[넋두리 5] 8. 확대가 아닌 깊이가 필요하다

보안의 내적 성장이 필요한 때

‘성장’이 아닌 ‘깊이’를 고민해야 할 때이다.

주변에서 보면 이런 질문을 많이 한다. "아니, 우리 회사 규모로 봐서는 보안에 꽤 투자도 한 것 같은데 대체 왜 침해사고가 발생하는 겁니까?"라고. 그러면 이렇게 답을 해주곤 한다. "외적인 부분에만 투자를 했지 내적인 부분에는 투자를 하지 않아서 그렇습니다"라고 말이다.

많은 기업들에서 지금도 침해사고가 발생하고 있고, 대기업일수록 사고의 규모와 여파가 더 크게 발생한다. 이는 어찌 보면 당연한 것으로 해커들에게 맛있는 먹이인 고객정보 또는 기밀정보는 규모가 큰 기업들에게 더 많기 때문이다. 그리고 모순되게도 대기업일수록 보안조직의 규모도 더 크고 보안설루션 도입을 위한 투자도 더 많이 했음에도 침해사고는 또 발생한다.

아마도 위의 질문이 나온 이유는 그래서일 것이다. 보안전문가가 아닌 경영진의 입장에서는 사람도 뽑았고 보안제품도 이것저것 많이 사서 깔았는데 왜 계속 사고가 발생하는지 도무지 이해할 수 없는 것이다. 보안조직이 제대로 일을 하지 않는 것이 아닌가 의심도 들고, 사야 한다고 해서 결재해 준 그 많은 보안제품들은 제대로 동작하는 것이 맞는지 의혹도 생긴다.

그 결과 기업에서 침해사고가 발생하면, 일을 제대로 하는지 의심되는 CISO는 해고를 당하고, 보안조직은 그저 죄인 아닌 죄인으로 구석에 몰리게 되며, 추가 사고를 예방한다는 명목과 보여주기식 명분을 위해 갑작스러운 예산을 동원해 두서없이 대규모 보안제품들의 도입이 진행되는 악순환이 반복되는 것이다.

하지만 침해사고를 분석한 내용들을 살펴보면 공통적으로 나타나는 확실한 사실들이 있다. 대부분의 침해사고는 보안제품이 부족해서 발생한 것이 아니라는 것. 그리고 사전에 예방하거나 조기에 발견해서 사고의 확대를 방지할 수 있었음에도 대응의 황금시간을 놓치는 바람에 대형사고로 이어지게 되었다는 것이다.

보안조직을 수십 명 규모로 키워놨다고 보안의 수준이 저절로 향상되지는 않는다. 마찬가지로 기업 전체를 수십 개의 보안제품으로 도배했다고 보안의 수준이 향상되는 것도 아니다. 외적인 성장은 결코 기업의 안전을 보장하지 못한다.

아무리 많은 보안제품을 도입했어도 제대로 활용하지 못하면 무용지물이다. 제품들이 서로 소통하지 않고 각기 따로 움직이는 한 침해사고 예방에는 큰 도움이 되지 않는다. 따라서 이제는 정말 필요한 것이 무엇인지 진지한 고민이 필요하다.

보안조직의 규모가 작고 단지 몇 개의 보안제품만을 도입해 사용한다고 해서 그 기업의 보안 수준이 낮다고 평가하기는 어렵다. 오히려 보안의 기본에 충실하고, 보안조직이 보안제품을 잘 이해하고 이용하고 있다면 뛰어난 보안 수준을 이루어낼 수 있기 때문이다.

그동안은 외부에 보여주기 위한 보안의 외적인 성장에 치중해 왔다면 이제는 안으로 파고들어 성장해야 할 때이다. 깊이를 추구해야 할 때이다. '보안조직 구성원들의 보안기술에 대한 깊이', '도입한 보안제품에 대한 이해의 깊이', '기업이 진행하고 추구하는 사업에 대한 보안조직의 관심의 깊이', '임직원들의 보안에 대한 이해의 깊이', '해커에 대한 이해의 깊이'와 같은 것 말이다.

깊이에의 추구와 강요. 그것이 현재 보안에게 던져진 과제이자 나아가야 할 길이다.