IT도 한 개 기능일뿐인데...마케팅 보안, 인사 보안, 법무 보안은 왜 없나?
IT와 보안은 추구하는 바가 완전히 달라...보안 하는 IT는 ‘자기모순적’
[보안뉴스 문가용 기자] 정보 보안이 중요하다는 건 누구나 알고 인정하는 사실이다. 그러므로 현재 정보 보안이 어떤 취급을 받건 앞으로도 질기게 남아있긴 할 것이다. 그런데 말이다, 이제 이 정보 보안을 보내줄 때가 됐다. 정확히 말해서는 정보 보안의 동의어 정도로 인식되고 있는 ‘IT 보안’이라는 것에 종말을 고할 때가 왔다. 사실 ‘IT 보안’이라는 건 처음부터 말이 되지 않았다.
[이미지 = iclickart]
소비자의 신뢰와 명성을 중요하게 생각하는 조직이라면 당연히 정보 보안을 필수불가결의 요소로 여긴다. 하지만 ‘IT 보안’이라는 말은 혼동을 일으킨다. 특히 ‘보안의 진정한 역할’이라는 면에서 IT 보안은 적합하지 않은 용어다. 보안의 책임이 어디서부터 어디까지인지 확실치 않게 만들뿐 아니라 서로 다른 조직과 부서에서의 우선순위 문제를 더 복잡하게 만든다. 게다가 ‘정보 보안’이라는 말을 사용했을 때의 우선순위와, ‘IT 보안’이라는 말을 사용했을 때의 우선순위는 상당히 달라지기도 한다.
그렇다면 이 ‘IT 보안’의 문제를 정리해보자. 가장 큰 건 IT 기술에서의 문제 혹은 IT 기술로서 해결해야 하는 문제로 인식된다는 것이다. 그러므로 관리 행정적 측면에서의 보안과 물리적인 면의 보안은 소홀히 여겨지게 된다. 보안이 IT 담당자 혹은 책임이라고만 느껴지는 것도 여기에 기인한다. 다른 부서들에도 많은 데이터가 저장되는데, 이를 간과하게 된다. ‘마케팅 보안’이나 ‘인사부 보안’이라는 말이 없듯이 IT 보안이라는 말도 사라져야 한다.
IT 보안이 실패할 때
보안 전문가가 회사에 처음 들어와 IT 부서나 그와 관련이 깊은 곳으로 배치된다면, 보안을 IT라는 영역에서만 볼 수 있게 된다. 정보 보안의 보다 전통적인 의미인 ‘통합적이고 전 조직적인’ 시각과는 점점 멀어진다. IT 부서가 가장 중요하게 여기는 것은 기술의 적용 가능성, 기능, 효율 등이다. 정보 보안은 기밀성, 무결성, 가용성이다. 겹치는 게 아주 없다고 할 순 없지만 어떤 부분에 있어서는 상충되기도 한다.
상충이라는 말도 순화된 것이다. IT가 추구하는 목표는 보안이 반드시 해결해야 하는 위험요소이며, 반대로 보안이 추구하는 목표는 IT가 넘어야 할 산일 때가 많다. 예를 들어 네트워크 스캐닝을 해야 한다면 어떻게 될까? IT 부서의 두통이 시작된다. 스케줄을 잡는 부분에서도 그렇지만, 이상한 장비가 실제로 발견되기라도 한다면 할 일이 추가로 생기는 것이고, 스캔 후 보안을 위주로 시스템을 재정립하고 나면 분명히 사용자들 편에서 불만이 제기될 것이기 때문이다. 취약점 스캐닝을 열렬하게 환영하는 IT 부서는 없다.
반대의 경우도 마찬가지다. IT에서 사용자들의 업무 효율을 높이기 위해 새로운 기능이나 컴퓨터, 소프트웨어 등을 도입한다고 하면, 보안 담당자들의 두통이 시작된다. 뭐가 하나 새롭게 편입된다는 건 위험 요소가 늘어난다는 것이다. 그래서 IT 담당자와 보안 담당자는 서로가 서로를 견제해 조직 전체의 균형을 맞추는 역할을 해야 한다. 한쪽이 다른 한쪽에 종속되어서는 이상적인 조직이 구성되지 않는다.
