Home > 전체기사
[주말판] 보안 표준을 도입하기 전에 기억해야 할 것 7
  |  입력 : 2019-10-12 11:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 표준 도입, ‘사업 성장’이라는 필요에 의해서 검토해야...ROI 고려도 중요
최근의 보안 표준들은 ‘지속성’ 강조하는 흐름 띄고 있어...일회성 상장 개념 탈피해야


[보안뉴스 문가용 기자] ISO 27001. PCI DSS. GDPR. 사업 운영하기도 힘든데, 지켜야할 보안 관련 규정과 표준들도 점점 늘어나고 있다. 게다가 이름들도 하나 같이 어렵고 외우기 힘든, 알파벳 약자들이다. 그러니 보안 표준과 관련해서는 항상 길을 잃고 헤매는 느낌이다.

[이미지 = iclickart]


그렇다면 어떤 표준을 도입하는 게 맞는 것인지, 무엇을 기준으로 판단해야 할까? 이 질문에 대한 답을 찾으려면 먼저 “보안 표준이라는 것을 도입함으로써 무엇을 성취하고 싶은가”부터 답할 수 있어야 한다. 가트너의 수석 분석가인 쿠쉬부 프라탑(Khushbu Pratap)은 “이 본질적인 질문부터 답할 수 있어야 조직에게 어울리는 표준을 찾아낼 수 있다”고 조언한다.

그러면서 “만약 표준 도입을 함으로써 얻어내고자 하는 게 무엇인가”라는 질문이 지나치게 추상적으로 느껴질 경우, 다음 두 가지 질문부터 해결하라고 권장했다.
1) 고객들이 특정 표준에 대해 자주 요구하는가?
2) 주주 등 회사 운영과 밀접한 관련이 있는 사람들이 특정 표준을 중요시 여기는가?

보안 표준을 도입해야 한다는 게 내부적으로 결정되었다면, 그리고 위에 제시한 본질적인 질문들에 대한 답이 나왔다면, 이제 다음 7가지를 고민하고 준비해야 한다. 규제가 빡빡한 산업에 있는 기업들에는 표준만을 위한 팀이 따로 존재할 정도로, 표준 마련과 유지가 쉬운 일은 아니다. 그리고 그런 팀들은 지금부터 소개될 7가지 요소를 기준으로 자신들의 일을 검토한다고 한다.

1. 해당 표준을 준수하는 것만으로 충분한가?
표준과 규정을 준수한다는 걸 우리나라에서도 ‘컴플라이언스(compliance)’라고 부른다. 표준과 규정을 준수하면 할수록 좋다는 건 너무나 당연한 것이다. 그러나 ‘우리 회사는 컴플라이언스를 중요시 한다’고 아무리 주장해봤자 그 근거가 없으면 믿어줄 사람이 없다. 고객들이나 파트너사들 조차도 컴플라이언스에 대한 증거를 요구할 때가 종종 있다. 이럴 때 증명서나 자격증이 있다면 큰 도움이 된다. 물론 자격증을 얻어내는 데에는 적지 않은 돈이 든다.

그래서 고객들이나 파트너사가 증명서나 자격증을 요구하는 건지, 아니면 표준 준수 그 자체를 요구하는 건지 구분하는 게 중요해진다. 마찬가지로 주주들이나 경영진들이 중요시하는 게 정말로 무엇인지도 파악해야 한다. 증명서를 획득하려면 적잖은 자원이 투자되어야 하니 상위 결정권자의 결제가 필요한데, 고객과 주주들의 필요와 요구를 바탕으로 한다면 설득이 어렵지 않을 것이다.

많은 경우 표준과 규정에 대한 증명서를 발급받도록 하는 게 도움이 된다. 공식 증명서 한 장으로 복잡한 감사를 대신할 수 있기도 하다. 게다가 고객의 신뢰를 획득하는 데에도 증명서 한 장의 효과가 어마어마하다. 보안 업체 쓰레트 스택(Threat Stack)의 컴플라이언스 책임자인 린지 울리안(Lindsey Ullian)은 “증명서를 발급받는 게 내부적인 성취감과 인식 제고에도 도움이 된다”고 말한다.

