보안 표준 도입, ‘사업 성장’이라는 필요에 의해서 검토해야...ROI 고려도 중요
최근의 보안 표준들은 ‘지속성’ 강조하는 흐름 띄고 있어...일회성 상장 개념 탈피해야
[보안뉴스 문가용 기자] ISO 27001. PCI DSS. GDPR. 사업 운영하기도 힘든데, 지켜야할 보안 관련 규정과 표준들도 점점 늘어나고 있다. 게다가 이름들도 하나 같이 어렵고 외우기 힘든, 알파벳 약자들이다. 그러니 보안 표준과 관련해서는 항상 길을 잃고 헤매는 느낌이다.
[이미지 = iclickart]
그렇다면 어떤 표준을 도입하는 게 맞는 것인지, 무엇을 기준으로 판단해야 할까? 이 질문에 대한 답을 찾으려면 먼저 “보안 표준이라는 것을 도입함으로써 무엇을 성취하고 싶은가”부터 답할 수 있어야 한다. 가트너의 수석 분석가인 쿠쉬부 프라탑(Khushbu Pratap)은 “이 본질적인 질문부터 답할 수 있어야 조직에게 어울리는 표준을 찾아낼 수 있다”고 조언한다.
그러면서 “만약 표준 도입을 함으로써 얻어내고자 하는 게 무엇인가”라는 질문이 지나치게 추상적으로 느껴질 경우, 다음 두 가지 질문부터 해결하라고 권장했다.
1) 고객들이 특정 표준에 대해 자주 요구하는가?
2) 주주 등 회사 운영과 밀접한 관련이 있는 사람들이 특정 표준을 중요시 여기는가?
보안 표준을 도입해야 한다는 게 내부적으로 결정되었다면, 그리고 위에 제시한 본질적인 질문들에 대한 답이 나왔다면, 이제 다음 7가지를 고민하고 준비해야 한다. 규제가 빡빡한 산업에 있는 기업들에는 표준만을 위한 팀이 따로 존재할 정도로, 표준 마련과 유지가 쉬운 일은 아니다. 그리고 그런 팀들은 지금부터 소개될 7가지 요소를 기준으로 자신들의 일을 검토한다고 한다.
1. 해당 표준을 준수하는 것만으로 충분한가?
표준과 규정을 준수한다는 걸 우리나라에서도 ‘컴플라이언스(compliance)’라고 부른다. 표준과 규정을 준수하면 할수록 좋다는 건 너무나 당연한 것이다. 그러나 ‘우리 회사는 컴플라이언스를 중요시 한다’고 아무리 주장해봤자 그 근거가 없으면 믿어줄 사람이 없다. 고객들이나 파트너사들 조차도 컴플라이언스에 대한 증거를 요구할 때가 종종 있다. 이럴 때 증명서나 자격증이 있다면 큰 도움이 된다. 물론 자격증을 얻어내는 데에는 적지 않은 돈이 든다.
그래서 고객들이나 파트너사가 증명서나 자격증을 요구하는 건지, 아니면 표준 준수 그 자체를 요구하는 건지 구분하는 게 중요해진다. 마찬가지로 주주들이나 경영진들이 중요시하는 게 정말로 무엇인지도 파악해야 한다. 증명서를 획득하려면 적잖은 자원이 투자되어야 하니 상위 결정권자의 결제가 필요한데, 고객과 주주들의 필요와 요구를 바탕으로 한다면 설득이 어렵지 않을 것이다.
많은 경우 표준과 규정에 대한 증명서를 발급받도록 하는 게 도움이 된다. 공식 증명서 한 장으로 복잡한 감사를 대신할 수 있기도 하다. 게다가 고객의 신뢰를 획득하는 데에도 증명서 한 장의 효과가 어마어마하다. 보안 업체 쓰레트 스택(Threat Stack)의 컴플라이언스 책임자인 린지 울리안(Lindsey Ullian)은 “증명서를 발급받는 게 내부적인 성취감과 인식 제고에도 도움이 된다”고 말한다.
