그렇다면 같은 일을 하는 다른 사람들은 기술 지출이 어디서 가장 많이 이루어진다고 생각하고 있을까? 본지에서 실시한 제 1회 연간 애독자 설문조사에 따르면, 약 2천700명 정도가 무선, 웹서비스, 스토리지, 서버 및 인프라 기술이 향후 18개월 동안 가장 많이 떠오르게 될 것이라고 이야기했다. 하지만 이제 우리가 나서서 무게를 달아보고 좀 더 깊이 분석해보아야 할 차례다.
앞으로 다룰 이야기는 우리가 생각하기에 올해 가장 중요한 기술(동향과 표준도 함께)이 될 것들에 대한 것이다. 우리는 분석들을 우리가 핵심적으로 다루는 영역에 상응하는 7개의 폭넓은 기술 범주로 묶어보았다.
눈치 빠른 독자라면 우리가 약간의 수정을 가했다는 사실을 눈치챌 것이다. 우리는 데이터 관리를 비즈니스 애플리케이션 코어 영역으로 끌어들였다. 그리고 서비스 사업자 및 아웃소싱에 대한 별도 영역을 없앴다. 우리의 기술 에디터들은 자신들이 다루는 특정 부문에서 이런 서비스를 보다 효과적으로 다룰 수 있었다. 예를 들어, 보안 서비스는 보안 부문에서, 인터넷 서비스는 인프라 부문에서 언급될 것이다.
하지만 우리가 가장 역점을 두는 부분은 변하지 않았는데, 기술, 제품 및 서비스에 대한 정확하고 편견 없는 평가가 그것이다. 2003년으로 접어들면서 본지는 독자들이 기술 의사결정을 내리는데 보다 큰 도움이 되겠노라고 다시 한번 다짐해 본다 .
보안
적절할 때 “아웃소싱을 이용하라”
2003년 새로운 보안 기술과 제품을 다루는 데 있어서는 묶인 IT 예산과 비보안에 대한 불안감이 관건이다. 물론, 끊임없이 놀랄만한 새로운 보안 장치를 쏟아내고 있는 업체들을 고려할 때 이것은 말처럼 쉬운 일은 아니다.
첫 번째 단계는 물리적인 자산에서 디지털 데이터에 이르기까지, 보호해야 할 필요가 있는 것이 과연 무엇인지를 가려내는 일이다. 그리고 나서 애플리케이션이 어떻게 기능을 발휘하는지, 이런 애플리케이션이 어디에 액세스하고 사용자는 무엇을 필요로 하는지, 그리고 누가 이런 정보를 사용하게 될 것인지 등을 고려해야 한다.
아마도 ‘말은 쉽게 한다’고 생각할지도 모르겠다. 참호에서 나와서 방화벽을 구성하고 VPN을 배치하고 IDS를 모니터링하고 바이러스 스캐너를 업데이트하고 로그를 검토하고 가장 최근의 취약점들을 확인하고 끝없이 이어지는 패치를 따라가고 불을 끄고 나면, 보안 아키텍처를 정밀하게 조율할 수 있는 시간은 거의 남지 않는다.
보안 로드맵을 갖춰라
해결책은, 위임을 시킬 때를 제대로 아는 것이다. 많은 일일 업무들은 MSSP(Managed Security Service Provider)에게 아웃소싱으로 맡길 수 있다(내부에서 해야 할 일은 내부에서 하고 MSSP가 24×7 관리 및 모니터링을 제공할 수 있다고 확신한다는 전제하에). 예를 들어 방화벽을 설치 및 구성하고 VPN을 배치하는 일은 아웃소싱을 맡기기에 가장 좋은 후보자들이다. 변화가 적절히 이루어졌는지를 확인하기 위해 사업자의 구성을 들여다볼 수 있는 시각을 가진 사람이라면 문제없이 자신의 작업 부담을 덜 수 있을 것이다.
아웃소싱을 이용할 경우 보다 중요한 보안 문제에 집중할 수 있는 시간을 벌 수 있을 뿐만 아니라 다른 이점도 누릴 수 있다. 슈퍼맨이 아닌 한 자기가 모든 일을 할 수는 없으며 모든 분야에서 전문가가 될 수도 없다. 이름 있는 보안 전문 아웃소싱 업체들은 업계 최고의 인재와 기술을 가져다줄 수 있다. 나아가 시만텍 리얼 타임 매니지드 시큐리티 서비시즈(Symantec Real Time Managed Security Services: 구 립테크)나 인터넷 시큐리티 시스템즈(Internet Security Systems)와 같은 다국적 MSSP들은 트래픽에 대한 폭넓은 시각 덕분에 조기에 새로운 공격을 탐지할 수 있다.
기술의 진보도 소중하긴 하지만, 로드맵이 없다면 보안 제품의 배치는 뒤죽박죽이 된다. 표준과 수용 가능한 사용 정책 등과 같은 보안 문서들은 비즈니스 관리에 있어 핵심이 되는 몇 가지 직무를 지원해준다. 여러분들 중 상당수가 보안 정책을 만들었다는 사실을 우리는 이미 알고 있으며, 마찬가지로 이런 보안 정책들 중 상당수는 먼지더미에 불과하다는 사실 또한 알고 있다. 그리고 지출은 늘어가는 반면 대다수 IT 예산에서 차지하는 보안 예산 비중은 상대적으로 낮은데, 그 이유는 보안이 단순히 비용지출 부문으로만 보이는 까닭이다.
예산 비중을 높이기 위해서는 보안의 역할이 비즈니스 플랜을 지원한다는 사실을 알게 해야 한다. 이는 즉 보안 정책을 최신으로 유지하고 이것이 회사 전략의 다른 부분을 어떻게 지원하는지를 보여주어야 한다는 얘기다.
위험 관리 절차
늘어나는 보안 지출의 주 동력은 전체적으로 위험을 완화시키고자 하는 노력인 위험 관리로, 위험이란 ‘조직에서 공격 성공시 자산을 잃게 될 가능성’이라고 정의할 수 있다. 위험 관리에는 몇 가지 작업이 수반되는데, 그 첫 번째는 자산의 중요도를 평가하는 것이다. 시스템이 사용 불가능하거나 데이터를 도둑맞았을 경우, 조직에는 전체적으로 어떤 영향을 미치게 되는가?
그 다음에는 위험 평가, 시스템 검토 및 공격 성공의 가능성 파악 등의 작업을 수행해야 한다. 그리고 나서 정책을 정의하고, 프로시저를 이행하며 제품을 배치함으로써 발견한 위험을 완화시키는 일이 있다. 비즈니스 자산을 손실에서부터 보호할 수 있는 방법과 잠재적 손실이 어떤 것인지를 보여줌으로써 보안 지출 증가를 정당화할 수 있을 것이다.
나아가, 당신의 보안 정책은 외부 감사원이 당신의 비즈니스 프로세스가 보안 방식으로 돌아가고 있음을 확인하는데 사용될 수도 있다. 회계 감사에서 수익, 손실 및 수익과 손실을 계산하는데 사용되는 회계 방식을 검토하는 것과 마찬가지로, 보안 정책은 어떤 프로세스가 제대로 갖춰져 있고 조직에서 정보 자산을 어떻게 보호하고 있는지를 감사원에게 알려준다. GLBA나 HIPAA와 같은 규정들에는 프라이버시와 보호 필요조건들이 있다.
