brunch

브런치북 보안쟁이의 넋두리 2 15화
라이킷 11 댓글 공유

You can make anything
by writing

C.S.Lewis

프로젝트 리스트 바로가기
계정을 잊어버리셨나요?

[넋두리 2] 15. IT는 보안의 아킬레스건

누가 고양이 목에 방울을 달 것인가

기업에서 IT 침해사고가 발생하면 가장 바빠지는 조직은 정보보안 부서다. 침해사고 발생의 원인을 찾고, 조치를 하고, 외부대응을 하고, 보고를 하고, 사후 대응까지 책임져야 한다. 조치가 완료되면 제대로 조치가 되었는지 점검까지 수행한다. 조치를 위해 IT부서와 협력하지만 사고대응의 책임은 온전히 정보보안 부서에 있다. 즉, 침해사고 발생의 원인과 책임에 대한 문제를 오로지 정보보안에서만 찾고 있는 것이다. 여기서 가장 큰 오류가 발생한다. 정보보안이라는 분야의 특성이 고려되지 않아 발생하는 오류다.


정보보안은 홀로 나아가지 않는다. 많은 경우 IT와 함께 발맞추어 나아간다. 기업은 IT 도입을 위해 정보보안을 고려하지 정보보안 도입을 위해 IT를 고려하지는 않는다. 즉, IT의 문제점을 보강하기 위해 정보보안이 도입된다. 그러므로 정보보안의 기본 전제인 IT 기반이 얼마나 튼튼한가에 따라 정보보안의 수준과 작업량도 함께 결정된다. 이 IT 기반을 IT 거버넌스라고 표현한다.


건물을 지음에 있어 기반공사가 바로 되어야 외부의 거친 풍파에도 끄덕 없는 튼튼한 건물을 지을 수 있듯이 기업이 IT기술을 활용한 서비스 도입에 있어 기반공사 역할을 하는 것이 바로 IT 거버넌스의 도입이다. IT 거버넌스에 따라 도입된 IT 시스템들의 경우 뛰어난 정보보안 수준 유지가 용이하고, 각종 IT 과제 도입사업에도 효율적인 대응이 가능하다. 더불어 IT 침해사고 대응에도 효과적인데 문제의 원인을 파악하게 되면 바로 조치 대상 파악을 통한 일괄적인 조치가 가능하기 때문이다. 정보보안 컨설팅 수행 시 기업 정보보안 수준을 제대로 확인하려면 IT체계에 대한 점검 즉, IT 거버넌스가 제대로 구축되어 있는지에 대한 확인이 필요한 이유다. IT 거버넌스의 구축 없이 도입된 IT서비스란 튼튼한 뼈대를 마련하지 않고 지어진 건물과도 같아서 항시 외부의 환경변화와 침해에 취약할 수밖에 없다.


심각한 점은 대부분의 기업들이 IT 거버넌스의 구축 없이 IT서비스를 도입해왔다는 것이다. 기반 뼈대 공사를 수행하지 않고 IT사업들을 진행해온 것으로 내부에 부실함(취약점)을 안고 구축이 진행되어 왔음을 뜻한다. 이렇게 된 이유는 크게 두 가지 중 하나로 유추할 수 있다. 첫째, IT 거버넌스의 필요성과 존재를 몰랐기 때문일 수 있다. 둘째, 비용이 많이 들기 때문이다. 기업 혹은 그룹 IT사업의 기초/기반을 마련하는 것이니 제법 많은 비용이 요구되는 과제이다.


'문제가 된다면 고치면 되지'라는 간단한 해법이 있어 보인다. 안타깝게도 그렇지 않다. 뒤늦게 IT 거버넌스를 도입한다는 것은 두 가지 근본적인 문제를 가지고 있다.


첫째, IT 거버넌스 구축의 주관부서는 안타깝게도 정보보안조직이 아니다. CIO 및 CTO 조직이 과제의 주관부서이다. 관련 조직이 관심을 가지고 구축에 적극적으로 나서야만 실현 가능하다.


둘째, IT 거버넌스 구축이 결정된 순간 이미 개발되어 있던 IT시스템들에 대한 중장기적 개편 작업이 불가피하게 된다. 기준 없이 개발되어온 탓에 제각각인 시스템들을 기준에 맞추어 대대적으로 손봐야 하는 것으로 상당히 많은 예산이 필요하게 된다. 소 잃고 외양간 고치는 격이다.


이렇듯 IT의 기본 뼈대를 제대로 세우는 것은 정보보안의 체계를 바로 세우는 것과 서로 연관되어 있다. 하지만 안타깝게도 IT의 뼈대를 세우고자 노력한 기업은 많지 않고 그 부족함을 오로지 정보보안 조직의 노력과 희생으로만 채우려고 하는 것이 현실이다.


문득 정보보안 업계의 용감했고 한때는 젊었던 한 전문가에 대한 일화가 생각난다. 잦은 버그와 문제를 일으키는 보안제품을 담당하게 된 그는 당장의 문제 해결만을 요구하는 경영진에게 당당하게 소리쳤다. "물속에 시체가 있어 썩고 있는데 수면의 더러운 것만 떠낸다고 해결이 되겠습니까! 시체를 건져내야만 문제가 해결됩니다. 제품에 대한 근본적인 체계 손질이 필요합니다"라고 말이다. 그리고 경영진의 미움을 받았고 오랜 시간 동안 힘든 직장생활을 해야만 했다.


IT 거버넌스 구축 없이 시스템들을 개발해온 많은 기업들. 자! 누가 고양이 목에 방울을 달 것인가.

keyword
보안쟁이의 넋두리 2
보안쟁이의 넋두리 2 임홍철의 Insight 있는 삶
brunch book
전체 목차 보기 (총 17화)
임홍철의 Insight 있는 삶 IT 분야 크리에이터 소속 정보보안 직업 강연자

IT와 보안전문가. IT업무를 평생의 생업으로 삼고 살아가고 있습니다. IT 기술로 만드는 사람의, 사람에 의한, 사람을 위한 세상을 실현하고자 합니다.
구독자 114
이전 14화 [넋두리 2] 14. 보안문서와 기업문화
brunch book
$magazine.title

현재 글은 이 브런치북에
소속되어 있습니다.

작품 선택
키워드 선택 0 / 3 0
댓글여부
afliean
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari