Offcanvas

CSO

블로그ㅣ정보보안 ‘영웅’은 필요하지 않다

2022.07.05 Andy Ellis  |  CSO
많은 보안 전문가 사이에는 자신이 소속 기업의 ‘수호자’라는 점에서 특별하다는 믿음이 있다. 만약 그렇지 않다면 회사는 끔찍한 방식으로 붕괴되고 불타버릴 것이라고 생각한다. 또 침해가 만연하고 데이터가 곳곳에서 도난당할 것이라고 생각한다. 클라우드 환경은 적으로 가득 차 있다. 엔터프라이즈 시스템은 랜섬웨어에 잠식될 수 있다. 보안 전문가의 영웅적인 노력이 없다면 이런 일은 항상 일어날 것이다! 
 
ⓒGetty Images Bank

보안 전문가가 수호자일 수 있지만 보안 전문가만 그런 건 아니다. 데브옵스 팀도 항상 안정성을 방어한다. 변호사도 법적 책임에서 (회사를) 보호한다. 제품 관리팀과 영업팀도 급여를 보호한다(오히려 진정한 영웅이 아닐까?).

영웅 역할이 되려면 다른 역할도 있어야 한다. 이를테면 어떤 사람은 ‘악역’이 돼야 하고(예: 완벽하지 않은 제품을 감히 출시하는 악덕 제품 관리자 또는 모든 구성요소를 패치하면서 기능 파이프라인을 중단하지 않는 부주의한 엔지니어링 관리자 등), 다른 사람은 선택의 여지없이 ‘희생자’가 돼야 한다(예: 링크를 클릭하는 불행한 사용자 또는 리스크 관련 의사결정을 제대로 내리지 못하는 경영진 등). 

그리곤 자신이 악역 또는 희생자보다 훨씬 더 많이 알고 있다고 생각하기 때문에 모두를 무시하기 시작한다. 전혀 사실이 아니다. 정보보안 전문가는 고도로 전문화된 지식을 가지고 있긴 하지만 대부분은 여전히 회사가 어떻게 돈을 버는지는 이해하지 못한다.

마지막으로 담당했던 프로젝트를 떠올려보자. 갑자기 기득권도 없고, 이해관계도 없는 누군가가 이상한 조언을 했다고 해보자. 이론적으로 또는 적어도 다른 상황에서는 해당 조언이 효과적일지 몰라도 현 프로젝트에서는 아니었다. 이것이 바로 비즈니스 파트너가 종종 정보보안 전문가를 바라보는 관점이다. 즉, 자신의 조언이 얼마나 유용하지 않은지 판단할 실질적인 경험이 없는 오만한 전문가다. 

조력자가 돼라 
자신을 영웅으로 생각하는 대신 조력자로 생각할 때다(원더우먼도, 베트맨도, 슈퍼맨도 아니다). 다른 누군가가 더 현명한 위험 관련 의사결정을 하도록 지원해야 한다. 그러한 의사결정은 모두에게 유익한 결과를 가져온다. 영웅은 다른 사람의 몫이다. 그렇다면 이를 어떻게 시작해야 할까? 첫 번째 목표는 비즈니스 장애를 제거하는 것이다. 

제품 보안을 책임지고 있는가? 코드를 작성하고 프로세스 초기에 자체적으로 안전 및 보안 검토를 수행하는 방법을 가르치는 소프트웨어 아키텍트를 참여시켜야 한다. 밖에서 보는 것보다 훨씬 더 많은 결점을 발견하고 고칠 수 있다. 또한 데브옵스 프로세스에 도구를 포함하여 권한을 부여해야 한다. 

IT 보안을 담당하고 있는가? 문제가 되는 피싱은 최종 사용자가 아니라 IT의 잘못이라는 사실을 인지해야 한다. ‘피싱 클릭률’과 같은 까다로운 지표에 집중하지 말고, 아키텍처를 개선하기 위해 노력해야 한다. 아울러 지원하는 비즈니스의 어떤 부분이든 일을 완수하기 위해 무엇을 해야 하는지 배워야 한다. 먼저 방해받을 수 있는 기회를 식별한 다음, 프로세스를 더 빠르고 안전하게 개선하는 데 도움이 되는 방법을 찾는다. 

* Andy Ellis는 올카 시큐리티(Orca Security)의 자문 CISO다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.