2. 프로젝트의 범위를 조심스럽게 결정했는가?
프라탑은 표준을 도입하기로 결정하기로 한 조직이 가장 많이 저지르는 실수로 “너무 많은 것을 한꺼번에 이루려고 한다”는 것을 꼽았다. 그러니 표준 도입 프로젝트의 범위 설정부터 명확히 하는 것이 중요하다고 그는 강조한다. “정확히 어떤 사업의 어떤 부서, 어떤 직원들을 위한 표준인지 정확하게 해둘 필요가 있습니다. 이걸 정해야 보안 전문가나 외부 컨설팅을 얼마나 받을 것인지 결정할 수 있습니다. 그러면서 비용 산출이 더 쉬워집니다.”
프라탑은 “규모를 미리 정해야 하는 가장 큰 이유는 결국 지출을 보다 용이하게 제어하기 위해서”라고 강조한다. “너무 광범위하고 추상적인 목표를 세우면 예상보다 훨씬 더 많은 돈을 쓰게 됩니다. 중간에 멈출 수도 없게 되고, 더 진행하려니 만만치 않은 비용이 나가는 상태에 교착됩니다.”
3. 이 회사에 표준이 필요한 이유는 무엇인가?
ISO 27001 표준은 전 세계적으로 인정을 받는 공인 표준이다. 이 표준을 갖춘 기업이라면, 보안 통제 시스템의 기본기를 잘 갖추고 있는 곳이라고 볼 수 있다. 하지만 지나치게 포괄적이라, 모든 항목을 다 필요로 하는 조직들은 그리 많지 않다. 프라탑은 “ISO 27001을 획득하려고 분주하게 움직이기 전에, 표준의 어떤 점이 기업에 도움이 될 것인지부터 세밀하게 파악해야 한다”고 지적한다.
“다중인증 시스템의 안전성을 위해 필요한가? 이메일 암호화 부분이 필요한가? 보안과 사업적 리스크에 대한 전반적인 이해와 공용어를 갖추기 위해 필요한가? 이런 질문들을 해가며 표준을 검토해야 합니다. 이런 답들은 회사가 어떤 산업에 소속되어 있느냐에 따라 결정될 것입니다. 예를 들어 은행과 방산업자들이라면 암호화가 중요할 것이고, 의료 산업이라면 환자와 의사의 인증 문제가 더 시급할 수 있습니다.”
4. 표준의 도입과 기업의 성장은 어떤 관계가 있는가?
기업들은 결국 ‘기업의 성장’이라는 맥락에서 표준을 검토해야 함을 잊으면 안 된다고 프라탑은 강조한다. “보안 표준을 준비하는 팀은 보통 보안 팀이죠. 그러다보니 보안의 이상적인 관점에서 표준을 마련하고자 하는 경우가 있습니다. 그런데 그렇게 할 경우 상위 결정권자들과 소통이 되질 않습니다. 표준을 마련해 사업을 잘 키워보자고 한 것인데, 오히려 표준 때문에 내부에서 충돌이 일어납니다. 사업의 성장을 돕지 못한다면 보안의 고귀한 가치라는 것도 소용이 없게 된다는 걸 이해해야 합니다.”
그러면서 그는 PCI DSS를 예로 들었다. “신용카드와 지불카드 처리를 위한 표준인 PCI DSS를 도입함으로써 지불 방식 확장을 통한 사업의 성장을 함께 꾀하는 식으로 접근해야 한다는 겁니다. 그냥 ‘금융 활동이 있으면 무조건 PCI DSS도 도입해야 한다’고 주장해봐야 설득력도 없고 효과도 미비하거든요. GDPR도 마찬가지입니다. 유럽으로 사업을 확장하는 단계에서 검토해야 할 규정입니다. 중앙아시아로 진출하면서 GDPR을 검토할 필요는 없어요.”
