Offcanvas

CSO / How To / 리더십|조직관리 / 보안 / 소프트스킬

블로그 | 사람? 프로세스? 기술? 보안 분야의 '정치적 올바름'과 '실제적 올바름'

2017.04.13 Ira Winkler  |  Computerworld
많은 전문가들은 IT 보안 세계에서 프로세스보다 사람이 중요하다고 말한다. 그러나 이는 실제로 올바른 표현이라기보다는 정치적으로 옳은 표현이다.

최근 ISACA 실리콘 밸리 지부 컨퍼런스에서 사회자가 데이터 누출과 관련해 "프로세스, 기술, 사람 중 보다 중요한 것이 무엇인가?"라고 물었습니다.

필자와 함께 참여한 동료 패널리스트(CISO 3 명과 숙련 된 컨설턴트 2 명)은 모두 "사람"이라고 대답했다. 의외의 대답이었다. 패널 중 유일한 인식 전문가(awareness specialist)였던 필자의 대답은 '프로세스'였다.

프로세스가 없다면 사람들은 무엇을 해야할지 모른다. 또 기술을 구현할 올바른 방법이 없다. 프로세스는 거버넌스를 통해 구현된다. 보안 관리 프로그램을 사용하지 않을 때 사고가 발생한다. 필자가 'Advanced Persistent Security'에서 강조한 내용이기도 하다.

거버넌스는 표준, 정책, 지침, 절차 및 기타 문서로 구성된다. 문서에 포함된 프로세스는 기술이 유지되는 방식을 정의한다. 사용자가 각각의 상황에서 어떻게 행동해야 하는지를 제시한다. 즉 프로세스는 조직 내에서 모든 것이 어떻게 작동하는지를 규정한다.

프로세스가 중요한 이유는 동작을 정의하지 않으면 사용자 동작이 임의적이기 때문이다. 일부 사용자는 안전하게 행동하겠지만 다른 일부는 그렇게 하지 않는다. 기술 유지 방법을 정의하지 않으면 일부 관리자는 해당 기술을 안전하게 관리하겠지만 그렇지 않은 이들도 나타난다. 보안과 관련해 사람에게 집중하기 전에 사람들이 행동하는 방식을 정확히 정의하는 것이 먼저인 이유다.

보안 인식 프로그램을 비효율적으로 만드는 가장 큰 문제점 중 하나는 공급 업체가 개발한 교육에 의존한다는 것이다. 공급 업체로부터 획득한 교육은 임의의 모범 사례를 다루지만 이러한 모범 사례는 각 조직이 직면한 위협에 적용되지 않을 수 있다. 더 나쁜 것은, 그러한 훈련은 2~3 분으로 제한되는 경향이 있는데, 이는 그 범위가 제한적이기나 내용이 효과적일 수 없다는 의미다.

거버넌스가 없으면 무작위로 기술을 구성해 유지 관리할 뿐만 아니라 예산 집행도 마찬가지로 무작위하게 진행된다. 또한 거버넌스는 필연적인 사용자 실패를 가정하는 방식으로 기술이 도입되도록 규정해야 한다.

필자는 대부분의 거버넌스 프로그램이 인식 프로그램보다 좋지 못하다는 사실을 전적으로 인정한다. 오늘날 많은 조직은 거버넌스가 감독자만 볼 수 있는 선반 위의 문서를 만드는 작업으로 구성되어 있다고 생각하곤 한다. 누군가 모범 사례 문서를 작성하지만 모범 사례 문서는 거의 검토되지 않고 이를 구현할 의도가 거의 없다.

사실 문서가 작성되도록 하는 추동력은 효과적인 보안 프로그램을 만드는 것이기보다는 컴플라이언스 준수를 쉽게 입 할 수 있도록 하는 것인 경우가 많다. 거버넌스의 완성도를 높이려는 경우에서도 모든 필수 거버넌스 문서가 개발되는 것은 아니기 때문에 그 내용이 불완전한 경우가 상당수다.

인식 프로그램은 모범 사례를 그저 제시하기보다는 거버넌스 문서에 명시된 행동에 대해 사람들에게 알리는 데 주력해야 한다. 위협 요인에 대해 상세히 설명하는 것이 아니다. 거버넌스가 제대로 완료된다면, 잘못된 행동으로 유도하려는 소셜 엔지니어링 공격에 접했을 때 직원은 절차를 따를 것이다.

사람들에게 문제를 강조하기에 앞서 전에, 당신은 사람들이 어떻게 행동하길 원하는지 구체적으로 알고 있어야 한다. 특히 사람들에게 원하는 바를 알리는 방법을 잘 알고 있어야 한다. 그것이 프로세스다. 프로세스-기술-사람 삼각형 구조에서 사람이 최우선이라고 말하는 것은 정치적으로 옳은 표현일 수 있지만, 현실적으로는 틀린 표현이다.

* Ira Winkler는 시큐어 멘템의 대표이자 CISSP로 'Advanced Persistent Security'의 저자다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.