그들은 만나야 한다··· ‘IT 전략’에 ‘IT 보안’을 제대로 통합하는 방법

CIO
정보 보안이 IT의 필수적인 부분이 되어가면서 조직 또한 융합되는 현상이 점차 많은 기업에서 나타나고 있다. 

오늘날 많은 기업들이 IT 보안 전략과 IT 전략을 더욱 긴밀하게 통합하려 시도하고 있다. 여기에는 부서를 혼합하고 리더십 구조를 바꾸며 개발 파이프라인 초기에 보안을 포함시키는 등의 행보가 포함된다.

2019 CIO 현황 설문조사에 따르면 조직 중 약 2/3가 IT 보안 전략과 IT 전략이 긴밀히 통합되어 있다고 밝혔으며 IT 보안이 IT 로드맵 및 프로젝트의 핵심 구성요소로 나타났다. 

나아가 앞으로 이 둘을 더욱 구분하기 어려워질 것이며 조직 중 83%는 향후 3년 이내에 IT 보안 전략을 전반적인 IT 전략에 긴밀히 통합할 것으로 예상된다. 보안 컨설팅 기업 모스 아담스(Moss Adams)의 수석 사이버 보안 책임자 네이썬 웬즐러는 "IT와 보안 전략이 한데 어우러질 전망이다. 과거에 본 것과는 다른 방식일 것이다"라고 말했다.

웬즐러는 이어 "흔히 정보 보안을 IT 부서의 부분 집합으로 인식하고 방화벽과 스팸 필터 등의 보안 툴을 관리하는 곳으로 바라보곤 했었다. 그러나 이제는 점차 인포섹 팀들의 참된 모습을 고려하고 있다. 그것은 위험 관리 기능이다"라고 말했다.

현재 IT와 보안 전략이 가장 긴밀하게 정렬되어 있는 분야는 ‘위험 관리 및 완화’다. 보편적인 예가 애플리케이션 보안이다. 오늘날 보안팀들은 개발자의 시험대에서 생산까지 코드를 안전하게 이동하는 방법과 그 과정에서의 적절한 시험 및 통제에 대한 관심이 훨씬 더 크다고 웬즐러가 말했다.

그에 따르면 향후 보안 전략은 인간 오류나 실수에 의해 코드가 해킹 당할 수 있거나 무결성을 상실할 수 있는 영역을 확인하는 한편, 이런 위험을 완화하거나 없애기 위해 할 일에 대한 권고사항을 제공하는 것에 초점 맞춰질 것으로 예상된다.

웬즐러는 "그러면 IT팀이 개입하여 기존 인프라에 어떤 툴이 가장 적합한지 확인하고 기존의 개발 툴 및 프로세스와 통합하며 적절한 기술을 이행하여 이런 통제력을 제공할 것이다. 현대적인 전략이 유효한 지점이 바로 여기다. 보안팀이 IT 전문가이기를 기대할 필요가 없고, 반대의 경우도 마찬가지이다"라고 말했다. 

보안 활동을 IT 전략에 좀 더 긴밀하게 통합하는 방법을 살펴본다.
 
ⓒ Image Credit : Getty Images Bank



최고 보안 임원에게 자율권을 제공하라
IT와 보안을 더욱 긴밀하게 한다고 해서 보안 임원의 권한을 빼앗아서는 안 된다. 사실, 전략적 측면에서 볼 때 오히려 더 많은 권한을 제공해야 한다.

스토리지, 서버, 네트워킹 하드웨어를 위한 유지보수 서비스를 제공하는 PPT(Park Place Technologies)에서 IT 전략 및 IT 보안 전략은 긴밀히 통합되어 있으며 사이버 보안 책임자들이 핵심적인 역할을 담당한다고 회사의 CIO 마이클 칸터가 말했다.

그는 "우리의 정보 보안 책임자는 연례 예산 사이클을 포함하여 모든 전략적 논의에 참여한다. 그는 5개년 보안 로드맵을 수립했고 여기에는 해당 년도 중 기대하는 진행상황을 달성하기 위해 각 보안 기능에 대한 목표가 포함되어 있다"라고 전했다. 