CIO는 CISO가 아니다
필자는 CIO들이 각 조직에서 담당하고 있는 역할을 크게 존중한다. 또한 그들이 얼마나 많은 업무적 압박에 시달리고 있는지도 잘 이해하고 있다. 하지만 그들이 보안까지 담당한다는 건 반대한다. CIO들을 무시하는 건 아니지만 보안 전문가들과 IT 전문가들의 전문 분야와 능력은 다르다. 사고방식도 다르고, 기술과 현상에 접근하는 방향성도 다르다. 교육 과정도 달랐고, 그러니 직무 이름도 다른 것이다.
사람은 자기가 잘 아는 부분에 대해서 편파적인 태도를 어느 정도 갖기 마련이다. 보안이 IT에 종속되어 있다면, 그래서 IT를 잘 아는 사람이 보안까지도 맡아야 하는 상황이라면, 보안의 중요한 부분들을 간과할 때가 없을 수가 없다. 치명적인 상황에서 보안이 우선순위를 차지 못할 때가 생길 수 있다는 것이다. 또 하나 기억해야 할 건, 물론 다 그런 건 아니지만, 보안을 ‘사후 조치’로 충분히 해결할 수 있다는 생각이 IT 분야엔 팽배하다는 점이다. 그런 배경을 가진 사람이 보안을 지휘하면 어떻게 되겠는가?
IT가 하는 정보 보안
물론 모든 조직이 정보 보안 전문 부서를 따로 둘 수 없다는 건 사실이다. 1인 기업은 고사하고, 50명~100명이 되는 조직이라도(이래도 여전히 소기업에 속한다) 보안 부서를 따로 두기엔 부담스럽다. 보안 전문가의 몸값이 낮은 것도 아니고 말이다. 이런 경우 보안이 IT 부서로 넘어가는 게 보통이다. 그러나 그 순간 IT 부서는 진취적인 사업을 조심스럽고 까탈스럽게 진행해야 하는 ‘자기모순적’ 조직이 되어버린다.
그렇다면 상황이야 어쨌든 모든 조직이 ‘반드시’ 보안 부서를 따로 운영해야 하는 걸까? 그렇지는 않다. IT 부서보다 나은 곳을 찾기만 하면 된다. 위험 관리를 담당하는 부서나 감사와 관련이 있는 하위 조직이 적어도 IT부서보다는 훨씬 보안에 잘 어울린다. 왜냐하면 현대 보안의 상당 부분은 “제어 조건의 확인과 승인”에 할애된다. 즉 실제 사업 운영의 필요로부터 어느 정도 독립되어야 할 필요가 있다는 뜻이다.
정보 보안에도 존중을
회사 내에서도 특히 중요시 되는 부서들이 있다. 회계, 마케팅, IT 등이 대표적이다. 이러한 부서들은 너무 중요해서 C급 운영진들이 따로 마련되어 있다(CFO, CMO, CIO). 사업 운영 상 충돌하는 부분이 있다면 이 높은 임원진들끼리 만나 협상한다. 보안은 그 분야의 성격상 충둘을 일으킬 수밖에 없는데, 그럴 때 다른 C급 임원들과 만나 이야기를 동등한 위치에서 진행할 사람이 없다. 늘 보안은 뒤로 밀린다. CISO가 다른 C레벨들과 같은 권한을 가져야 하는 이유다.
IT 보안이라는 말부터 시작해서 근본적인 문제를 해결해야 할 때다. 잘 생각해보라. IT 보안이라는 말처럼 우스꽝스럽고 이해하기 힘든 말도 없다. 귀찮은 보안을 해야 하는 IT 담당자의 입장에서도 그렇고, 사고뭉치 같은 IT를 밑에서부터 모셔야 하는 보안 담당자의 입장에서도 그렇다.
글 : 케빈 쿠르자와(Kevin Kurzawa)
3줄 요약
1. ‘IT 보안’이라는 말, 사실 모순이 많은 표현.
2. IT는 진취적으로 사업 개발...보안은 조심스럽게 모든 움직임 확인.
3. 보안 부서 독립시키기 힘들다면, 감사나 위험 관리 담당하는 부서로 편입시켜야 함.
