Home > 전체기사
IT 보안, 여기 잠들다. 아니, 잠들어라
  |  입력 : 2018-11-19 11:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
IT도 한 개 기능일뿐인데...마케팅 보안, 인사 보안, 법무 보안은 왜 없나?
IT와 보안은 추구하는 바가 완전히 달라...보안 하는 IT는 ‘자기모순적’


[보안뉴스 문가용 기자] 정보 보안이 중요하다는 건 누구나 알고 인정하는 사실이다. 그러므로 현재 정보 보안이 어떤 취급을 받건 앞으로도 질기게 남아있긴 할 것이다. 그런데 말이다, 이제 이 정보 보안을 보내줄 때가 됐다. 정확히 말해서는 정보 보안의 동의어 정도로 인식되고 있는 ‘IT 보안’이라는 것에 종말을 고할 때가 왔다. 사실 ‘IT 보안’이라는 건 처음부터 말이 되지 않았다.

[이미지 = iclickart]


소비자의 신뢰와 명성을 중요하게 생각하는 조직이라면 당연히 정보 보안을 필수불가결의 요소로 여긴다. 하지만 ‘IT 보안’이라는 말은 혼동을 일으킨다. 특히 ‘보안의 진정한 역할’이라는 면에서 IT 보안은 적합하지 않은 용어다. 보안의 책임이 어디서부터 어디까지인지 확실치 않게 만들뿐 아니라 서로 다른 조직과 부서에서의 우선순위 문제를 더 복잡하게 만든다. 게다가 ‘정보 보안’이라는 말을 사용했을 때의 우선순위와, ‘IT 보안’이라는 말을 사용했을 때의 우선순위는 상당히 달라지기도 한다.

그렇다면 이 ‘IT 보안’의 문제를 정리해보자. 가장 큰 건 IT 기술에서의 문제 혹은 IT 기술로서 해결해야 하는 문제로 인식된다는 것이다. 그러므로 관리 행정적 측면에서의 보안과 물리적인 면의 보안은 소홀히 여겨지게 된다. 보안이 IT 담당자 혹은 책임이라고만 느껴지는 것도 여기에 기인한다. 다른 부서들에도 많은 데이터가 저장되는데, 이를 간과하게 된다. ‘마케팅 보안’이나 ‘인사부 보안’이라는 말이 없듯이 IT 보안이라는 말도 사라져야 한다.

IT 보안이 실패할 때
보안 전문가가 회사에 처음 들어와 IT 부서나 그와 관련이 깊은 곳으로 배치된다면, 보안을 IT라는 영역에서만 볼 수 있게 된다. 정보 보안의 보다 전통적인 의미인 ‘통합적이고 전 조직적인’ 시각과는 점점 멀어진다. IT 부서가 가장 중요하게 여기는 것은 기술의 적용 가능성, 기능, 효율 등이다. 정보 보안은 기밀성, 무결성, 가용성이다. 겹치는 게 아주 없다고 할 순 없지만 어떤 부분에 있어서는 상충되기도 한다.

상충이라는 말도 순화된 것이다. IT가 추구하는 목표는 보안이 반드시 해결해야 하는 위험요소이며, 반대로 보안이 추구하는 목표는 IT가 넘어야 할 산일 때가 많다. 예를 들어 네트워크 스캐닝을 해야 한다면 어떻게 될까? IT 부서의 두통이 시작된다. 스케줄을 잡는 부분에서도 그렇지만, 이상한 장비가 실제로 발견되기라도 한다면 할 일이 추가로 생기는 것이고, 스캔 후 보안을 위주로 시스템을 재정립하고 나면 분명히 사용자들 편에서 불만이 제기될 것이기 때문이다. 취약점 스캐닝을 열렬하게 환영하는 IT 부서는 없다.

반대의 경우도 마찬가지다. IT에서 사용자들의 업무 효율을 높이기 위해 새로운 기능이나 컴퓨터, 소프트웨어 등을 도입한다고 하면, 보안 담당자들의 두통이 시작된다. 뭐가 하나 새롭게 편입된다는 건 위험 요소가 늘어난다는 것이다. 그래서 IT 담당자와 보안 담당자는 서로가 서로를 견제해 조직 전체의 균형을 맞추는 역할을 해야 한다. 한쪽이 다른 한쪽에 종속되어서는 이상적인 조직이 구성되지 않는다.

