[컬럼] 기업 보안 성패를 좌우하는 요소
상태바
[컬럼] 기업 보안 성패를 좌우하는 요소
  • 데이터넷
  • 승인 2013.01.07 18:39
  • 댓글 0
이 기사를 공유합니다

김홍선 안랩 대표 “최선의 보안은 ‘기본으로 돌아가는 것’”

IT 환경의 발전과 함께 이를 둘러싼 위협이 증가하고 있다. 최근 IT보안의 화두로는 지능형지속공격(APT), 정책과 규제, BYOD(Bring Your Own Device)를 꼽을 수 있다. 특정 대상에 대해 지속적으로 치밀하게 공격을 가하는 APT는 가장 고도화한 사이버 공격의 형태로 평가되며, 기존의 대응 방식이 아닌 조직적이고 고도화한 대응 방법이 필요하다.

BYOD는 ‘PC 시대’에서 스마트폰을 중심으로 한 ‘포스트 PC 시대’로 이행하면서 나타난 현상이다. 그런데 개인용 기기인 스마트폰이 기업의 업무 영역으로 들어오면서 기업의 보안 정책과 개인 사용자의 요구 사이에 충돌이 발생하고 있다. 이러한 갈등을 해소하고 적극적으로 스마트폰 환경에 기업 비즈니스를 융합해나가는 것이 기업의 과제다.

사용자 친화적인 보안 필요
IT보안 이슈를 성공적으로 수행할 수 있는 잣대로 세 가지를 꼽을 수 있다.

첫째는 인텔리전스다. 고도화한 위협을 입체적으로 분석하고 파악할 수 있는 솔루션, 또는 이를 지원할 수 있는 서비스가 필요하다. 사람이 일일이 살펴보고 분석해야 하는 보안 솔루션, 의미를 알 수 없는 수많은 리포트는 오히려 기업의 생산성 저하를 가져올 뿐이다.

둘째는 실효성이다. 많은 기업이 다양한 보안 솔루션을 도입했지만, 과연 그것들이 제 기능을 충분히 발휘하고 있을까? 침입방지솔루션(IPS)을 예로 들어보자. IPS는 침입을 분석할 수 있지만 정작 그 결과를 토대로 무엇을 어떻게 해야 할지 사용자가 고민해야 한다. 실제로 얼마나 공격에 대응할 수 있는가 하는 실효성이 중요한데 이 점에서 아쉬움이 있다.

솔루션의 실효성 못지않게 실무 부서와 보안 부서 간 협업에서도 실효성이 중요하다. 조직의 규모가 클수록 실무 부서와 보안 부서 사이에는 견해 차이가 발생하게 마련이다. 그러나 실무 부서와 보안 부서의 합일된 노력이 없다면 기업 보안의 실효성은 결코 기대할 수 없다. 조직과 개인의 패러다임이 합치될 때 개인정보보호법과 같은 컴플라이언스 준수 노력 또한 실효성을 거둘 수 있다.

마지막으로 최적화다. 기업의 비즈니스 환경에 맞는, 비즈니스 모델에 적합한 보안 체계를 구축해야 실질적인 효과를 거둘 수 있다는 의미다. 일례로 스마트폰을 업무에 도입할 때 과거 PC 시대의 정책 그대로 무조건 관리에만 초점을 맞춘다면 생산성과 편의성, 그 어느 쪽도 성공적일 수 없다. 변화하는 환경에 맞게, 직원의 생산성을 높이는 동시에 어느 정도 수준의 보안은 유지될 수 있는 방안을 모색해야 한다.

“기본으로 돌아가라”
최선의 보안은 ‘기본으로 돌아가는 것(back to basic)’이다.

데이터 생성은 누가 하는지, 관리의 오너십은 누구에게 있는지, 데이터가 어느 부서에서 어디로 흘러가고 있는지 등 데이터를 라이프 사이클에 맞춰 관리할 수 있어야 한다. 또한 보안 정책과 실행의 간극이 어느 정도인지를 파악하고 비즈니스 환경에 최적화한 솔루션을 잘 사용하고 있는지 수시로 살펴야 한다.

그리고 수많은 솔루션을 나열하듯 도입하는 것이 아니라 현재 기업에 위협이 되는 것은 무엇인지, 그와 관련한 법규는 무엇인지, 그리고 적절한 솔루션은 무엇인지를 고민하고 정확하게 판단하는 것이 필요하다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.