[국제부 문가용 기자(globoan@boannews.com)]
IT와 보안은 추구하는 바가 완전히 달라...보안 하는 IT는 ‘자기모순적’
[보안뉴스 문가용 기자] 정보 보안이 중요하다는 건 누구나 알고 인정하는 사실이다. 그러므로 현재 정보 보안이 어떤 취급을 받건 앞으로도 질기게 남아있긴 할 것이다. 그런데 말이다, 이제 이 정보 보안을 보내줄 때가 됐다. 정확히 말해서는 정보 보안의 동의어 정도로 인식되고 있는 ‘IT 보안’이라는 것에 종말을 고할 때가 왔다. 사실 ‘IT 보안’이라는 건 처음부터 말이 되지 않았다.
[이미지 = iclickart]
소비자의 신뢰와 명성을 중요하게 생각하는 조직이라면 당연히 정보 보안을 필수불가결의 요소로 여긴다. 하지만 ‘IT 보안’이라는 말은 혼동을 일으킨다. 특히 ‘보안의 진정한 역할’이라는 면에서 IT 보안은 적합하지 않은 용어다. 보안의 책임이 어디서부터 어디까지인지 확실치 않게 만들뿐 아니라 서로 다른 조직과 부서에서의 우선순위 문제를 더 복잡하게 만든다. 게다가 ‘정보 보안’이라는 말을 사용했을 때의 우선순위와, ‘IT 보안’이라는 말을 사용했을 때의 우선순위는 상당히 달라지기도 한다.
그렇다면 이 ‘IT 보안’의 문제를 정리해보자. 가장 큰 건 IT 기술에서의 문제 혹은 IT 기술로서 해결해야 하는 문제로 인식된다는 것이다. 그러므로 관리 행정적 측면에서의 보안과 물리적인 면의 보안은 소홀히 여겨지게 된다. 보안이 IT 담당자 혹은 책임이라고만 느껴지는 것도 여기에 기인한다. 다른 부서들에도 많은 데이터가 저장되는데, 이를 간과하게 된다. ‘마케팅 보안’이나 ‘인사부 보안’이라는 말이 없듯이 IT 보안이라는 말도 사라져야 한다.
IT 보안이 실패할 때
보안 전문가가 회사에 처음 들어와 IT 부서나 그와 관련이 깊은 곳으로 배치된다면, 보안을 IT라는 영역에서만 볼 수 있게 된다. 정보 보안의 보다 전통적인 의미인 ‘통합적이고 전 조직적인’ 시각과는 점점 멀어진다. IT 부서가 가장 중요하게 여기는 것은 기술의 적용 가능성, 기능, 효율 등이다. 정보 보안은 기밀성, 무결성, 가용성이다. 겹치는 게 아주 없다고 할 순 없지만 어떤 부분에 있어서는 상충되기도 한다.
상충이라는 말도 순화된 것이다. IT가 추구하는 목표는 보안이 반드시 해결해야 하는 위험요소이며, 반대로 보안이 추구하는 목표는 IT가 넘어야 할 산일 때가 많다. 예를 들어 네트워크 스캐닝을 해야 한다면 어떻게 될까? IT 부서의 두통이 시작된다. 스케줄을 잡는 부분에서도 그렇지만, 이상한 장비가 실제로 발견되기라도 한다면 할 일이 추가로 생기는 것이고, 스캔 후 보안을 위주로 시스템을 재정립하고 나면 분명히 사용자들 편에서 불만이 제기될 것이기 때문이다. 취약점 스캐닝을 열렬하게 환영하는 IT 부서는 없다.
반대의 경우도 마찬가지다. IT에서 사용자들의 업무 효율을 높이기 위해 새로운 기능이나 컴퓨터, 소프트웨어 등을 도입한다고 하면, 보안 담당자들의 두통이 시작된다. 뭐가 하나 새롭게 편입된다는 건 위험 요소가 늘어난다는 것이다. 그래서 IT 담당자와 보안 담당자는 서로가 서로를 견제해 조직 전체의 균형을 맞추는 역할을 해야 한다. 한쪽이 다른 한쪽에 종속되어서는 이상적인 조직이 구성되지 않는다.