5. 표준을 도입하는 데 드는 비용은 얼마인가?
프라탑은 “평가에 드는 기본 비용은 최소 5만 달러”라고 말한다. “임직원의 교육과 훈련, 외부 컨설턴트와의 상담, 침투 테스트 등을 전부 뺀 비용입니다. 이런 비용들은 준비를 해가면서 그때그때 파악해 투자해야 하는 거라 기업마다 천차만별입니다. 즉 5만 달러 ‘플러스 알파’를 준비해야 한다는 겁니다.”
한편 쓰레트 스택의 울리안은 금액 자체는 언급하지 않지만 “표준 마련 역시 사업적 투자인 것은 분명하고, 그럼로 ROI를 고려하는 게 마땅하다”고 말한다. 그러면서 “GDPR이나 PCI와 같은 표준의 경우, 컴플라이언스를 갖추지 못했을 때 내야 하는 벌금이 투자 비용보다 훨씬 클 수 있으니, 그 두 표준과 관련이 있는 사업체라면 오히려 마음 편하게 투자를 해도 괜찮다”고 설명을 덧붙였다.
울리안은 “기업은 윤리적인 선 안에서 이윤 활동을 벌이는 조직임을 보안 담당자들이 잊는 경우가 많다”며 “이상적인 보안 철학을, 기업의 이득과 손실이라는 개념에 근거하지 않은 채 주장하는 건 공허한 짓”이라고 덧붙였다. “표준을 준비하는 것 역시 그러한 개념에서 출발해야 합니다. 커다란 비용을 보안 담당자가 운용하지 못하기 때문에 더더욱 그러합니다.”
6. 훈련과 준비라는 측면에 대하여
프라탑은 “특정 표준을 새로 도입하려면, 책임자와 담당자를 적어도 두 명 뽑아서 관련 지식을 갖추게 하고 교육 과정을 밟도록 해야 한다”고 강조한다. 그러면서 “표준을 준비하면서 외부 컨설턴트를 선택할 때, 훈련과 교육 서비스를 함께 제공하는 곳을 고르면 나중에 도움이 될 수 있다”고 제안했다.
“도입할 표준을 정했다면, 그 표준에서 요구하는 필요 사항들이 뭔지 조사하는 게 당연하겠죠. 이를 충족시켜가면서 내부적으로 자체 감사를 할 능력을 함께 갖춰가는 게 효율적입니다. 즉 외부 전문가가 하라는 것만 기계적으로 할 게 아니라, 그것들을 내부의 자체 능력으로 녹여내라는 것입니다. 이는 표준 이후의 보안 기능 강화와 감사 준비에도 큰 도움이 됩니다.”
7. 표준 이후의 ‘유지 보수 프로그램’은 준비하고 있는가?
보안 인증 감사는 대게 1년에 한 번 진행된다고 프라탑은 설명한다. “그렇기 때문에 한 번 인증서를 따놓고는 잊고 사는 게 대부분입니다. 그러나 최근 들어 보안 분야의 인증서들은 ‘일회성’이 아니라 ‘지속성’을 강조하는 방식으로 변하고 있습니다. 표준을 도입하려는 기업들 역시 이 점을 기억해야 합니다. 한 번 따고 벽에 상장 걸어놓듯 하는 게 아니라, 계속해서 인증서를 획득할 자격을 유지하는 게 핵심이라는 것을 말이죠.”
