<디지털데일리>는 기업 경영진과 IT관리자를 위한 정보보안 분야의 전문가 칼럼을 신설합니다.

잎으로 ‘CxO를 위한 정보보안’을 주제로 연재할 강은성 CISO랩 대표가 칼럼을 제공할 예정입니다. 강 대표는 안랩 연구소장과 시큐리티대응센터장을 거쳐 SK커뮤니케이션즈에서 최고정보보안책임자(CSO)를 역임한 전문가로써, IT·정보보호 분야의 깊이있는 경험을 바탕으로 기업에 정보보호 컨설팅과 교육 등을 수행하고 있습니다.

아무쪼록 앞으로 독자 여러분의 많은 관심을 부탁드립니다. 본 기고의 내용은 본지의 편집방향과는 무관합니다. <편집자주>

지난 8월 초에 미국 라스베이거스에서 열린 세계적인 해킹 컨퍼런스 데프콘(DEFCON)의 해킹 & 방어 대회인 CTF(Capture The Flag)에서 보안업체 라온시큐어 연구원, 고려대 정보보호대학원 학생, 미국 조지아공대 학생들이 연합해 만든 ‘DEFKOR’팀이 아시아에서는 처음으로 우승하는 쾌거를 이뤘다.

지난 몇 년 간 고객정보나 산업기밀의 유출, IT 인프라의 파괴 같은 보안사고가 기업의 평판위험, 재무위험, 법규위험에 영향을 미치면서 정보보안 위험이 전사적인 위험으로 대두되었다. 그에 따라 최근 많은 기업에서 정보보안 조직을 구성하고 ‘좋은’ 보안인력을 뽑으려 노력하고 있다. 기업의 경영진을 만나면 좋은 인력이 있으면 소개해 달라는 부탁을 받곤 한다.

그런데 경영진들이 보안인력에 관해 오해하는 게 있다. 흔히 보안전문가라고 하면 주로 ‘(화이트) 해커’를 생각한다는 것이다. CTF 같은 국제 행사뿐 아니라 정부나 대학에서 개최하는 각종 해킹(방어) 대회 같이 언론에 부각되는 일이 주로 화이트 해커가 하는 일이고, 정부에서 추진해 온 ‘차세대 보안리더 양성 프로그램’(Best of the Best) 같은 인력 양성 정책 역시 비슷한 방향이어서 그렇지 않을까 싶다.

하지만 기업의 정보보안 업무는 유·무선 웹 사이트나 모바일 앱의 보안 취약점 점검, IT인프라의 기술취약점 점검 같이 ‘해킹 (방어) 기술’이 필요한 업무에 국한되지 않는다. 보안위험 관리, 보안정책 및 지침 수립, 보안 프로세스 수립과 점검, 보안교육 및 캠페인, 전사 보안정책 추진과 커뮤니케이션, IT 부서 및 비 IT 부서와의 다양한 보안협업 등 보안업무는 전사에 걸쳐 있다.

예를 들어 임직원 퇴사 프로세스에서, 보안서약서 작성, 출입증 반납, 각종 시스템 계정과 PC 등 정보자산 반환과 처리(파기 또는 재사용을 위한 완전삭제), 기존 사용 자료의 백업 및 반출 통제 등 포함해야 할 보안 요소가 많다. CTF에서 우승한 해킹 전문가가 잘 할 수 있는 일이 아니다.

많이 나아지긴 했지만 아직도 보안인력 채용 공고에 ‘보안담당자’라는 이름으로 온갖 업무를 다 하는 ‘만병통치약’을 뽑으려는 경우를 종종 본다. 보안조직의 규모는 작고 일은 많은 경영 환경을 이해 못하는 바는 아니지만, 그걸 다 잘 하는 인력이 거의 없고, 어쩌다 그런 인력이 있다 하더라도 그런 공고를 보면 지원하지 않을 가능성이 높다.

지난 7월 초에 국내 최대의 정보보안 실무조직 협회인 한국침해사고대응팀협의회(CONCERT)와 함께 ‘정보보호 조직 운영역량 강화교육’을 진행했다. 교육 이름에 걸맞게 참여 대상을 정보보안 조직의 팀장이나 파트장, 고참 팀원으로 제한했고, 편하게 토론할 수 있는 분위기를 만들고자 인원도 20명으로 한정했다. 이틀 동안 16시간 진행하는 교육인데도 불구하고 일찍 마감이 됐고, 참으로 유익한 시간을 가졌다.

지식산업에서는 끊임없이 정보를 취득하고 지식과 경험을 쌓는 것이 중요하다. 정보보안 분야는 전형적인 지식산업이면서도 역설적으로 자신이 얻은 경험을 다른 이들과 공유하기가 편하지 않은 분야이다. 회사 정보보안 조직의 중추를 맡고 있는 실무책임자나 고참 실무자들이 이러한 교육에 목마른 이유이기도 하다. 교육에 참여한 이유로 “다른 회사에서는 어떻게 하고 있는지 알고 싶어서”를 꼽은 비율이 상위를 차지한 점도 보안의 이런 특성을 반영한다.

