그 두 가지 입장을 풀어주어야 한다는 것이다.
그렇다면 경영진들은 어떻게 해야 보안을 잘 이해할까? 그들은 어떤 언어를 사용하나? 성과 지표가 최고다. 보안 사고가 성과에 어떤 영향을 미치는지 시각적으로 나타내면 그들은 높은 이해도를 보인다. 사업 전략회 하듯, 보안 전략의 계획과 비전, 목표 등을 사업 방향의 관점에서 도식화해 표현해보라. ‘대화가 된다’는 걸 느낄 수 있을 것이다.
대화를 깊숙하게 이끌려면, 다음의 수단이 필요하다.
- 유출사고가 사업에 미치는 영향의 ‘수치화’ : 사고 수습에 드는 비용 혹은 유출된 기록 건당 지출 규모를 액수로 표현하는 건 대단히 좋은 방법이다. 더 나아가 이런 비용이 매출에 어떤 ‘마이너스’ 효과를 미치는지 역시 충격적인 금액으로 나타내야 한다. 또한 ‘유출사고’라는 것에 직원, 기술 등의 내부적인 요인과 정책, 산업 트렌드 등의 외부적인 요인이 어느 정도나 차지하는지, 생산 시간으로 따지면 몇 시간을 손해 보는 것인지를 보여주는 것도 효과적이다.
- 분명히 수치화할 수 없는 가치도 있다. 고객 신뢰도나 브랜드 이미지 같은 것들이다. 이걸 운영진이 이해하면 좋은데, 그렇지 않은 경우, ‘액수’나 ‘시간’으로 단위 환산 할 수 있어야 한다. 탄탄한 보안이 파트너사에게 얼마나 큰 신뢰를 주는지, 그 신뢰로서 얼마나 사업이 원활해지는지 논리적으로 연결해 설명하는 것도 도움이 된다.
3. 경영자 그 자체가 되어야 한다
2번을 잘 하기 위해서는 보안 담당자가 정말로 사업의 모든 프로세스를 처음부터 끝까지 숙지하고 있어야 한다. 누가 뭘 설계하고, 그것이 어떤 과정을 거쳐 공정에 이르게 되고, 상품은 어떤 경로로 배달되며, 고객 지원은 어떤 방식으로 이루어지는지 알아야 한다는 것이다. 새로운 걸 학습하려면 질문들을 잘 던져야 하는데, 예를 들자면 다음과 같다.
- 우리 회사의 주 수입원은 무엇인가? 수익구조는 무엇이며, 단골 고객을 대상으로 하는가 아니면 새로운 고객을 유치하는가?
- 우리 파트너사나 정보 기관 등은 어떤 정보를 주로 다루는가? 우리가 주로 사용하는 기술은 어떤 것인가? 파트너스들과 어떤 기술들을 주고받는가?
- 우리 회사의 지적재산은 무엇이며, 이 지적재산은 어떤 과정을 통해 ‘사업화’ 되는가?
글 : 롤란드 클루티어(Roland Cloutier)
[국제부 문가용 기자(globoan@boannews.com)]
보안이 왜 중요한가 설득할 필요 없다는 것만으로도 큰 발전
▲ 나만 따라와!
[보안뉴스 문가용 기자] 2017년 3월초, 서드파티의 보안 문제를 해결하는 데에 도움을 주기위해 새로운 플랫폼이 출범했다. 이름은 사이버GRX(CyberGRX). 사이버GRX의 포부는 대단했다. 사실상 엑셀표와 같은 문서에서 수기로 점검되는 ‘서드파티 보안 실태’ 문제를 깔끔하게 해결해주겠다는 것이었다. 이 플랫폼만 있으면 보안 팀이 좀 더 생산적인 일에 효율적으로 집중할 수 있을 것이라고도 했다.
이러한 플랫폼이 등장했다는 건 사이버 ‘보안’이 사업 성장이라는 문제에 있어 중추적인 역할을 한다는 것을 뜻한다. 이런 상황에서 사업체 간의 협의를 진행할 때나 서로 간 지켜야 할 보안 정책과 전략을 수립할 때 보안 책임자가 앞장서야 한다. 사업을 이뤄감에 있어 보안 담당자들의 목소리가 점점 더 크게 개입할 거라는 뜻이다.
그리고 이는 실제 여러 사업의 현장에서 이미 발생하고 있다. 사이버 공격의 증가와 피해 업체들이 속출하면서 보안 전문가들을 더 이상 묵살할 수 없게 되었다. 보안 문제는 누구나의 문제가 되었고, 이제는 보안이 왜 중요한지 근본부터 설명해야 하는 경우도 거의 다 사라졌다. 그리고 점점 사업 진행 방향을 결정하는 데에 있어 중요한 참고인으로 부상하고 있다.
우리 주위의 흐름이 이렇게 변해간다면, 우리도 변해야 한다. ‘나쁜 놈을 막아라’의 역할에서 ‘사업 전체를 안내하라’로 말이다. 이는 사고방식 자체의 전환을 뜻하는 것이며, 사실 오래 전부터 진행돼온 것이기도 하다. 다만 그 변화가 최근 들어 본격적으로 가시화되는 것이다. 그런 김에 그 ‘안내자’의 마음이 가져다주는 구체적인 변화들에 대해 정리해보자.
