보안에 관심만 높지 손은 쓰지 못하는 중진들에게

IAA와 ISACA 최근 발표한 보고서 통해 중진들에게 도전

4겹 보안 체제의 마지막 관문 역할을 바로 중진이 맡아야

[보안뉴스 문가용] 회사 중진들치고 보안에 관심 없는 사람 없다. 사이버 보안 문제는 이들의 뒤통수를 늘 간질이며, 마음 한 켠을 답답하게 만든다. 그러나 그렇다고 해서 회사 중진들이 자신의 컴퓨터 앞에 앉아서 방화벽 설정을 따로 하고 침입 감지 시스템을 꼼꼼히 점검하지는 않는다. 이들에게 있어 보안 문제란, 우리 보안 직원이 일을 제대로 했을까와 비슷한 궁금증에 그치는 것이 현실이다.

▲ 고기는 삼겹살, 보안은 3겹, 아니 4겹!

그렇기 때문에 진심으로 보안에 신경을 쓰는지 아닌지 알아보려면 보안을 담당하는 직원에게 어떤 질문을 하는가를 봐야 한다. 최근 ISACA와 IIA에서 중진들의 역할에 대한 조사를 실시해 보고서를 발표했는데 여기에 응한 실제 현장의 중진들 중 활동적으로 사이버 보안에 개입한다는 이들은 14%에 그쳤다. 사이버 보안이 심각한 문제라고 대답한 비율이 65%인 것을 감안했을 때 그 괴리는 자못 크다. 보고서는 이 괴리를 “중진들도 보안 문제에 개입하고는 싶어 하지만 어떻게 해야 할지 모르는 단계”라고 해석했다.

IIA는 예전부터 사이버 보안의 3겹줄 이론을 주장해왔다. 기초적인 장비나 프로그램이 1차 저지선이라면 CISO를 비롯한 보안 분야 책임자가 회사 보안의 총체적인 거버넌스를 정비하는 것이 두 번째 꺼풀이 되고, 전문가의 내부 감사 및 확인 작업을 통해 꼼꼼하게 뒷문까지 걸어 잠그라는 내용이었다. 하지만 이번 보고서를 통해 IIA와 ISACA는 이제 3겹도 모자라니 4겹 보안이 필요하고, 이 네 번째 관문을 바로 중진들이 맡아야 한다고 주장했다.

그러면서 중진들에게 다음과 같은 질문으로 먼저 시작해보기를 권했다.

1. 회사에 보안 프레임워크가 존재하는가?

신용카드 산업의 PCI-DSS, 의료계통의 HIPAA, COBIT 등이 좋은 예다. 이런 회사 외부 표준이 회사 업무 환경에 적용되는지를 먼저 알아본다.

2. 회사 입장에서 가장 큰 사이버 보안 리스크는 무엇인가?

회사는 모바일 기기나 BYOD 트렌드, 클라우드 사용과 같은 현재의 ‘대세’에 대해 어떤 식으로 대책을 마련하고 있는지 알아본다.

3. 사이버 보안에 대한 직원 개개인의 인식 상태는 어떠한가?

직원들에게 보안 교육을 실시하고 있는지, 있다면 그 수준은 어떠한지도 중진이 관여할 수 있는 문제다.

4. 외부로부터 오는 위협과 내부로부터 발생하는 위협 모두를 고려해서 사이버 보안 프로그램 및 활동을 정비하고 있는가?

언론에 보도되는 내용은 대부분 ‘외부로부터 들어온 공격’에 관한 것이다. 하지만 여러 통계 자료를 봐도 그렇고, 내부 보안사고 역시 더하면 더했지 간과할 수 없는 수준이다.

5. 보안에 대한 하드웨어나 프로그램 외에 더 큰 틀의 규정이나 정책이 존재하는가?

보안 프로그램을 구매해서 깔고 사용법을 알려주는 것도 중요하지만 그것을 왜 하는지, 회사 차원에서 어떤 큰 그림 안에 그런 돈을 투자했는지도 직원들이 이해해야 할 필요가 있다.

6. 연속되는 유출사고 가운데 대응 방책을 우리 회사는 마련하고 있나?

신문에서 나는 일들이 우리 회사의 일이었다면 어떻게 대처해야 하는지 고민이 필요하다.

한편 이번 보고서는 “사이버보안 : 중진들이 물어야 할 질문”이란 이름으로 발표되었으며 여기에서 무료로 배포 중이다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)