2. 프로젝트의 범위를 조심스럽게 결정했는가?
프라탑은 표준을 도입하기로 결정하기로 한 조직이 가장 많이 저지르는 실수로 “너무 많은 것을 한꺼번에 이루려고 한다”는 것을 꼽았다. 그러니 표준 도입 프로젝트의 범위 설정부터 명확히 하는 것이 중요하다고 그는 강조한다. “정확히 어떤 사업의 어떤 부서, 어떤 직원들을 위한 표준인지 정확하게 해둘 필요가 있습니다. 이걸 정해야 보안 전문가나 외부 컨설팅을 얼마나 받을 것인지 결정할 수 있습니다. 그러면서 비용 산출이 더 쉬워집니다.”

프라탑은 “규모를 미리 정해야 하는 가장 큰 이유는 결국 지출을 보다 용이하게 제어하기 위해서”라고 강조한다. “너무 광범위하고 추상적인 목표를 세우면 예상보다 훨씬 더 많은 돈을 쓰게 됩니다. 중간에 멈출 수도 없게 되고, 더 진행하려니 만만치 않은 비용이 나가는 상태에 교착됩니다.”

3. 이 회사에 표준이 필요한 이유는 무엇인가?
ISO 27001 표준은 전 세계적으로 인정을 받는 공인 표준이다. 이 표준을 갖춘 기업이라면, 보안 통제 시스템의 기본기를 잘 갖추고 있는 곳이라고 볼 수 있다. 하지만 지나치게 포괄적이라, 모든 항목을 다 필요로 하는 조직들은 그리 많지 않다. 프라탑은 “ISO 27001을 획득하려고 분주하게 움직이기 전에, 표준의 어떤 점이 기업에 도움이 될 것인지부터 세밀하게 파악해야 한다”고 지적한다.

“다중인증 시스템의 안전성을 위해 필요한가? 이메일 암호화 부분이 필요한가? 보안과 사업적 리스크에 대한 전반적인 이해와 공용어를 갖추기 위해 필요한가? 이런 질문들을 해가며 표준을 검토해야 합니다. 이런 답들은 회사가 어떤 산업에 소속되어 있느냐에 따라 결정될 것입니다. 예를 들어 은행과 방산업자들이라면 암호화가 중요할 것이고, 의료 산업이라면 환자와 의사의 인증 문제가 더 시급할 수 있습니다.”

4. 표준의 도입과 기업의 성장은 어떤 관계가 있는가?
기업들은 결국 ‘기업의 성장’이라는 맥락에서 표준을 검토해야 함을 잊으면 안 된다고 프라탑은 강조한다. “보안 표준을 준비하는 팀은 보통 보안 팀이죠. 그러다보니 보안의 이상적인 관점에서 표준을 마련하고자 하는 경우가 있습니다. 그런데 그렇게 할 경우 상위 결정권자들과 소통이 되질 않습니다. 표준을 마련해 사업을 잘 키워보자고 한 것인데, 오히려 표준 때문에 내부에서 충돌이 일어납니다. 사업의 성장을 돕지 못한다면 보안의 고귀한 가치라는 것도 소용이 없게 된다는 걸 이해해야 합니다.”

그러면서 그는 PCI DSS를 예로 들었다. “신용카드와 지불카드 처리를 위한 표준인 PCI DSS를 도입함으로써 지불 방식 확장을 통한 사업의 성장을 함께 꾀하는 식으로 접근해야 한다는 겁니다. 그냥 ‘금융 활동이 있으면 무조건 PCI DSS도 도입해야 한다’고 주장해봐야 설득력도 없고 효과도 미비하거든요. GDPR도 마찬가지입니다. 유럽으로 사업을 확장하는 단계에서 검토해야 할 규정입니다. 중앙아시아로 진출하면서 GDPR을 검토할 필요는 없어요.”