CIO는 CISO가 아니다
필자는 CIO들이 각 조직에서 담당하고 있는 역할을 크게 존중한다. 또한 그들이 얼마나 많은 업무적 압박에 시달리고 있는지도 잘 이해하고 있다. 하지만 그들이 보안까지 담당한다는 건 반대한다. CIO들을 무시하는 건 아니지만 보안 전문가들과 IT 전문가들의 전문 분야와 능력은 다르다. 사고방식도 다르고, 기술과 현상에 접근하는 방향성도 다르다. 교육 과정도 달랐고, 그러니 직무 이름도 다른 것이다.
사람은 자기가 잘 아는 부분에 대해서 편파적인 태도를 어느 정도 갖기 마련이다. 보안이 IT에 종속되어 있다면, 그래서 IT를 잘 아는 사람이 보안까지도 맡아야 하는 상황이라면, 보안의 중요한 부분들을 간과할 때가 없을 수가 없다. 치명적인 상황에서 보안이 우선순위를 차지 못할 때가 생길 수 있다는 것이다. 또 하나 기억해야 할 건, 물론 다 그런 건 아니지만, 보안을 ‘사후 조치’로 충분히 해결할 수 있다는 생각이 IT 분야엔 팽배하다는 점이다. 그런 배경을 가진 사람이 보안을 지휘하면 어떻게 되겠는가?
IT가 하는 정보 보안
물론 모든 조직이 정보 보안 전문 부서를 따로 둘 수 없다는 건 사실이다. 1인 기업은 고사하고, 50명~100명이 되는 조직이라도(이래도 여전히 소기업에 속한다) 보안 부서를 따로 두기엔 부담스럽다. 보안 전문가의 몸값이 낮은 것도 아니고 말이다. 이런 경우 보안이 IT 부서로 넘어가는 게 보통이다. 그러나 그 순간 IT 부서는 진취적인 사업을 조심스럽고 까탈스럽게 진행해야 하는 ‘자기모순적’ 조직이 되어버린다.
그렇다면 상황이야 어쨌든 모든 조직이 ‘반드시’ 보안 부서를 따로 운영해야 하는 걸까? 그렇지는 않다. IT 부서보다 나은 곳을 찾기만 하면 된다. 위험 관리를 담당하는 부서나 감사와 관련이 있는 하위 조직이 적어도 IT부서보다는 훨씬 보안에 잘 어울린다. 왜냐하면 현대 보안의 상당 부분은 “제어 조건의 확인과 승인”에 할애된다. 즉 실제 사업 운영의 필요로부터 어느 정도 독립되어야 할 필요가 있다는 뜻이다.
정보 보안에도 존중을
회사 내에서도 특히 중요시 되는 부서들이 있다. 회계, 마케팅, IT 등이 대표적이다. 이러한 부서들은 너무 중요해서 C급 운영진들이 따로 마련되어 있다(CFO, CMO, CIO). 사업 운영 상 충돌하는 부분이 있다면 이 높은 임원진들끼리 만나 협상한다. 보안은 그 분야의 성격상 충둘을 일으킬 수밖에 없는데, 그럴 때 다른 C급 임원들과 만나 이야기를 동등한 위치에서 진행할 사람이 없다. 늘 보안은 뒤로 밀린다. CISO가 다른 C레벨들과 같은 권한을 가져야 하는 이유다.
IT 보안이라는 말부터 시작해서 근본적인 문제를 해결해야 할 때다. 잘 생각해보라. IT 보안이라는 말처럼 우스꽝스럽고 이해하기 힘든 말도 없다. 귀찮은 보안을 해야 하는 IT 담당자의 입장에서도 그렇고, 사고뭉치 같은 IT를 밑에서부터 모셔야 하는 보안 담당자의 입장에서도 그렇다.
글 : 케빈 쿠르자와(Kevin Kurzawa)
3줄 요약
1. ‘IT 보안’이라는 말, 사실 모순이 많은 표현.
2. IT는 진취적으로 사업 개발...보안은 조심스럽게 모든 움직임 확인.
3. 보안 부서 독립시키기 힘들다면, 감사나 위험 관리 담당하는 부서로 편입시켜야 함.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)