효과적인 정보보안 프로그램은 태어나는 게 아니라 만들어지는 것이다. 강력한 보안 기반을 구축한 글로벌 기업 CxO들의 생각이다. 이러한 조직들로부터 얻은 소중한 정보를 간추려 제대로된 보안문화 형성을 위한 5가지 팁을 살펴보자.

1. 진행상태를 평가하라
시그나의 슈마드는 진행상태 평가를 위해 벤치마크와 스코어보드를 이용한다. 벤치마크는 네트워크와 애플리케이션을 비롯 19가지 보안 부문을 다루며, 각 부문별로 외부 감사원에 의해 10점 만점제로 평가된다. 10점이면 가장 안전한 상태를 뜻하는 것이고, 5점이면 주의를 요하지만 대부분의 감사는 통과할 수준이라는 의미다.
 
시그나의 중역들은 벤치마크에 대해 매년 브리핑을 하는데 이는 올해로 벌써 10년째다. 시그나는 이를 통해 회사의 발전 및 퇴보 상태를 한 눈에 파악할 수 있을 뿐 아니라 비슷한 규모와 복잡성을 갖고 있는 다른 회사들과의 차이점도 정확히 알 수 있다. 이러한 결과는 바로 보안팀이 보안을 위해 필요한 부문의 점수를 보다 높일 수 있는 작업에 집중할 수 있는 방향을 제시한다.

2. 비즈니스 리더를 키워라
뱅가드는 일정 기간 동안 핵심 비즈니스 임원을 보안팀으로 배치하는 로테이션제를 실시하고 있다. CEO인 맥냅은 이를 통해 두 마리 토끼를 모두 잡을 수 있다고 한다. 보안팀은 비즈니스의 현실에 발을 붙이고 있을 수 있고, 임원들은 보안에 대해 더 많이 학습하고 그 지식을 다시 자신이 맡고 있는 분야에 적용시킬 수 있기 때문이다.

맥냅 CEO는 또한 보안 현안들에 뒤쳐지지 않기 위해서도 최선을 다한다. 그는 분기별로 정보보안팀과 회의를 하며, 여기서 전략과 계획에 대한 세부적인 논의도 함께 한다. 뿐만 아니라 보안팀을 동반해 랩에서 현재 테스트되고 있거나 배치되고 있는 새로운 기술들을 직접 확인하기도 한다.

시그나는 각각의 비즈니스 영역에서 정보보호 챔피언과 정보보호 코디네이터 제도를 만들어 시행하고 있다. 챔피언이란 주요 비즈니스 부문의 보안 문제가 상위 레벨에서 처리되도록 보장해 주는 주요 비즈니스 부문의 고참 인력을 말한다. 챔피언은 보다 큰 집단인 정보보호 코디네이터의 지원을 받게 되는데, 이들은 대개 콜센터 매니저나 오피스 매니저 같이 상대적으로 낮은 직급의 사람들이다.

정보보호 코디네이터는 일일 비즈니스 운영에 매우 익숙하다. 즉, 이들은 직원들이 어떻게 일을 하는지 잘 알고 있으며, 위험할 수도 있는 비즈니스를 쉽게 알아챌 수 있다. 슈마드는 이러한 챔피언과 코디네이터들이 정보보호 정책이 자체 조직 내에서 만들어지고 이행되는 데 크게 보탬이 된다고 말했다. 이 두 집단은 또한 이미 마련된 정책에서 다루지 못하는 잠재적인 보안 문제들까지 찾아내고 있기 때문이다.

슈마드는 “보안이라는 이름이 달린 작은 조직에서 큰 회사에서 필요로 하는 보안의 모든 것을 충족시켜 줄 것이라고 기대해서는 안 된다”며 “이는 비즈니스 업무 인력이 개입하고 소유해야 할 필요가 있는 부문”이라고 강조했다.

3. 엔드유저를 참여시켜라
정보보안 프로그램의 성공 여부는 30~40%가 사용자 교육과 인지에 달려있다고 슈마드는 말한다. 보안 제어와 운영에 아무리 많은 주의와 돈을 투자하더라도 엔드유저가 보안 오류를 유발할 가능성이 1/3은 된다는 것. 슈마드는 정보보호 코디네이터들로 하여금 팀 미팅과 이메일 등을 이용해 엔드유저들에게 보안 메시지를 전파하고 있다.

한 은행의 e비즈니스 인프라 매니저는 자신의 조직이 정보보호를 포함한 여러 문제에 대해 온라인 교육을 실시하고 있다고 말했다. 수업 진도는 각자 알아서 나가지만 끝나면 반드시 시험을 봐야 한다.

4. 주인의식과 책임감을 안겨주라
위에서 내려오는 보안 메시지에는 더 큰 무게가 실리는 마련이다. 슈마드는 “사람들은 직속상관으로부터 메시지를 받으면 써드파티 보안 집단에서 받는 메시지에 비해 더 많이 동조할 수밖에 없다”고 말한다. 이는 또한 비즈니스 리더들이 보안 기술과 실행을 자기 조직의 특수한 작업과 위험에 맞출 수 있게 자극하기도 한다.

한편 보안 조직은 비즈니스 조직을 지원하기 위해 존재하는 곳이다. 예를 들어 새로운 업체와 민감한 데이터 처리 계약을 맺었다면 보안팀에서는 이 업체를 조사하고 계약이 체결되기 전에 위험과 위험완화 전략을 찾아낼 것이다.
 
뱅가드의 맥냅은 “우리는 어떤 비즈니스에 위험이 있다는 사실을 확인한다”며 “도움을 줄 수 있는 정보보안이나 규정준수 그룹들이 있지만 비즈니스 분야에서 적극 참여해 주길 바란다”고 말했다. 또 그는 “임원들은 실수가 있으면 바로 상부로 보고된다는 사실을 잘 알고 있다”며 “보고서를 확인하면 바로 문제 해결을 위한 대화가 이뤄진다”고 자랑했다.

5. 투자 하라
설문조사 결과에 따르면 올해 보안 예산이 전년에 비해 감소했다고 답한 사람은 16%에 불과했다. 60%가 같은 수준을 유지할 것이라고 응답했고, 24%는 늘어날 것이라고 답했다.
 
맥냅은 “보안 부분을 가볍게 치부한다는 것은 푼돈에 연연하고 제대로 돈을 쓰지 못하는 행동”이라고 비판했다. 그는 “이런 분위기에서는 보다 영리하고 교활한 공격들이 등장할 것”이라며 “어디서나 예산 압박이 화두가 되지만 보안만은 예외로 생각해야 한다”고 경고했다.

물론 모든 조직이 엄청난 자산을 관리하는 회사들처럼 많은 자원을 갖고 있는 것은 아니다. 그러나 자금이 부족하다고 앞서 설명한 4단계를 수행하지 못할 이유는 없다. 소매 체인의 보안 분석가는 정보보호를 가로막는 기업의 장벽에 동양적인 사고방식으로 접근하고 있다. “산에서 흘러내리는 물은 장애물을 만나지만 돌아 돌아서 자신의 길을 찾아 계속 흘러간다.”

데이터넷 다른기사 보기