[넋두리 3] 6. 정보보안 분야의 화두(6)

"보안의 빈곤선"을 넘어라

가수 윤하 씨가 불러 유명한 노래 중 "사건의 지평선"이란 노래가 있다. 영어로는 Event Horizon이라고 하는데 본래 블랙홀의 경계면을 뜻하는 용어로 일반 상대성 이론에서 나온 말이다.

정보보안분야에도 비슷한 느낌의 용어가 있는데 "보안의 빈곤선"이 그것으로 영어로는 CyberSecurity Poverty Line이라 쓴다. 이 용어가 중요한 이유는 "보안의 빈곤선"을 넘는 것이 기업과 기업에 속한 보안조직에게 무엇보다 중요한 화두이기 때문이다. 기업까지 포함해 표현한 이유는 이 용어가 보안조직의 감정적 업무 의욕 하락 및 정보보안 리더십 실종과도 연관되어 있기 때문이다.

"보안의 빈곤선"에 대한 정의는 전문가별로 조금씩 정의를 달리하고 있지만 공통적인 것이 있다. "보안의 빈곤선" 아래에 위치한 기업의 경우 광범위한 IT침해사고의 위험에 노출될 가능성이 높으며, 해킹으로 인한 피해 가능성이 크다는 것이다. "사건의 지평선"이 서로 영향을 끼치지 못하는 경계를 의미한다면, "보안의 빈곤선"은 기업 정보보안이 제대로 운영되기 위한 경계를 의미한다고 볼 수 있다.

중요한 점은 "보안의 빈곤선"이라는 용어 자체가 정성적 의미를 포함하고 있는 데다 경계에 대한 산정기준이 표준화되어 있지 않은 개념이라는 것이다. 기업의 규모, 사업형태, 조직규모, 기업문화, 인적관계, 복지 수준 등 기업 내부의 다양한 요소가 경계를 판단하는데 영향을 미칠 수 있어 획일화된 기준을 기업들에게 적용하기 어려운 것이 원인이다. 하지만 구체적 판단의 기준 없이 두리뭉실한 내용만으로 향후 계획을 수립하는 것은 기업에서 용인되기 어려운 법이다. 하여 그간의 경험과 우리(나라)의 현실을 고려해 경계 판단을 위한 5개 요소를 도출해 보았다.

1) 최고경영자의 참여도

최고경영자인 대표이사의 정보보안에 대한 관심과 참여는 무척 중요하다. 보안조직이 전사적인 지원을 얻어 보안활동을 수행하는 데 있어 중요한 동력이 되기 때문이다. 보안책임자의 대표이사 직접 보고 여부, 대표이사 직접 보고의 횟수 및 주기, 정보보안 중요 활동(또는 행사) 관련 대표이사 참석 여부 등을 통해 참여도를 평가할 수 있다. 만약 대표이사의 참여도가 낮거나 없다면 기업 내 정보보안조직의 위상과 관심이 낮음을 의미하며, 정보보안이 위험하다는 반증이다.

2) 보안책임자의 지위

정보보안조직의 리더이자 최고책임자인 CISO의 지위는 기업 내 보안조직의 위상과도 맞닿아 있다. 책임자의 지위가 너무 낮으면 타 부서와의 협의 과정에서 일방적으로 끌려다니며 충분히 제 의견을 내지 못하는 상황이 되기 십상이다. 이 경우 무리해서 의견을 내는 경우 불협화음과 충돌로 이어질 수 있으며, 대체로 위상이 낮은 보안조직에게 불리하게 작용된다. 만약 보안책임자의 지위가 임원이 아니라면 좋은 평가는 어렵다. 설사 임원이라고 해도 기업 내에서의 위상, 임원회의 참석 여부 등을 종합적으로 고려한 평가가 필요하다.