그렇기 때문에 ‘컴플라이언스 팀’을 갖추는 조직들이 늘어나고 있다는 게 울리안의 설명이다. “표준 획득을 위한 임시 태스크포스 팀이 아니라, 계속해서 유지되는 팀으로서 컴플라이언스 담당자들이 요구되고 있습니다. 표준 인증서를 ‘획득’한다는 표현도 이제 어색한 것이 되어가고 있습니다. 조만간 ‘우리 회사는 ISO 27001을 유지하고 있습니다’라는 홍보 문구를 사용해야 할 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
최근의 보안 표준들은 ‘지속성’ 강조하는 흐름 띄고 있어...일회성 상장 개념 탈피해야
[보안뉴스 문가용 기자] ISO 27001. PCI DSS. GDPR. 사업 운영하기도 힘든데, 지켜야할 보안 관련 규정과 표준들도 점점 늘어나고 있다. 게다가 이름들도 하나 같이 어렵고 외우기 힘든, 알파벳 약자들이다. 그러니 보안 표준과 관련해서는 항상 길을 잃고 헤매는 느낌이다.
[이미지 = iclickart]
그렇다면 어떤 표준을 도입하는 게 맞는 것인지, 무엇을 기준으로 판단해야 할까? 이 질문에 대한 답을 찾으려면 먼저 “보안 표준이라는 것을 도입함으로써 무엇을 성취하고 싶은가”부터 답할 수 있어야 한다. 가트너의 수석 분석가인 쿠쉬부 프라탑(Khushbu Pratap)은 “이 본질적인 질문부터 답할 수 있어야 조직에게 어울리는 표준을 찾아낼 수 있다”고 조언한다.
그러면서 “만약 표준 도입을 함으로써 얻어내고자 하는 게 무엇인가”라는 질문이 지나치게 추상적으로 느껴질 경우, 다음 두 가지 질문부터 해결하라고 권장했다.
1) 고객들이 특정 표준에 대해 자주 요구하는가?
2) 주주 등 회사 운영과 밀접한 관련이 있는 사람들이 특정 표준을 중요시 여기는가?
보안 표준을 도입해야 한다는 게 내부적으로 결정되었다면, 그리고 위에 제시한 본질적인 질문들에 대한 답이 나왔다면, 이제 다음 7가지를 고민하고 준비해야 한다. 규제가 빡빡한 산업에 있는 기업들에는 표준만을 위한 팀이 따로 존재할 정도로, 표준 마련과 유지가 쉬운 일은 아니다. 그리고 그런 팀들은 지금부터 소개될 7가지 요소를 기준으로 자신들의 일을 검토한다고 한다.
1. 해당 표준을 준수하는 것만으로 충분한가?
표준과 규정을 준수한다는 걸 우리나라에서도 ‘컴플라이언스(compliance)’라고 부른다. 표준과 규정을 준수하면 할수록 좋다는 건 너무나 당연한 것이다. 그러나 ‘우리 회사는 컴플라이언스를 중요시 한다’고 아무리 주장해봤자 그 근거가 없으면 믿어줄 사람이 없다. 고객들이나 파트너사들 조차도 컴플라이언스에 대한 증거를 요구할 때가 종종 있다. 이럴 때 증명서나 자격증이 있다면 큰 도움이 된다. 물론 자격증을 얻어내는 데에는 적지 않은 돈이 든다.
그래서 고객들이나 파트너사가 증명서나 자격증을 요구하는 건지, 아니면 표준 준수 그 자체를 요구하는 건지 구분하는 게 중요해진다. 마찬가지로 주주들이나 경영진들이 중요시하는 게 정말로 무엇인지도 파악해야 한다. 증명서를 획득하려면 적잖은 자원이 투자되어야 하니 상위 결정권자의 결제가 필요한데, 고객과 주주들의 필요와 요구를 바탕으로 한다면 설득이 어렵지 않을 것이다.
많은 경우 표준과 규정에 대한 증명서를 발급받도록 하는 게 도움이 된다. 공식 증명서 한 장으로 복잡한 감사를 대신할 수 있기도 하다. 게다가 고객의 신뢰를 획득하는 데에도 증명서 한 장의 효과가 어마어마하다. 보안 업체 쓰레트 스택(Threat Stack)의 컴플라이언스 책임자인 린지 울리안(Lindsey Ullian)은 “증명서를 발급받는 게 내부적인 성취감과 인식 제고에도 도움이 된다”고 말한다.
