Offcanvas

보안

보안 전문가들이 실패하는 이유 (그리고 대책)

2010.12.09 Dan Lohrmann  |  CSO


문제 3: 겸손하지 않은 보안 전문가
어느 고객이든지 긍정적이고 우호적이고 겸손하고 인내심 있는 태도를 가진 사람과 일하고 싶어하는 것은 당연하다. 불행한 일이지만 그런 태도를 가진 보안 전문가를 찾아보기가 쉽지 않다(보안 전문가끼리 만나 이야기를 할 때는 태도가 달라진다). 프로세스 따위는 안중에도 없고 그저 시급을 다투는 일만 신속히 조치하라고 요구해버리는 편이다.

보안 전문가는 공포, 불확실, 의심(fear, uncertainty and doubt: FUD)에 대해 훈계를 늘어놓지만 정작 훈계한 내용을 실행하지는 않는다. 왜일까? FUD를 정기적으로 갱신하기만 하면 되기 때문이다.

보안 담당자는 법적 준수, 어둠의 해커, 멀웨어 문제, 제3세계 위협, 계정 도용이라는 비장의 카드를 하나씩 꺼내 든다. 이들 문제가 진정 해결해야 할 가치가 있는 유일한 문제인 척 할 수도 있다. 요지는 자신의 본분 그리고 보안 팀의 존재 이유를 망각하고 있다는 것이다.

해법 3: 전문가적 탁월함과 진심에서 우러나는 겸손함을 가져라. 옛말에 ‘자만심은 파멸에 이르는 길’이라고 했다. 보안 전문가는 이 말을 마음 속 깊이 새겨야 한다.

사 악한 무리들은 계속해서 진화하고 있다. 보안 전문가가 기업을 보호하고자 무엇을 하고 있던 간에 이를 무력화시키려고 어느 때보다 더 열심히 노력하고 있다. 이 사실 하나만으로 보안전문가는 자신의 일에 대한 그리고 진정한 임무 완수에 대한 시각을 바꿔야 하지 않을까?

오늘 효과가 있던 게 내일은 무용지물일 수 있다. 그러므로 보안 전문가는 자신이 전개하는 보안에 관해 다른 사람에게 확답하는데 신중해야 한다. 이 영역의 목표에는 원활한 협업과 아울러 보안이 짜맞추어 넣어진, 정립된 프로젝트 수명 주기 프로세스(project life-cycle processes)를 준수하는 게 포함된다.

진짜 급할 때가 아니라면 되도록 비상 상황을 선언하지 마라. 양치기 소년으로 전락할 수 있다. 존중 받는 팀 구성원의 한 사람이 되려고 노력하라. 타인에게 대접받고 싶은 만큼 똑같이 타인을 대접하라. 한가지 요령은 사무실 소프트볼 팀에 가입하거나 여타 회사 오락 활동에 참여하는 것이다.

문제 4: 고객에 대해 속단하지 말라
여기 다소 골치 아픈 의뢰인이 있다고 하자. 곰곰이 생각한 결과 컴퓨터 보안에 대해 문외한이라는 결론에 이르렀다. 자신이 어떠한 위험에 처해 있는지 알지를 못한다. 그냥 재빨리 문답식 점검이나 하면서 진행하고 싶어한다. 이들은 제어 수단에 돈을 쓰지 않을 것이므로 이제 보안 전문가는 감사들에게 자신이 규제를 준수하고 있음을 설득하려고 노력하는 것 말고는 별다른 선택의 여지가 없을 것이다.

그런데 이 보다 더 나쁜 게 뭐냐 하면 이들이 보안에 대해 절대 이해하지 못할 거라고 판단하고 아예 감정적으로 손을 떼버리는 것이다. 그렇게 되면 프로젝트 미팅은 은연 중에 그들 대 우리라는 구도로 흘러가게 된다. 문제는 무언가를 할 돈과 영향력과 권한은 그들에게 있다는 것이다.

해답 4: 사람과 보안을 분리해 고객 관계를 개선하라. 대형 SI 프로젝트를 수도 없이 성공적으로 마무리한 바 있는 한 전문가는 “언제나 사람, 프로세스, 기술적 문제를 극복해야 한다. 그런데 이들 문제는 난이도 면에서 서로 비슷하지조차 않다. 어려움의 90% 이상은 진실로 사람에 관한 문제이다”라고 필자에게 토로한 바 있다.

우선, 기업은 사람들로 이루어진다. 이들 사람은 가족이 있고 골프를 치거나 다른 게임을 하고 지역 스포츠 팀을 응원한다. 이 사실을 기억하면 이들을 악마 같이 생각하거나 거칠게 매도하려는 충동이 가라앉을 것이다. 나아가 현재 다루고 있는 난해한 문제 그리고 의견이 맞지 않은 사람을 서로 분리하는 것도 도움이 된다.

이 관계는 현재 처한 문제보다 더 오래 지속될 거라는 사실을 기억하라. 한 번에 한 사람씩, 기업과 친숙해져라. 신뢰를 쌓아라. 고객과 점심을 함께 하며 그의 말을 듣는다면 좋지 않은 일도 무난히 넘길 수 있는 관계가 자연스럽게 형성될 것이다. 고객들은 대개 전문가가 아니므로 알아차리지 못한 고객의 니즈는 없는지 파악하라.

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.