Offcanvas

CIO / How To / 리더십|조직관리 / 보안 / 훈련|교육

정보보안 최대 허점 : '교육·인식·예산' 부족

2015.03.23 Sharon Florentine  |  CIO

IT 스킬 갭 현상이 심각한 가운데 사이버 보안 분야에 있어서 스킬 갭은 기업을 위협할 만한 수준이라고 전문가들이 지적했다. 

모든 IT 기업들의 적이라 할 수 있는 스킬 갭은 ‘사람이 부족하다’라는 한 마디로 요약될 수 있다고 작가이자 월스트리트 저널 칼럼니스트인 개리 J. 비치는 진단했다. 그는 특히 사이버 보안이라는 측면에서 보면 스킬 갭은 그저 인사부의 골칫거리에서 나아가 대단히 위협적인 상태라고 강조하며, CIO들의 관심이 좀더 필요한 시점이라고 덧붙였다.

보안은 최고의 투자다
소셜 미디어 플랫폼 Sgrouples 창립자이자 MeWe.com의 CEO, 그리고 사이버 보안 및 프라이버시 전문가 마크 웨인스타인에 따르면, 기업 사이버 보안은 ‘잘 해도 티가 안 나지만 못 하면 금새 티가 나는’일 중의 하나다.

웨인스타인은 CIO들이 진짜 리스크와 위협 요소를 잘 설명하고 효과적인 투자를 이끌어내야 한다며 다음과 같이 강조했다.

“가장 큰 문제는 만일 보안을 제대로 하고 있을 경우 그 결과가 당장에 가시적이지 않다는 것이다. 보안이 잘 돼 있으니 보안 위협 사건이나 언론에 대서특필 될 정도의 데이터 유출 사건을 겪을 일도 없다. 그렇다면 좋은 것 아니냐 생각할 수도 있지만 그러다 보면 점점 더 보안 상태에 자만하게 되고 유능한 인재나 예방적 기술, 직원 교육 등에 투자를 줄이게 된다. 보안 위협이 어떻게 생성되고 진화하는지 이해하고 위험이 발생하기 전 선제적 대처를 하는 것이 중요하다.”

이러한 선제적 대응 활동에는 위협에 대한 효과적 커뮤니케이션과 기업 내 보안 우선순위 상향도 포함된다고 키스톤 어소시에이츠(Keystone Associates)의 매니징 파트너 일레인 버렐라스가 전했다. 그리고 여기에는 보안 전략의 비용과 효용에 대한 현실적인 평가도 들어가야 한다는 주문이다.

버렐라스는 “특히 보안 분야에 있어서는 더더욱 여기에 얼마나 많은 투자가 필요한지 잘 모르는 사람이 많다”라고 설명했다. 그에 따르면 CSO가 따로 있을 정도로 보안 문제에 대한 인식이 좋은 회사들의 경우 이 문제에 대해 선제적 대응을 하곤 한다. 그러나 그렇지 못한 회사들은 이 문제를 CIO에게 떠넘기곤 한다고 그는 진단했다.

그녀는 “싼 값에 인력을 고용하거나, 소프트웨어 예산을 깎거나, 직원 교육을 생략한다면 단기적으로는 보안 비용을 줄일 수 있다. 누군가 이에 대해 우려를 표하면 CEO들은 흔히 ‘CIO가 책임질 일'이라는 태도로 일관하곤 한다. 그렇지만 보안과 리스크, 위협에 대한 지속적인 주의는 한 명의 최고 책임자에게 모두 지울 수 있는 짐이 아니다. 회사 전반에 이에 대한 인식이 퍼져야만 한다”라고 말했다.

그녀에 '따르면 CIO들은 CFO와 함께 리스크-보상의 재정적 균형을 맞춰가는 한편 어떻게 최선의, 가장 안전한 의사 결정을 내릴지에 대해 모두가 이해할 수 있도록 노력해야 한다.

버렐라스는 “CIO는 누구나 이해할 수 있는 말로 현재 기업에 필요한 보안 수준을 전달할 수 있어야 한다. 보안 전략의 성과를 당장에 볼 수는 없더라도 그 전략이 효과적으로 작동하고 있으며 투자할 만한 가치가 있는 것임을 C 레벨 경영인들, 이사회, 매니저들, 말단 사원에 이르기까지 모두에게 설득해야 한다”라고 말했다.

교육과 트레이닝을 간과해선 안 된다
보안 전문가를 고용하는 것만으로는 충분하지 않다. 그렇게 고용한 인재들이 보안 분야의 최신 지식과 기술을 익힐 수 있도록 투자를 지속해야 한다.

웨인스타인은 “가끔 필요한 인재를 뽑아 놨으니 보안 문제는 저절로 해결되겠거니 생각하는 경영인들을 본다. 그렇지만 보안 문제는 그처럼 간단하지 않다. 적절한 인력을 고용하는 건 보안 대책의 절반만 한 것에 지나지 않는다. 이들을 지속적으로 교육하고 훈련시킬 때 진정한 의미에서의 보안이 가능하다. 컨퍼런스 참석, 교육 과정 및 워크샵에 지속적으로 투자할 수 있는 예산을 확보해야 한다. 작년에는 안전하게 지켜낸 자산이라 해도 올 해에도 안전하리란 보장은 없다. 단순히 월급의 문제가 아니라, 테크놀로지 너머에 있는 ‘브레인’에 지속적인 투자를 해야 한다”라고 말했다.

IT 및 사이버 보안 분야의 무료 MOOC(Massive Open Online Courses)를 제공하는 사이브러리(Cybrary)의 한 설문조사 결과에 따르면, 물론 보안 분야에서의 IT 트레이닝과 컴플라이언스, 거버넌스 스킬 등의 중요성은 많은 기업들이 이해하고 있다. 그러나 이들 중 대다수는 이런 교육에 들어가는 비용 앞에 마주했을 때 금새 포기하는 모습을 보였다.

추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.