보안인력은 각종 네트워크 및 PC의 보안솔루션뿐 아니라 모바일, 클라우드, 빅데이터, 사물인터넷 같은 IT 인프라와 환경의 급속한 변화, 표적 공격과 망 분리 등 보안공격 및 대책의 발전, 최근 2~3년간 잦은 개정을 통해 강화되고 있는 정보보안 관련법과 규제를 파악해야 한다.

또한 조직문화, 인사제도, 협업, 커뮤니케이션, 핵심 성과지표(KPI), 투자와 성과 측정 등 기업의 일상적인 활동을 이해해야 한다. 회사의 보안위험을 최소화하기 위해서는 보안솔루션 구축뿐 아니라 IT 인프라 정책, 협력업체 관리, 인사 정책 등 다양한 분야에서 총체적인 대책이 필요하기 때문이다. ‘좋은 인력’ 역시 업무 경험, 교육과 학습, 정보와의 교류를 통해 양성된다.

내·외부에서 보안사고가 발생하면 외부 전문가나 단체 같은 인적 네트워크가 큰 도움이 된다. 보안담당 임원이었던 나의 학회나 협회 활동도 개인의 취미 생활쯤으로 여기는 경영진이 있었으니 팀장이나 실무자의 외부 활동을 탐탁지 않게 여기는 경영진이 많이 있을 것이다. 보안인력의 외부 활동은 개인의 관심과 자발성에 기초해 진행하지만, 회사를 위한 활동이라는 점 또한 인정해 줄 필요가 있다.

경영진이 정보보안 조직을 관리할 때의 몇 가지 팁을 드리면 다음과 같다.

첫째, 경영진이 보안조직의 목표를 정해 준다. 보안담당 임원이 있는 회사라면 임원들이 회사의 경영 환경에 맞춰 조직의 비전과 사업 목표를 잘 잡겠지만, 그렇지 못한 회사들이 많다. 기술을 몰라도 된다. 기업의 다른 위험과 마찬가지로 관심을 좀 기울이면 직관적으로도 보안위험을 알아낼 수 있다. 컴플라이언스도 잘 하고, 사고도 안 나게 하고, 임직원들의 불만이 나오지 않게 보안정책을 추진하고, 불만이 나오면 보안팀이 알아서 해결하라는 건 조직의 목표가 아니다. (의외로 이런 얘기를 듣는 보안조직이 많다.)

둘째, 정보보안 조직의 보고를 주기적으로 받는다. 사실 정보보안 조직을 만나면 보안 문제가 많다는 얘기만 잔뜩 하니 만나고 싶은 생각이 별로 들지 않는다. 기술적인 얘기는 알아듣기도 어렵고, 우선순위가 보이지 않는 경우도 있다. (보안조직이 반드시 바꿔야 할 업무 방식이다.) 그럼에도 불구하고 경영진이 보고받고 전사 각 조직이 해야 할 관련 업무를 조정, 지시하며 직접 챙기지 않으면 회사의 보안위험은 점점 커진다.

셋째, 보안조직을 개별적으로 챙겨준다. 정보보안 조직은 기본적으로 ‘음지’에서 일하는 조직이다. ‘작은 사고’를 잘 처리했다고 해서 공개적으로 칭찬할 수 없고, 사고가 있어서 휴일에 출근해서 힘들다고 대놓고 얘기하기도 어렵다. 이와 반대로 PC통제 같은 보안 정책을 전사적으로 공지하고 추진하는 일도 종종 있다 보니 임직원들이 좋아하지 않는 대표적 조직으로 꼽힌다. 고생하면서 동료들에게 욕먹는 조직 구성원의 사기가 높을 리 없다.

실제 CONCERT가 2011년 3월과 2012년 11월 두 차례 진행한 보안실무자 대상 설문조사에 따르면, 기회가 된다면 업무를 바꾸고 싶다는 응답이 각각 53.9%와 45.9%나 되었다. 잘 했거나 힘든 일이 있을 때 경영진이 직접 챙기고 지원하면서 동기부여를 할 필요가 있다.

지난 8월 11일과 12일 이틀 연속 중국이 위안화를 평가 절하함으로써 우리나라의 원화가 달러대비 크게 절하되어 많은 기업의 경영진들이 환 리스크 관리에 신경을 썼을 것이다. 보안위험(리스크) 역시 그러한 기업 리스크의 하나로 이해하고 대응하면 된다. 다만 보안 리스크는 우리가 알고 있지 못한 공격자가 있기 때문에 우리의 보안위험과 연관된 취약점을 살펴보고 그에 대한 대책을 수립, 시행해야 한다는 점에 차이가 있다. 올해 어려운 경영환경에서 아무쪼록 기업의 정보보안 리스크를 잘 관리하여 각 회사들이 지속적으로 성장하고 그 열매를 나누는 기쁨을 누리시기를 바란다.

<CISO랩 대표 강은성>