보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

점점 어려워지는 데이터 보안·관리, 전담인력은 얼마나 필요할까

입력 : 2024-02-18 23:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
데이터를 규정에 맞게 관리한다는 게 매일 더 어려운 업무가 되어가는 중이다. 소수의 전담 인원에게만 맡기기에도 어렵고, 그렇다고 공동의 책임이라는 식으로 접근하자니 효과가 나오질 않는다. 어떻게 해야 할까?

[보안뉴스 = 팜 베이커 IT 칼럼니스트] 규제 대상이 되는 데이터를 관리한다는 것이 점점 더 버겁고 고통스러운 일이 되어가고 있다. 해킹 공격도 늘어나고 있는데다가, 각종 사고와 실수로 인한 데이터 노출 사례도 점점 빈번해지고 있기 때문이다. 게다가 사건 한 번 발생했을 때 지불해야 하는 비용도 기하급수적으로 늘어나고 있다. 데이터 관리라는 임무 자체의 난이도도 가뜩이나 높은데, 한 번 삐끗했을 때 져야 하는 책임도 너무나 막중하다.

[이미지 = gettyimagesbank]


그래서 기업들은 데이터 보안을 모두의 책임으로 삼고 있다. 단 몇 사람의 담당자가 모든 것을 책임진다는 게 현실적으로 아무런 도움이 되지 않는다는 걸 깨달은 것이다. 하지만 모두에게 책임을 묻는다는 개념에는 중요한 결점이 하나 있다. 현실적으로 ‘모두가 책임진다’는 건 곧 ‘아무도 책임지지 않는다’는 뜻으로 전환된다는 것이다. 지금 C레벨 임원들은 이 지점을 막 깨달아가고 있으며, 한두 사람 담당자에게 책임을 지게 할 수도 없고, 그렇다고 모두가 책임을 지게 하는 것도 효과가 없으니 어떻게 해야 하는가를 고민 중에 있다.

그러는 동안 규제는 더 빡빡해지고 있고, 없던 규제도 계속해서 생겨나고 있다. 요즘 데이터 보호 관련 규제들이 어떤 특징을 가지고 있는가? 하나같이 삼엄하고 무시무시한 벌칙을 내세우고 있다. IT 업체 루브릭제로(Rubrik Zero)에 의하면 지난 한 해 절반 이상의 기업들(54%)이 데이터 침해로 인해 유형적인 피해를 입었다고 하는데, 앞으로 이 수치가 올라가면 올라갔지 내려올 가능성은 극히 낮다. 즉 그 무시무시한 규제가 남의 일로만 남아있지 않을 거라는 뜻이다.

최근 보안 업체 키퍼시큐리티(Keeper Security)가 조사한 바에 의하면 “조직들의 40%가 사이버 보안 사고를 한 번 이상 경험했다”고 하는데, “그 중 48%가 사고를 유야무야 감추고 신고하지 않았다”고 한다. 심지어 내부에서도 보고되지 않은 사이버 보안 사고가 41%나 존재하고 있었다고 키퍼시큐리티 측은 밝혔다. 내부에서조차 쉬쉬하는 상황에서 데이터를 도대체 어떻게 지켜야 하는가, C레벨들의 고민이 깊어지지 않을 수 없다.

IT 업체 블루핀(Bluefin)의 CISO인 브렌트 존슨(Brent Johnson)은 “그래서 최근 몇 년 동안 C레벨들이 보안에 대해 보다 깊은 관심을 보이고 있으며 대화에도 적극적으로 임하고 있다”고 말한다. 고민에 의한 가시적 변화가 나타나고 있다는 것이다. “특히 코로나로 인해 재택 근무가 반쯤 강제되다시피 하면서 보안에 대한 구체적이고 살 떨리는 염려가 빠르게 확산됐습니다. 물론 해결책이 나온 건 아닙니다만, 고민이라는 것이 생각 밖으로 나와 말이 되고 논의의 주제가 됐다는 것 자체로도 반가운 소식입니다.”