예를 들어, PPT의 보안 책임자가 보유한 목표 중 하나는 회사가 더 낮은 비용으로 더욱 자주 스캔할 수 있도록 취약성 스캔에 대한 내부적인 역량을 높이는 것이다. 특히, 이 목표는 인프라 측면의 2019년 목표에 통합되어 있다. 그리고 이것은 해당 기술을 이용해 더욱 자주 스캔하는 것에 초점을 둔 내부적인 스캔 기술과 프로젝트의 이행으로 이어진다고 칸터가 전했다.

보안 부문은 조직 내 적절한 위치를 가져야 하며, CEO는 아니더라도 최소한 CIO에게 보고해야 한다고 칸터는 덧붙였다. 그는 "인프라 등 다른 IT 기능 내부에서 억압받지 않고 보안의 목소리를 내기 위해서는 독립성이 필요하다"라고 말했다.

통합에 대한 고위 임원의 후원이 필요
고위직의 지원이 없어 방향을 잃은 계획들은 무수히 많다. IT와 보안의 통합 역시 같은 운명에 처할 수 있다.

글로벌 가구 설계 및 제조 기업 하워스(Haworth)의 프라이버시 책임자 조 카다몬은 "이사회, 임원진, 리더십팀의 지원을 확보하라. 인터넷상에 정보 보안 아키텍처 및 전략의 조기 통합의 이점에 대한 많은 정보가 존재한다"라고 말했다.

카다몬은 혜택을 입증하고 리더십의 승인과 지원을 획득하면 장벽을 무너뜨리는데 도움이 된다고 설명하며, 고위 임원이 보안의 가치를 이해하는 경우 IT와 보안 통합의 가치를 알아볼 가능성이 높다고 전했다.

그는 "정보 보안이 워크플로의 또 다른 장애물이 아니라 비즈니스에 어떻게 도움이 될 수 있는지 보여주라"라고 말했다.

IT와 보안이 각각 고위 임원에 대한 직접적인 접촉점을 가지고 있다면 더욱 좋다. 전기 도급기업 RE(Rosendin Electric)에서는 이런 직접적인 관계이 반드시 필요하다고 사이버 보안 및 준수성 고위 책임자 제임스 맥기브니가 말했다. 

그는 "다행히도 우리의 사이버 보안 그룹은 IT 조직 내에 속해 있고 CIO와 CEO에게 직접 보고한다. 그들은 모든 임원들과 함께 진행 중인 IT 및 보안 프로젝트를 적극 지원하고 있다"라고 말했다.


자주 소통하고 관계를 구축하라
IT와 보안 관계자들 사이의 적절한 의사소통의 필요성은 아무리 강조해도 지나치지 않으며 효과적인 통합에 필수적이다. RE에서도 두 분야의 소통이 필수적이라고 맥기브니는 강조했다.

그는 "인간 요인은 오늘날 어느 IT 조직이나 직면하고 있는 가장 큰 위험이다. 성공적인 피싱 캠페인으로 인해 기업이 심각한 피해를 입을 수 있다. 심도 깊은 진정한 방어책을 제공하기 위해 IT 및 보안은 협력하여 공격면 전반에 걸쳐 구내 솔루션 또는 클라우드 기반 솔루션을 이행해야 한다. 보안 그룹의 이행은 인프라에 영향을 끼치며 인프라의 이행은 보안에 영향을 끼친다. 서로 밀접히 연관되어 있다"라고 말했다.

IT와 보안팀 각각은 서로 무엇을 하고 있으며 그것이 조직에 중요한 이유를 이해해야 한다. 웬즐러는 "양쪽이 서로 소통하지 않을 때 보안 전략이 기술 목표와 일치하지 않는 위험한 전략을 세우기 쉽다. 기능은 분리되어 있지만 서로의 성공에 필수적이기 때문에 지속적인 소통 없이는 불일치가 발생할 수 밖에 없다"라고 말했다.

또한 양쪽이 서로 관계를 발전시키는 것도 중요하다. 정보 보안 관계자들은 프로젝트의 장애물이자 워크플로를 방해하는 것으로 비쳐질 때가 있다고 카다몬이 지적했다. 

