EMC RSA 정보보안사업부를 이끌고 있는 아서 코비엘로(Arthur W. Coviello) 사장이 방한해 최근 보안 시장의 동향과 더불어 보안 강화를 위한 방안을 설명했다. 코비엘로 사장은 2006년 EMC와 RSA시큐리티의 인수합병으로 EMC에 합류했으며, 현재 RSA 정보보안사업부 사장 및 EMC 총괄부사장을 겸하고 있다.
코비엘로 사장은 “리스크를 제대로 관리하지 않았을 때 기업의 매출은 물론, 브랜드 등에 더욱 치명적인 타격을 입을 수 있으며 이는 실제로 일어나고 있다”고 있는 일이라고 설명하면서 “기업은 전체적인 리스크를 강화해야 하며, 이를 위해서는 비즈니스와 밀접하게 연관된 보안을 구현해야 한다”고 역설했다.
IDC에 따르면, IT 지출에서 보안에 대한 비중은 계속 높아진 상황. 2001년 전체 IT 투자에서 보안이 차지하는 비율은 1.5%에 불과했지만, 2006년에는 3%으로 증가했으며 2009년에는 전체 IT 예산의 5%인 550억달러를 상회할 것으로 예상되고 있다. 하지만 이러한 보안 투자의 증가만큼 보안 강화가 이뤄졌는가에는 물음표가 달리는 것이 사실이다.
코비엘로 사장은 이러한 사실을 지적하면서 “보안 투자 증가에도 불구하고, 보안수준이 높아지지 않는 것은 기존의 대응방식에 문제가 있음을 의미하는 것”이라고 설명했다. 비즈니스와 유리된 사후 대응적 보안, 단편적 보안 등에 집중함으로써 기업 보안 강화를 이루지 못했다는 것이 코비엘로 사장의 지적이다.
이를 개선하기 위해 코비엘로 사장은 “정보 중심적, 지식 접근적인 기반의 보안이 필요하다”고 강조했다. 보안 역시 비즈니스에 대한 이해를 바탕으로 할 때 보다 더 높은 가치가 창출될 수 있으며, 전사적 공감대가 있어야 원활한 협력과 기회를 만들 수 있다는 것이다.

벤더·정부·기업의 조화 ‘필요’
다른 한편으로는 정부차원의 지원도 필요하다고 코비엘로 사장은 지적했다. 오늘날 보안 위협이 정보화 사회의 기틀을 흔들고 있는 지금, 사이버범죄자 색출은 물론 기업의 보안 강화를 위한 효과적인 규제 마련이 필요하다는 설명이다.
코비엘로 사장에 따르면, 이를 위해서 필요한 것은 보안에 대한 기술적 규제가 아니다. 코비엘로 사장은 “정부 담당자들은 128비트 암호화 등 기술적 사항을 잘 알지 못하며, 또 빠르게 변화하는 기술을 수용할 수 없다”면서 “따라서 기술적 사항에 대한 규제보다는 베스트 프랙티스를 마련해 이를 수행하지 않는 기업을 규제하는 것이 더욱 적절하다”고 밝혔다. “베스트 프랙티스에 따르지 않는 기업에 대해 과징금을 부과할 때 기업 경영진은 보안 강화에 적극적으로 나설 수밖에 없다”는 것이 코비엘로 사장의 지적이다.
이러한 지적은 특히 각종 보안 사고로 몸살을 앓고 있는 우리나라 현실을 고려할 때 더욱 절실하게 다가온다. 솜방망이 처벌이 계속 지적되고 있지만, 정부기관들은 이에 대한 강화보다는 기술적 방법 마련에 더욱 적극적이기 때문. 공공기관 대상으로 추진되는 것이지만, 망분리는 이러한 경향을 보여주는 대표적 사례로 볼 수 있다.
또한 코비엘로 사장은 “보안이 기업의 필수라는 경영진의 인식변화도 요청된다”고 밝혔다. “이미 인프라에서 많은 업무가 수행되고 있는 현실에서 리스크 관리의 상당부문은 인프라 쪽으로 옮겨갈 수밖에 없으며, 리스크 관리를 위해서는 IT 보안이 필수적”이라고 전제한 코비엘로 사장은 “비즈니스에 밀접한 정보보안 체제를 구현은 생존의 필수조건”이라고 꼽았다.
코비엘로 사장은 “여기에서 또한 중요한 것이 보안 벤더”라고 지적했다. 진정한 보안 수준 향상은 기업과 정부, 보안벤더가 조화를 이룰 때 가능하다는 것. 코비엘로 사장은 “기존의 사후 대응적 보안은 다이나믹한 오늘날의 위협을 따라갈 수 없다”고 언급한 후 “정보자체에 대한 보안 기술을 개발, 다이나믹한 위협에 대응해야 한다”고 강조했다.
한편, 코비엘로 사장은 현재의 경제위기로 인한 기업의 투자 위축에 대해서도 우려를 표시했다. 코비엘로 사장은 “지난 40~50년 경제위기 돌파는 글로벌화, 이노베이션 등을 통한 활성화가 동인이 돼 위기를 극복했다”면서 “위기 돌파의 해법은 ‘이노베이션’ 뿐”이라고 강조했다.