5. 표준을 도입하는 데 드는 비용은 얼마인가?
프라탑은 “평가에 드는 기본 비용은 최소 5만 달러”라고 말한다. “임직원의 교육과 훈련, 외부 컨설턴트와의 상담, 침투 테스트 등을 전부 뺀 비용입니다. 이런 비용들은 준비를 해가면서 그때그때 파악해 투자해야 하는 거라 기업마다 천차만별입니다. 즉 5만 달러 ‘플러스 알파’를 준비해야 한다는 겁니다.”

한편 쓰레트 스택의 울리안은 금액 자체는 언급하지 않지만 “표준 마련 역시 사업적 투자인 것은 분명하고, 그럼로 ROI를 고려하는 게 마땅하다”고 말한다. 그러면서 “GDPR이나 PCI와 같은 표준의 경우, 컴플라이언스를 갖추지 못했을 때 내야 하는 벌금이 투자 비용보다 훨씬 클 수 있으니, 그 두 표준과 관련이 있는 사업체라면 오히려 마음 편하게 투자를 해도 괜찮다”고 설명을 덧붙였다.

울리안은 “기업은 윤리적인 선 안에서 이윤 활동을 벌이는 조직임을 보안 담당자들이 잊는 경우가 많다”며 “이상적인 보안 철학을, 기업의 이득과 손실이라는 개념에 근거하지 않은 채 주장하는 건 공허한 짓”이라고 덧붙였다. “표준을 준비하는 것 역시 그러한 개념에서 출발해야 합니다. 커다란 비용을 보안 담당자가 운용하지 못하기 때문에 더더욱 그러합니다.”

6. 훈련과 준비라는 측면에 대하여
프라탑은 “특정 표준을 새로 도입하려면, 책임자와 담당자를 적어도 두 명 뽑아서 관련 지식을 갖추게 하고 교육 과정을 밟도록 해야 한다”고 강조한다. 그러면서 “표준을 준비하면서 외부 컨설턴트를 선택할 때, 훈련과 교육 서비스를 함께 제공하는 곳을 고르면 나중에 도움이 될 수 있다”고 제안했다.

“도입할 표준을 정했다면, 그 표준에서 요구하는 필요 사항들이 뭔지 조사하는 게 당연하겠죠. 이를 충족시켜가면서 내부적으로 자체 감사를 할 능력을 함께 갖춰가는 게 효율적입니다. 즉 외부 전문가가 하라는 것만 기계적으로 할 게 아니라, 그것들을 내부의 자체 능력으로 녹여내라는 것입니다. 이는 표준 이후의 보안 기능 강화와 감사 준비에도 큰 도움이 됩니다.”

7. 표준 이후의 ‘유지 보수 프로그램’은 준비하고 있는가?
보안 인증 감사는 대게 1년에 한 번 진행된다고 프라탑은 설명한다. “그렇기 때문에 한 번 인증서를 따놓고는 잊고 사는 게 대부분입니다. 그러나 최근 들어 보안 분야의 인증서들은 ‘일회성’이 아니라 ‘지속성’을 강조하는 방식으로 변하고 있습니다. 표준을 도입하려는 기업들 역시 이 점을 기억해야 합니다. 한 번 따고 벽에 상장 걸어놓듯 하는 게 아니라, 계속해서 인증서를 획득할 자격을 유지하는 게 핵심이라는 것을 말이죠.”

그렇기 때문에 ‘컴플라이언스 팀’을 갖추는 조직들이 늘어나고 있다는 게 울리안의 설명이다. “표준 획득을 위한 임시 태스크포스 팀이 아니라, 계속해서 유지되는 팀으로서 컴플라이언스 담당자들이 요구되고 있습니다. 표준 인증서를 ‘획득’한다는 표현도 이제 어색한 것이 되어가고 있습니다. 조만간 ‘우리 회사는 ISO 27001을 유지하고 있습니다’라는 홍보 문구를 사용해야 할 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트