1. 현재 보안 상태를 정확히 알고 있다
현재 보안 전문가들의 말에 사람들은 귀를 기울인다. 처음부터 그랬던 건 아니다. 어떤 과정 속에 C 레벨 임원들의 마음이 움직여, 보안 담당자의 의견을 접수하게 되었을까? 여기에는 세 가지 트렌드가 관련되어 있다.
- 사이버 사고의 속도와 부피가 커졌다. 2016년에는 42억 개의 기록이 전 세계적으로 4,149개 사건을 통해 유출되었다. 이는 점점 더 커지는 추세다.
- 사업에 미치는 영향력이 훨씬 커졌다. 이제 업체가 겪는 해킹 사고는 경영 자체에서 말하는 사업적 리스크 수준에서 논의된다. 그도 그럴 것이 소비자의 신용과, 업체의 이미지 등이 훼손되기 때문이다.
- 책무성이 더 커졌다. 무슨 말이냐면, 사업을 벌여감에 있어 함께하는 공급사, 배포사, 고객, 경쟁사, 정부 기관 등도 사이버 보안에 더 민감하게 변했다는 뜻이다. 정책은 더 엄격해지고, 보고 체계 역시 탄탄하게 구성되고 있다. GDPR이 내년에 발효되기 시작하면, 이는 더 ‘실제적인’ 현실로 다가올 것이다.
2. 누구나 알아들을 수 있는 말을 사용한다
위에서 거듭 말했지만, 이제 그들은 보안이 중요하다고 인정해주기에 이르렀다. 그렇다면 보안 쪽에서도 그들의 말을 해주어야 할 때다. 그리고 안내자에게 ‘쉬운 말’은 필수덕목이다. 그저 단어만 쉽고 부드럽게 선택하라는 게 아니다. 보안 담당자는 ‘사업하는 주체’도 이해하고, ‘공격자’도 이해할 수 있는 유일한 사람이다. 서로 다를 수밖에 없는 그 두 가지 입장을 풀어주어야 한다는 것이다.
그렇다면 경영진들은 어떻게 해야 보안을 잘 이해할까? 그들은 어떤 언어를 사용하나? 성과 지표가 최고다. 보안 사고가 성과에 어떤 영향을 미치는지 시각적으로 나타내면 그들은 높은 이해도를 보인다. 사업 전략회 하듯, 보안 전략의 계획과 비전, 목표 등을 사업 방향의 관점에서 도식화해 표현해보라. ‘대화가 된다’는 걸 느낄 수 있을 것이다.
대화를 깊숙하게 이끌려면, 다음의 수단이 필요하다.
- 유출사고가 사업에 미치는 영향의 ‘수치화’ : 사고 수습에 드는 비용 혹은 유출된 기록 건당 지출 규모를 액수로 표현하는 건 대단히 좋은 방법이다. 더 나아가 이런 비용이 매출에 어떤 ‘마이너스’ 효과를 미치는지 역시 충격적인 금액으로 나타내야 한다. 또한 ‘유출사고’라는 것에 직원, 기술 등의 내부적인 요인과 정책, 산업 트렌드 등의 외부적인 요인이 어느 정도나 차지하는지, 생산 시간으로 따지면 몇 시간을 손해 보는 것인지를 보여주는 것도 효과적이다.
- 분명히 수치화할 수 없는 가치도 있다. 고객 신뢰도나 브랜드 이미지 같은 것들이다. 이걸 운영진이 이해하면 좋은데, 그렇지 않은 경우, ‘액수’나 ‘시간’으로 단위 환산 할 수 있어야 한다. 탄탄한 보안이 파트너사에게 얼마나 큰 신뢰를 주는지, 그 신뢰로서 얼마나 사업이 원활해지는지 논리적으로 연결해 설명하는 것도 도움이 된다.
3. 경영자 그 자체가 되어야 한다
2번을 잘 하기 위해서는 보안 담당자가 정말로 사업의 모든 프로세스를 처음부터 끝까지 숙지하고 있어야 한다. 누가 뭘 설계하고, 그것이 어떤 과정을 거쳐 공정에 이르게 되고, 상품은 어떤 경로로 배달되며, 고객 지원은 어떤 방식으로 이루어지는지 알아야 한다는 것이다. 새로운 걸 학습하려면 질문들을 잘 던져야 하는데, 예를 들자면 다음과 같다.
- 우리 회사의 주 수입원은 무엇인가? 수익구조는 무엇이며, 단골 고객을 대상으로 하는가 아니면 새로운 고객을 유치하는가?
- 우리 파트너사나 정보 기관 등은 어떤 정보를 주로 다루는가? 우리가 주로 사용하는 기술은 어떤 것인가? 파트너스들과 어떤 기술들을 주고받는가?
- 우리 회사의 지적재산은 무엇이며, 이 지적재산은 어떤 과정을 통해 ‘사업화’ 되는가?
글 : 롤란드 클루티어(Roland Cloutier)
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)