2. 프로젝트의 범위를 조심스럽게 결정했는가?
프라탑은 표준을 도입하기로 결정하기로 한 조직이 가장 많이 저지르는 실수로 “너무 많은 것을 한꺼번에 이루려고 한다”는 것을 꼽았다. 그러니 표준 도입 프로젝트의 범위 설정부터 명확히 하는 것이 중요하다고 그는 강조한다. “정확히 어떤 사업의 어떤 부서, 어떤 직원들을 위한 표준인지 정확하게 해둘 필요가 있습니다. 이걸 정해야 보안 전문가나 외부 컨설팅을 얼마나 받을 것인지 결정할 수 있습니다. 그러면서 비용 산출이 더 쉬워집니다.”
프라탑은 “규모를 미리 정해야 하는 가장 큰 이유는 결국 지출을 보다 용이하게 제어하기 위해서”라고 강조한다. “너무 광범위하고 추상적인 목표를 세우면 예상보다 훨씬 더 많은 돈을 쓰게 됩니다. 중간에 멈출 수도 없게 되고, 더 진행하려니 만만치 않은 비용이 나가는 상태에 교착됩니다.”
3. 이 회사에 표준이 필요한 이유는 무엇인가?
ISO 27001 표준은 전 세계적으로 인정을 받는 공인 표준이다. 이 표준을 갖춘 기업이라면, 보안 통제 시스템의 기본기를 잘 갖추고 있는 곳이라고 볼 수 있다. 하지만 지나치게 포괄적이라, 모든 항목을 다 필요로 하는 조직들은 그리 많지 않다. 프라탑은 “ISO 27001을 획득하려고 분주하게 움직이기 전에, 표준의 어떤 점이 기업에 도움이 될 것인지부터 세밀하게 파악해야 한다”고 지적한다.
“다중인증 시스템의 안전성을 위해 필요한가? 이메일 암호화 부분이 필요한가? 보안과 사업적 리스크에 대한 전반적인 이해와 공용어를 갖추기 위해 필요한가? 이런 질문들을 해가며 표준을 검토해야 합니다. 이런 답들은 회사가 어떤 산업에 소속되어 있느냐에 따라 결정될 것입니다. 예를 들어 은행과 방산업자들이라면 암호화가 중요할 것이고, 의료 산업이라면 환자와 의사의 인증 문제가 더 시급할 수 있습니다.”
4. 표준의 도입과 기업의 성장은 어떤 관계가 있는가?
기업들은 결국 ‘기업의 성장’이라는 맥락에서 표준을 검토해야 함을 잊으면 안 된다고 프라탑은 강조한다. “보안 표준을 준비하는 팀은 보통 보안 팀이죠. 그러다보니 보안의 이상적인 관점에서 표준을 마련하고자 하는 경우가 있습니다. 그런데 그렇게 할 경우 상위 결정권자들과 소통이 되질 않습니다. 표준을 마련해 사업을 잘 키워보자고 한 것인데, 오히려 표준 때문에 내부에서 충돌이 일어납니다. 사업의 성장을 돕지 못한다면 보안의 고귀한 가치라는 것도 소용이 없게 된다는 걸 이해해야 합니다.”
그러면서 그는 PCI DSS를 예로 들었다. “신용카드와 지불카드 처리를 위한 표준인 PCI DSS를 도입함으로써 지불 방식 확장을 통한 사업의 성장을 함께 꾀하는 식으로 접근해야 한다는 겁니다. 그냥 ‘금융 활동이 있으면 무조건 PCI DSS도 도입해야 한다’고 주장해봐야 설득력도 없고 효과도 미비하거든요. GDPR도 마찬가지입니다. 유럽으로 사업을 확장하는 단계에서 검토해야 할 규정입니다. 중앙아시아로 진출하면서 GDPR을 검토할 필요는 없어요.”