3) 급여 및 복지

직장인에게 있어 기업이 제공하는 급여와 복지 수준은 충성도를 결정하는 핵심요소다. 보안조직 구성원들도 직장인이므로 급여와 복지 만족도에 영향을 받는다. 설혹 다른 요소들이 다소 부족하여 업무수행이 조금 불편하더라도 급여와 복지 만족도가 높은 경우 묵묵히 감내하게 하는 역할을 한다. 반대로 급여가 낮거나 복지 수준이 낮으면 바로 보안조직의 이직으로 이어져 보안활동의 연속성이 깨지고 즉시 경계 이하로 떨어지게 된다. 시장에서 보안전문가에 대한 수요가 높을수록 큰 영향을 받는다.

4) 워라밸

보안업무는 시도 때도 없는 IT침해로 인한 위협경보로 인해 근무 불안정성이 높은 직무이다. 퇴근 후나 주말에도 해킹사고가 발생하거나 DDoS 공격 발생 시 출근하거나 자택에서 비상 대기 상태로 침해사고 현황을 감시해야만 한다. 이렇듯 편안한 일과 후, 주말을 보장하기 어려운 직무임에도 그에 따른 보상은 대체로 기대하기 어려운 것이 당면한 현실이다. 다시 말해 요즘 세대들이 요구하는 워라밸을 보장받기 어려운 직무인 셈이며, 젊은 세대들이 보안직무를 기피하는 이유이기도 하다. 보안업무 자동화 등의 적극적 도입을 통해 업무 효율화 및 편의성을 높이고, 충분한 보안인력을 채용해 일정 수준의 워라밸을 보장할 수 있어야 한다.

5) 보안설루션 도입 현황

기업의 사업분야나 규모에 따라 편차가 있지만 적절한 수준의 보안설루션들을 네트워크, 서버, 단말기 등 각 영역별로 배치하여 IT침해에 대비하고 있어야 한다. 보안설루션 도입 없이 IT침해를 차단하거나 예방하는 것은 기술적 관점에서 사실상 불가능하므로 도입되지 않은 영역만큼 외부 공격에 무방비로 노출된 것과 다름없고 그만큼 경계 이하로 떨어진 것을 뜻한다.

위 5개 각각의 요소를 100점 만점 기준으로 평가하여 어느 하나라도 60점 이하로 내려가 있다면, 경계 이하로 내려갔다고 판단하고 대응해야만 한다. 만약 60점 이하가 3개 이상이면 심각한 상황으로 보안조직이 항상 이직을 고려하고 있는 상태로 볼 수 있다.

만약 경계 이하의 상태가 오래 방치되는 상황이 발생한다면 기업과 보안조직 모두에게 치명적이다. 느슨하고 허술해진 보안상태로 인해 IT침해가 발생할 수 있고, 보안담당자들의 잦은 퇴사로 보안조직의 운영이 어려워져 정보보안 리더십이 무너지는 상황이 발생하게 된다. 이 결과는 고스란히 기업과 정보보안조직에게 참담하고 어려운 결과로 돌아와 회복하기 어려운 상처로 남을 수 있다.

정보보안 업무 평가에 있어 가장 보편화된 접근방식이 위험기반 접근방식이다. 현재 위험상태에 있는 요소들을 파악하고, 각 위험의 수준을 낮추어 안전한 상태로 변화시킴으로써 기업을 안전하게 보호하자는  방법이다.

"보안의 빈곤선"에도 동일한 접근방법이 적용된다. 때와 장소, 기업의 상황에 따라 각 요소의 위험은 낮아지기도 높아지기도 하면서 변화하게 마련이다. 그 변화를 수시로 파악하여 "보안의 빈곤선"을 넘는 상태를 유지할 수 있도록 대책을 마련하고 실행해야 한다.

안타까운 것은 "보안의 빈곤선"을 경계 이상으로 유지하기 위해서는 정보보안조직 혼자만의 노력으로는 불가능하다는 것이다. 반드시 기업 전체가 함께 노력해야만 가능하다. 정보보안조직이 기업 전체를 설득하기 위해 노력해야만 하는 안타깝고도 안타까운 이유가 바로 이것이다.

더욱 안타까운 것은 오랜 정보보안분야 경험에도 불구하고 5개 요소 모두 80점을 넘을 것으로 예상되는 기업이 떠오르지 않는다는 것이다.