CIO는 CISO가 아니다
필자는 CIO들이 각 조직에서 담당하고 있는 역할을 크게 존중한다. 또한 그들이 얼마나 많은 업무적 압박에 시달리고 있는지도 잘 이해하고 있다. 하지만 그들이 보안까지 담당한다는 건 반대한다. CIO들을 무시하는 건 아니지만 보안 전문가들과 IT 전문가들의 전문 분야와 능력은 다르다. 사고방식도 다르고, 기술과 현상에 접근하는 방향성도 다르다. 교육 과정도 달랐고, 그러니 직무 이름도 다른 것이다.

사람은 자기가 잘 아는 부분에 대해서 편파적인 태도를 어느 정도 갖기 마련이다. 보안이 IT에 종속되어 있다면, 그래서 IT를 잘 아는 사람이 보안까지도 맡아야 하는 상황이라면, 보안의 중요한 부분들을 간과할 때가 없을 수가 없다. 치명적인 상황에서 보안이 우선순위를 차지 못할 때가 생길 수 있다는 것이다. 또 하나 기억해야 할 건, 물론 다 그런 건 아니지만, 보안을 ‘사후 조치’로 충분히 해결할 수 있다는 생각이 IT 분야엔 팽배하다는 점이다. 그런 배경을 가진 사람이 보안을 지휘하면 어떻게 되겠는가?

IT가 하는 정보 보안
물론 모든 조직이 정보 보안 전문 부서를 따로 둘 수 없다는 건 사실이다. 1인 기업은 고사하고, 50명~100명이 되는 조직이라도(이래도 여전히 소기업에 속한다) 보안 부서를 따로 두기엔 부담스럽다. 보안 전문가의 몸값이 낮은 것도 아니고 말이다. 이런 경우 보안이 IT 부서로 넘어가는 게 보통이다. 그러나 그 순간 IT 부서는 진취적인 사업을 조심스럽고 까탈스럽게 진행해야 하는 ‘자기모순적’ 조직이 되어버린다.

그렇다면 상황이야 어쨌든 모든 조직이 ‘반드시’ 보안 부서를 따로 운영해야 하는 걸까? 그렇지는 않다. IT 부서보다 나은 곳을 찾기만 하면 된다. 위험 관리를 담당하는 부서나 감사와 관련이 있는 하위 조직이 적어도 IT부서보다는 훨씬 보안에 잘 어울린다. 왜냐하면 현대 보안의 상당 부분은 “제어 조건의 확인과 승인”에 할애된다. 즉 실제 사업 운영의 필요로부터 어느 정도 독립되어야 할 필요가 있다는 뜻이다.

정보 보안에도 존중을
회사 내에서도 특히 중요시 되는 부서들이 있다. 회계, 마케팅, IT 등이 대표적이다. 이러한 부서들은 너무 중요해서 C급 운영진들이 따로 마련되어 있다(CFO, CMO, CIO). 사업 운영 상 충돌하는 부분이 있다면 이 높은 임원진들끼리 만나 협상한다. 보안은 그 분야의 성격상 충둘을 일으킬 수밖에 없는데, 그럴 때 다른 C급 임원들과 만나 이야기를 동등한 위치에서 진행할 사람이 없다. 늘 보안은 뒤로 밀린다. CISO가 다른 C레벨들과 같은 권한을 가져야 하는 이유다.

IT 보안이라는 말부터 시작해서 근본적인 문제를 해결해야 할 때다. 잘 생각해보라. IT 보안이라는 말처럼 우스꽝스럽고 이해하기 힘든 말도 없다. 귀찮은 보안을 해야 하는 IT 담당자의 입장에서도 그렇고, 사고뭉치 같은 IT를 밑에서부터 모셔야 하는 보안 담당자의 입장에서도 그렇다.

글 : 케빈 쿠르자와(Kevin Kurzawa)

3줄 요약
1. ‘IT 보안’이라는 말, 사실 모순이 많은 표현.
2. IT는 진취적으로 사업 개발...보안은 조심스럽게 모든 움직임 확인.
3. 보안 부서 독립시키기 힘들다면, 감사나 위험 관리 담당하는 부서로 편입시켜야 함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제