셰프도 있어야 하고 요리사도 있어야 하고
일단 고민의 방향 중 ‘단일 인물이나 팀에 모든 정보 보안 임무와 책임을 위임한다’는 건 대체로 피하는 상황으로 보인다. IT 업체 블랑코(Blancco)의 부회장 모리스 우에누마(Maurice Uenuma)는 “데이터 보안이라는 것이 CIO나 CISO가 전담할 수 있는 성격의 일이라고 여기는 것부터가 실수이고, 재앙의 시작”이라고 말한다. “CFO가 비용 절감과 회사 수익을 전부 책임지지 않잖아요? CMO가 회사 이미지와 브랜딩의 모든 것을 책임지지 않고요. 그것과 같은 것이죠. CIO와 CISO가 보안에 대해 전부 책임진다는 건 불가능한 일입니다.”

그렇다고 모든 사람에게 책임을 지게 하는 것도 효과 없기는 마찬가지다. “두 명 이상의 임원진들이 보안을 전담한다면 어떻게 될까요? 인원이 늘어나면 늘어날수록 발빠른 대응이 어려워집니다. 행정 소요가 늘어날 가능성이 높기도 하지요. 서로의 견해가 달라 우선순위를 정하는 부분에서 충돌이나 시간 지연도 있겠고요. 세계 최고의 골키퍼를 여러 명 보유한 팀이라고 해서 그 골키퍼들을 동시에 기용하지는 않죠. 게다가 전담 인원 몇 명 늘린다고 보안 업무가 의미 있게 쉬워지는 것도 아닙니다. 수도 없이 많은 사람을 덧붙이면 혹 쉬워질지 모르겠습니다만.” 루브릭제로의 대표 스티브 스톤(Steve Stone)의 설명이다.

어떤 게 맞는 걸까? 순수히 이론 상으로만 봤을 때는 한 사람보다 다수의 사람이 데이터를 관리하면 할수록 데이터 관리가 효과적으로 이뤄지는 게 맞다. 더 많은 사람이 지켜보니 실수나 악행이 미리 탐지될 가능성이 높기 때문이다. 다수의 사람이 데이터 관리의 책임을 공유했을 때의 문제는 한 사람 한 사람이 제각각 성심성의껏 자신의 눈을 뜨고 데이터를 지켜보도록 할 수 있느냐는 것이다. 이 문제를 해결할 수 있다면 책임자를 늘리는 게 맞는 방향이라는 게 중론으로 자리를 잡아가는 중이다.

보안 업체 태니엄(Tanium)의 CIO인 에릭 가스톤(Erik Gaston)은 “원래 대부분 조직들은 CIO나 CTO, CISO와 CRO에게 보안을 전담시켰다”고 설명한다. “이렇게 소수의 인원이 보안을 전담했을 때의 강점은 표준이나 정책 등을 정하여 전체적인 기틀을 효과적으로 정할 수 있다는 겁니다. 데이터 관리에 있어서 표준이나 정책과 같은 큰 기준을 먼저 정하는 것의 중요성은 굳이 제가 다시 설명하지 않아도 알 것입니다. 그런데 요즘은 여기에 사업을 전담하는 임원진들까지도 가세하고 있습니다. 기술을 전담했던 임원진과 사업을 전담했던 임원진이 힘을 합하지 않으면 데이터 관리의 기틀을 마련하기가 점점 힘들어지기 때문이죠. 이렇게 책임을 져야 하는 사람들이 늘어나는 상황입니다.”

이런 식으로 천천히 인원이 늘어나는 경우도 있지만 좀 더 급진적으로, 아예 새로운 직책을 마련해 데이터 관리에 참여시키는 경우도 있다. “금융권에서 데이터 보호에 좀 더 적극적인 모습을 보이는 편입니다. 일부 은행들에서는 ‘사업정보보안책임자(Business Information Security Officer, BISO)’라거나 ‘최고데이터책임자(Chief Data Officer, CDO)’와 같은 직책이 마련되고 있기도 하지요. 그래서 기업 기밀과 같은 정보나 고객 정보와 같은 것들을 전담하여 보호하도록 합니다. 기존에 CIO나 CISO가 하던 일을 나눠서 가져간 것이죠.”

