기업이 처하게 되는 여러 보안위협을 제대로 막기 위해서는 저마다 다른 위협의 우선순위를 분명히 정하고, 체계적으로 대응하는 전략이 필요하다는 의견이 제시됐다. 보안대응에 투자되는 비용, 시간 등이 한계가 있는 만큼 선택과 집중 전략이 중요해진다는 것이다.
국내서 주요 기업들 중 사이버공격에 노출되지 않은 곳을 찾기는 힘들다. 내부 임직원이나 협력업체 직원들을 통한 정보유출도 이미 오래된 얘기다.
문제는 각 기업들마다 중요한 자산이 다르고, 위협에 대한 우선순위가 다른데도 불구하고 여전히 많은 기업 경영자들이 보안솔루션을 도입하고, 보안관제를 통한 모니터링만 하면 위협을 완벽하게 막아낼 수 있는 것처럼 오해하는 경우가 많다는 점이다.
19일 메가뉴스 지디넷코리아가 서울 삼성동 코엑스 그랜드볼룸에서 개최한 '시큐리티 넥스트 컨퍼런스(SNC)'에서 발표를 맡은 KT 신수정 최고정보보호책임자(CISO)는 "끊임없이 변하는 보안위협에 대응하기 위해 기업들이 보안시스템에만 의존하거나 모니터링, 관제, 블랙리스트 방식으로는 한계가 있다"며 "기업마다 다른 위협의 우선순위를 정하고, 중요한 문제부터 체계적으로 해결해 나가야 한다"고 강조했다.
신 CISO가 KT 내부에서 경영진들과 커뮤니케이션하기 위해 사용하는 기본적인 프레임워크는 크게 해킹, 내부유출로 나눠진다. 이 중 해킹은 인터넷오픈사이트에 대한 해킹, APT공격으로 분류되며, 내부유출은 내부권한자를 통한 정보유출, 협력사를 통한 유출로 구분한다. 이를 통해 위협의 심각한 정도를 파악하고, 중요한 것을 우선 해결하는 방식을 취해야 한다는 설명이다.
체계적인 대응을 위해 그는 세 가지 기본 대응전략을 제시했다. 첫번째로 공격자가 어떤 방식으로든 1차적으로 내부 시스템을 뚫고 들어갈 수 있다는 한계를 인정해야한다는 것이다. 이를 인식하면 뚫리더라도 필요한 핵심정보가 빠져나가지 않도록, 빠져나가더라도 쓰지 못하도록 대책을 세워야한다는 설명이다.
신 CISO는 또한 "기존에 일부 IT나 보안담당자가 중심이 된 보안에서 비즈니스와 연계된 보안, 구성원 모두의 보안으로 가야한다"고 강조했다. 그는 "회사 내부에서도 초반에 구성원들에게 보안지침을 지키도록 하는데 어려움을 겪었었지만 지금은 보안인식이 많이 높아진 상황"이라며 "이닦는 습관을 들이게 하는 것처럼 처음에는 불편하더라도 나중에는 안 하면 찜찜하게 하는 것처럼 보안에 접근해야한다"고 밝혔다.
관련기사
- 글로벌 협업, 사이버 보안 혁신의 시작2015.08.19
- 게임, AI에 반하다…캐릭터 생성·시스템 개발 '전방위 활용'2024.05.03
- 네이버, 1분기 실적 ‘방긋’…"전열 재정비, 핵심 사업 강화"2024.05.03
- 당근이 채용할 때…"당신의 일 온도는 몇도인가요?”2024.05.03
무엇보다 중요한 것은 기업 경영진들에게 보안이 비즈니스에 직접적인 영향을 줄 수 있다는 점을 설득하는 작업이라고 신 CISO는 강조했다. 보안성을 높이는 과정에서 내부 자산이나 네트워크 서비스를 합리화해 보안전선을 좁히고, 관리에 드는 회사 비용도 절감할 수 있다는 점을 경영진들에게 설득할 필요가 있다는 것이다.
보다 실제적으로는 보안시스템을 도입을 검토하는데 6개월 이상 시간을 들이기보다는 제값을 주고 웬만한 솔루션을 적용한 뒤 얼마나 잘 운영하는지가 관건이라고 그는 덧붙였다.
