Offcanvas

리더십|조직관리 / 모바일 / 보안 / 소비자IT / 신기술|미래 / 클라우드

CSO들이 말하는 진짜 보안 고민들

2013.08.14 Joan Goodchild  |  CSO


내가 좀 더 논의하고 싶은 주제는 BYOD/BYOx 트렌드다. 좀더 구체적으로 말하자면, BYOD/BYOx가 야기하는 환경 복잡성 증대의 문제다. 핵심은 데이터 접근 및 활용 과정이 의도한 방식대로 적절히 이뤄지도록 하기 위해 환경을 구성하는 모든 조각들을 어떻게 확인하고 관리할 지를 이해하는 것이다.

BYOD/BYOx에 있어선 하드웨어, 애플리케이션의 표준을 정립하는 것이 불가능하다. 이로 인해 환경 관리 및 통제, 보호 과정은 상당한 복잡성을 띠게 된다. 모바일 환경의 소개로 개별 모바일 사용자들은 이제 어떤 앱을 이용하고 어떻게 데이터를 이용할지 등의 여부를 스스로 통제할 수 있게 됐다. 난 사용자들이 제대로 된 지식 없이 IT나 보안 사업부의 통제를 우회해 로그 애플리케이션(rogue application)을 구동하는 모습을 종종 목격해 왔다. 기업 환경에서는 내부에서 어떤 것들이 어디에서, 어떻게 이용되고 있는지의 정보를 일정 수준 이상 확보하는 역량이 필요하다. 하지만 많은 기업들이 그저 모바일 기기 관리(MDM) 시스템만 도입하면 모든 문제가 해결된다 믿곤 한다. 절대 틀린 말이다. 모바일 환경의 변수는 너무나도 다양해서 지속적인 모니터링과 리스크 감시 노력 없이는 절대 통제할 수 없다.

Q. 지난 와이즈게이트 웨비나에서 논의된 ‘가장 과장된' 2013 년의 주요 IT 보안 위협들 가운데, IT 보안에 가장 영향력이 적은 이슈는 무엇인가?

맥크레이트 : 2013년도만큼 빠르게 BYOx가 구체화 되는 것을 본 적이 없다. 아마도 계획보다는 그 뒤에 있는 실행의 문제가 아닐까 한다. 엄밀히 말해, 보안 책임자와 관련된 몇몇 주요 이슈들(데이터 분리, 암호화, 네트워크 분할 등)을 해결할 수는 있지만 여전히 적절한 정책의 부재나 개인 기기 현장 지원 문제, 비용이나 배상과 관련된 의문점 들이 여전히 장애물로 남아 있다고 본다.

셰리 : 개인적인 의견이지만 카운터 어택은 과장된 측면이 있는 것 같다. 뿐만 아니라 이는 CISO의 과제로 보기에도 한계가 있는 것이 사실이다. 카운터 어택에 대한 대응 노력이 CISO의 역할에 어떤 가치를 제공해줄 만한 결과물로 이어졌다는 성공 스토리를 들은 적도 없다. 내가 보기에 카운터 어택 문제와 관련해서는 싸움에 뛰어들기보단 공격을 확인하고 저지할 테크놀로지와 시스템, 그리고 인력을 확보하는 것이 보다 좋은 방법이라 생각된다.

알렉산더 : 웨비나에서 이야기한 것들 중 가장 ‘과장된’ 위협은 보안 인식이라고 생각한다. 20년 전과 크게 달라진 것이 없다. 그나마 달라진 점이라면 우리는 아직도 훌륭한 보안 인식 프로그램을 어떻게 분명하게 전달할 지 모르고 있으며 부족한 프로그램들의 경우 어떻게 하면 사람들에게 자신의 행동을 인지하게 하고, 특정 행동을 통해 어떤 위협을 초래할 수 있으며, 또 그런 일이 ‘자신에게도 일어날 수 있음’을 인지하게 만드는 것이다.

이는 방법론이 우세하면서 보안업체가 제품을 추진해 나가는 한 예라고 생각한다. 결국 사람들의 컴퓨팅 습관을 바꾸는 것(아주 어려운 일이다)이 문제고, 앞으로도 쭉 그럴 것이다.

CISO들이 곤란해 하는 문제들 중 웨비나에서 논의하지 않은 문제는 어떤 것이 있는가?

맥크레이트 :
그런 걱정거리는 언제나 끊이지 않는다. 현재는 APT 조사로 이어질 수 있는 환경에 접근하려는 악성 소프트웨어의 출현이 그렇다. 데이터 유출과 데이터 보호 계획을 재평가하는 중이다. 최근 한 미디어에서 이런 재평가가 기업에게 악영향을 미칠 수 있다고 보도한 까닭에 여러 IT 보안 전문가들은 아직도 이런 문제를 생각하지 않을 수 없다.

셰리 : 법적, 제도적 규제 문제가 CISO의 역할에 영향을 미칠 것은 분명하다. 하지만 이 분야에서 내가 목격한 과장에는 나름의 타당성이 있다. 앞으로는 규제 데이터센터나 파일 스토리지 시스템을 만들게 될 것이라는 생각도 든다. FISMA, HIPAA 등등이 내세운 요구 사항을 만족 시킬 수 있을테니 말이다. CISO가 기업을 위해 가치를 창출할 수 있는 분야다.

알렉산더 : 나를 포함한 CISO들이 생각하는 가장 곤란한 문제는 지극히 기술적인 문제, 위협 요소를 어떻게 하면 비즈니스 리스크로 연결시켜 설명할 수 있을까 하는 것이다. 말로 하면 쉽지만 쉬운게 아니다. 간단한 예시만 들어 보자. IT 부서 직원에게 외부로 가는 포트를 모니터링 하고 막아서 봇이나 악성 애플리케이션으로부터 환경을 보호해야 한다고 말할 경우, 그 직원은 이를 이해할 것이다. 하지만 같은 말을 IT 지식이 없는 사람들이 이해할 수 있도록 비즈니스 용어로 바꿔 설명하는 건 쉽지 않다. 게다가 그것이 실제로 비즈니스와 관계 있음을 증명하는 건 더 힘들다. CISO는 기술적 리스크를 비즈니스 리스크로 옮기기 전 비즈니스의 목표, 동기, 그리고 프로세스를 이해하고 규정이나 컴플라이언스 요구에 쉽게 응하지 않아야 한다.

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.