...그리고 양념도 있어야 하고
현재 기업들은 위에 묘사된 것처럼 처음에는 소수의 전담 인원으로부터 시작해 슬그머니 데이터 관리에 참여할 사람들을 늘리는 식으로 이 어려운 문제를 해결하는 중이다. 하지만 우리에게 있는 수단이 관리 인원 수를 조절하는 것 뿐일까?

규정 준수 자동화 전문 기업 큐뮬로스(Qmulos)의 부회장 이고 볼로비치(Igor Volovich)는 “무슨 요리를 해야 하는지도 잘 모르는데 요리사나 셰프만 잔뜩 늘린다고 좋은 식당이 될 수 있을까?”라고 되묻는다. “물론 많은 사람이 데이터를 지켜보고 있다면 데이터가 더 안전해진다는 게 틀린 말은 아닙니다. 하지만 각자 보고 싶은 것만 보면요? 그래도 괜찮을까요? 아니죠. 모두가 합의해서 담당할 부분을 정하고, 그래서 사각지대가 하나도 없는 상태에서 눈을 부릅뜨고 데이터를 지켜봐야 하죠. 그런데 지금 기업들이 그렇게 하고 있나요? 대부분 책임자만 지정해놓고 실제 업무는 알아서 하도록 합니다. 그러니 보이지 않는 곳이 생기고, 여전히 문제가 발생하는 겁니다.”

존슨도 여기에 동의한다. “아무리 싱싱한 재료들이 많이 준비되어 있더라도 이 재료들을 그냥 씻어서 접시에 올려놓는 것으로 요리가 되지 않습니다. 하다못해 양념이라도 좀 쳐서 재료들의 맛을 묶어두어야 하지요. 데이터 관리 책임을 공유한 사람을 늘리기만 하고, 각자가 알아서 업무를 보게 놔두면 큰 성과를 내기 어렵습니다. 이들이 어우러지도록 회사가 나서서 양념도 치고, 굽기도 하고, 데치기도 하는 등 요리를 해야합니다.”

그러면서 존슨은 다음과 같이 예를 든다. “CFO가 데이터 관리를 직접 할 필요는 없습니다. 하지만 CISO는 이런 CFO들이 안전하게 돈과 관련된 업무를 처리할 수 있도록, CFO의 업무 프로세스에 딱 맞는 보안 도구와 장치들을 마련해야 합니다. 그래서 자연스럽게 보안이 지켜지고, 따라서 데이터 관리가 좀 더 수월해지도록 할 수 있습니다. CFO는 주어진 보안 도구만 잘 사용하면서 업무를 보는 것으로 데이터 관리에 참여할 수 있게 됩니다. 이렇게, 각자가 알맞은 형태로 보안에 참여할 수 있도록 하는 게 ‘양념치기’에 해당합니다.”

IT 업체 원스트림소프트웨어(OneStream Software)의 최고 클라우드 책임자인 마크 앵글(Mark Angle)은 “CMO나 CTO 등 전혀 보안과 상관 없을 것 같은 분야의 책임자들 역시 각자에 맞는 형태로 데이터 관리에 참여하도록 유도해야 한다”는 의견이다. “무조건 ‘당신도 오늘부터 데이터 보안에 책임이 있어’라고 지정하는 것이 능사가 아닙니다. 그렇게 해서 데이터 관리 책임자를 늘려봐야 효과는 미미합니다. 각자의 업무와 전문성 안에서 조금만 더 데이터에 신경 쓸 수 있도록 해야 하지요. 그런 양념치기의 노력은 CIO와 CISO가 주도적으로 해야 할 겁니다.”

글 : 팜 베이커(Pam Baker), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)