하워스에서는 IT 엔지니어와 정보 보안팀이 월간 회의를 통해 다가올 변화, 프로젝트, 문제, 일방에 도움이 될 수 있는 기타 우려사항을 논의한다고 그는 전했다. 카다몬은 "리더십팀이 참여하여 이런 행동을 돕고 일반적으로 IT에서 목격되는 고립된 행동을 극복하는 것이 가장 효과적이다"라고 말했다.

보안 표준을 활용하고 비교할 만한 지표를 이용하라
IT와 보안의 통합을 추구하는 기업들은 보안 환경의 목표를 설정하기 위해 미국 국립표준기술원(National Institute of Standards and Technology, NIST)이 개발한 것 등의 표준 보안 프레임워크를 사용하는 것을 고려해야 한다.

칸터는 "이를 통해 효과적으로 우선시되고 모든 기능과 공유하여 연간 목표를 설정할 수 있는 보안 로드맵을 수립할 수 있다"라고 설명했다.

그는 이어 "기업 내 보안 활동의 표준호를 위해 프레임워크를 사용하면 보안의 모든 측면을 확인하고 위험 및 성숙 목표에 대해 우선순위를 설정할 수 있다. 기업이 프레임워크를 선택하고 특정 상황에의 적용성에 기초하여 다양한 요소를 배치하면 기업이 기본적으로 보안 전략을 확보하게 되는 것이다"라고 말했다.

칸터는 또 "보안이 자체적인 기능 안에서 특정 목표를 달성할 수 있는 경우가 매우 드물다"라며, "일반적으로 보안 목표를 달성하기 위해 다른 기능과의 결합이 필요하기 때문에 이런 종류의 전반적인 IT 전략과의 통합이 성공의 핵심이다"라고 말했다.

표준에 더해 IT 및 보안 조직은 최종 목표에 대한 혼란이 없도록 비교할 만한 지표를 이용하는 접근법을 검토해야 한다. 보안팀들이 IT팀이나 운영 기능과 관련성이 없는 방식으로 위험이나 심지어 성공을 측정하기 시작하는 경우가 많다고 웬즐러가 말했다.

그는 "마찬가지로 업타임 측정이나 업무지원센터 응답은 보안을 위한 '무결성과 가용성'을 언급할 수 있지만 위험 사안을 적절히 처리하지 못한다. 모두가 사용되는 지표를 이해하고 기술 개선을 통해 위험 감소를 입증할 수 있는 지표를 활용하도록 하라"라고 말했다.

기업의 제품 및 서비스에 데이터 보호를 통합하라
효과적인 IT 및 보안 통합은 산업에 관계없이 기업이 외부 고객 및 내부 직원 용도로 제공하는 제품과 서비스로 확대되어야 한다.

맥기브니는 "IT 제공물에 데이터 보호를 통합하는 것이 무엇보다도 중요하다”라며, 예를 들어, 한 직원이 회사 휴대전화를 지급받으면 통합된 종점 관리 시스템 안에 즉시 등록되어야 한다고 설명했다. 직원들이 자신의 장치를 가져오는 경우 반드시 등록하거나 해당 장치가 기업의 어느 자원에도 접근하지 못하도록 해야 한다는 것이다.

맥기브니는 "피싱 캠페인이 기승을 부리는 가운데 어느 기업이나 직원이 애매한 링크를 클릭하고 로그인 자격 증명을 입력할 위험이 있다. 그 결과 해커는 당신의 액티브 디렉터리에 무제한으로 접근할 수 있을 뿐 아니라 프로세스와 절차에도 접근할 수 있다. 결국, 피싱 공격이 더욱 집중되곤 한다"라고 말했다.

사물인터넷이 공격면을 확대시키는 것을 감안해야 한다. 맥기브니는 "인터넷의 모든 것이 기업에 있어서 잠재적인 진입점이 된다. 휴대폰, 태블릿, 노트북, 데스크톱, 보안 카메라, 조명 제어장치, 온도 조절 장치, VR장치 등 모든 장치가 일종의 패치 관리 및 취약성 관리 프로세스에 포함되어야 한다"라고 말했다. ciokr@idg.co.kr