5. 표준을 도입하는 데 드는 비용은 얼마인가?
프라탑은 “평가에 드는 기본 비용은 최소 5만 달러”라고 말한다. “임직원의 교육과 훈련, 외부 컨설턴트와의 상담, 침투 테스트 등을 전부 뺀 비용입니다. 이런 비용들은 준비를 해가면서 그때그때 파악해 투자해야 하는 거라 기업마다 천차만별입니다. 즉 5만 달러 ‘플러스 알파’를 준비해야 한다는 겁니다.”
한편 쓰레트 스택의 울리안은 금액 자체는 언급하지 않지만 “표준 마련 역시 사업적 투자인 것은 분명하고, 그럼로 ROI를 고려하는 게 마땅하다”고 말한다. 그러면서 “GDPR이나 PCI와 같은 표준의 경우, 컴플라이언스를 갖추지 못했을 때 내야 하는 벌금이 투자 비용보다 훨씬 클 수 있으니, 그 두 표준과 관련이 있는 사업체라면 오히려 마음 편하게 투자를 해도 괜찮다”고 설명을 덧붙였다.
울리안은 “기업은 윤리적인 선 안에서 이윤 활동을 벌이는 조직임을 보안 담당자들이 잊는 경우가 많다”며 “이상적인 보안 철학을, 기업의 이득과 손실이라는 개념에 근거하지 않은 채 주장하는 건 공허한 짓”이라고 덧붙였다. “표준을 준비하는 것 역시 그러한 개념에서 출발해야 합니다. 커다란 비용을 보안 담당자가 운용하지 못하기 때문에 더더욱 그러합니다.”
6. 훈련과 준비라는 측면에 대하여
프라탑은 “특정 표준을 새로 도입하려면, 책임자와 담당자를 적어도 두 명 뽑아서 관련 지식을 갖추게 하고 교육 과정을 밟도록 해야 한다”고 강조한다. 그러면서 “표준을 준비하면서 외부 컨설턴트를 선택할 때, 훈련과 교육 서비스를 함께 제공하는 곳을 고르면 나중에 도움이 될 수 있다”고 제안했다.
“도입할 표준을 정했다면, 그 표준에서 요구하는 필요 사항들이 뭔지 조사하는 게 당연하겠죠. 이를 충족시켜가면서 내부적으로 자체 감사를 할 능력을 함께 갖춰가는 게 효율적입니다. 즉 외부 전문가가 하라는 것만 기계적으로 할 게 아니라, 그것들을 내부의 자체 능력으로 녹여내라는 것입니다. 이는 표준 이후의 보안 기능 강화와 감사 준비에도 큰 도움이 됩니다.”
7. 표준 이후의 ‘유지 보수 프로그램’은 준비하고 있는가?
보안 인증 감사는 대게 1년에 한 번 진행된다고 프라탑은 설명한다. “그렇기 때문에 한 번 인증서를 따놓고는 잊고 사는 게 대부분입니다. 그러나 최근 들어 보안 분야의 인증서들은 ‘일회성’이 아니라 ‘지속성’을 강조하는 방식으로 변하고 있습니다. 표준을 도입하려는 기업들 역시 이 점을 기억해야 합니다. 한 번 따고 벽에 상장 걸어놓듯 하는 게 아니라, 계속해서 인증서를 획득할 자격을 유지하는 게 핵심이라는 것을 말이죠.”
그렇기 때문에 ‘컴플라이언스 팀’을 갖추는 조직들이 늘어나고 있다는 게 울리안의 설명이다. “표준 획득을 위한 임시 태스크포스 팀이 아니라, 계속해서 유지되는 팀으로서 컴플라이언스 담당자들이 요구되고 있습니다. 표준 인증서를 ‘획득’한다는 표현도 이제 어색한 것이 되어가고 있습니다. 조만간 ‘우리 회사는 ISO 27001을 유지하고 있습니다’라는 홍보 문구를 사용해야 할 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
