트렌드

[동영상]보안 예산은 증액되는 데 보안 사고는 왜 늘까?

2008.11.13

시장 조사 업체인 IDC에 따르면 2001년 전체 IT 예산의 1.5% 수준이었던 1500만 달러의 정보보안 예산이 2006년 3.0% 정도인 3500만 달러에 이르렀고, 2009년에는 5.0% 수준인 5500만 달러에 다다를 것으로 보인다.

이런 보안 예산의 증가는 앞으로도 계속될 것으로 보인다.

그런데 왜 보안 사고는 계속해서 증가하고 있을까?

emcrasceo081111이런 물음에 대해 아서 W. 코비엘로 EMC 총괄부사장 겸 EMC RSA 정보보안 사업부 사장은 “현업과 보안 부서가 분리돼 있고, 리스크 관리 방식이 바뀌지 않았기 때문”이라는 진단을 내렸다.

통합된 관점에서 리스크 관리를 하지 않고 부서별 혹은 기술 위주로 접근하기 때문에 막대한 IT 투자를 단행하더라도 문제가 계속해서 생기고 있다는 설명이다.

유기적인 협력을 못하다보니 보안 부서는 다양한 기술을 적용해 ‘안된다’는 점을 강조하다보니 현업 부서의 업무 추진 속도나 떨어지면서 기업의 혁신 속도도 늦춰지는 문제에도 봉착하게 되는 상황이다. 보안 문제는 문제대로 해결하지 못하면서 ‘혁신’을 가로막아 기업 경쟁력 자체를 떨어뜨리는 상황에 직면하게 된 것.

이런 상황은 관련 업계 담당자들의 조사를 통해서도 쉽게 확인할 수 있다.

시장 조사 업체인 IDC가 전세계 200여 명의 최고경영진과 보안 전문가들을 대상으로 조사한 ‘비즈니스와 보안의 상관관계 보고서 (2008)’ 내용을 잠시 살펴보자.

IDC의 조사에 따르면 조사 대상자의 80%가 “자신이 소속된 조직에서 정보보안 문제가 기업의 혁신을 막고 있다”고 응답했다.

CEO의 80 %가 보안 부서가 기업의 성장과 혁신에 중요한 역할을 담당한다고 인식하는 반면, 보안 실무 담당자들의 44%만이 비즈니스 성장과 혁신 성과와 관련해 보안 담당자의 기여도를 충분히 인정받고 있다고 응답했다.

IDC 크리스 크리스찬스(Chris Christiansen) 부사장은 “기업의 ‘혁신’과 ‘보안’은 경쟁 관계가 아닌 상호보완적인 관계이다. 따라서, 비즈니스 혁신 초기 단계부터 IT를 적극적으로 연계하고, 보안 담당 부서에 대한 명확한 평가 체제를 적용하는 기업은 조직 전체의 사업 목표를 달성할 가능성이 훨씬 높아질 것”이라고 조언한다.

비즈니스의 혁신이 일정 수준의 정보 리스크를 동반하는 오늘날의 기업 환경에서 전통적인 방식으로 정보보안 리스크를 평가하는 것은 더 이상 의미가 없다는 것. 이제 단순 정보 보안에서 ‘정보 리스크 관리’로 IT 패러다임이 변화하는 가운데 보안은 리스크의 완화에서 한 발 더 나아가 비즈니스 성과 극대화에 초점을 맞춰야 한다고 이 보고서는 말해주고 있다.

emc081111

이 보고서는 시사하는 바가 크다.

리스크 기반의 보안 접근방식은 보안에 대한 시각을 기술적인 IT 분야에서 비즈니스와 컨설팅 관점으로 바라보게 한다. 정보 리스크 관리는 비즈니스와의 관계를 고려해야 하며, 다른 범주의 리스크가 무엇인지 파악하고, 그 영향력을 고려해야 한다. 따라서 정보위험관리(IRM)는 기업의 리스크 관리 프레임워크에 반드시 통합돼야 한다는 것.

결과적으로 성공적인 보안 전략 실행을 위해 필요한 요건은 보안과 관련한 투자와 의사결정을 내릴 때 기업 내 보안 리스크에 대한 인식이 기본적으로 있어야 하며, 임원진과 상위 리더십 그룹에서부터 리스크에 대한 지속적인 관심이 있어야 한다.

코비엘로 사장은 “최근 대두되고 있는 거버넌스와 리스크 관리, 규제와 관련된 이슈는 기업 내 정보최고책임자인 CIO 독자적으로는 처리할 수 없게 됐다. 이런 이슈는 경영진이나 이사회에서 다각도록 검토되고 결정돼야 하며, 규제 당국도 어떤 방향이 보안 사고를 막을 수 있을지 거시적인 시각이 필요하다”고 밝혔다.

코비엘로 사장은 솔루션 벤더 업체들과의 협력 필요성도 그 어느 때보다 커지고 있다고 설명하면서 마이크로소프트, 시스코, EMC, EMC의 RSA 사업부서간에 인프라 관리 분야에 손을 잡고 있다고 밝혔다.

지속적인 기술변화, 정부의 규제에 직면한 기업 고객들은 그럼 어떤 식으로 해법을 마련해야 할까? 코비엘로 사장은 ‘베스트프랙틱스에 대한 산업별 공유’ 전략을 들었다. 금융권에서 다양한 보안 협력이 이뤄지듯이 해당 분야의 산업계의 공통 전략을 마련하면서 빈 뜸을 조금씩 메워나가야 한다는 설명이다.

특히 최근 미국발 금융 위기와 관련해 그 힘이 커지고 있는 정부에 대해서는 쓴소리를 마다하지 않았다. 그는 “구체적인 기술 변화를 정부가 따라올 상황은 안된다”고 밝히고 “보안 사고가 발생했을 때 대응하는 권고와 가이드라인 제시선에서 머물러야 한다”고 목소리를 높였다.

그는 캘리포니아 주 정부의 사례를 참고 해 볼 수 있을 것이라고 전했다. 캘리포니아 주 정부는 소비자들의 개인 정보를 보유한 어떤 기업이던지 관련 정보가 유출되면 이 내용을 공시하도록 했다. 자사의 잘못을 빨리 알림으로써 회사가 망신쌀이 뻗치게 되고 이로 인해 기업의 가치가 하락하고 고객들의 신뢰가 떨어지는 상황에 직면해야 한다는 것.

코비엘로 사장은 “이 때문에 기업들은 사전에 관련 정보를 보호하기 위해 선제적인 투자를 알아서 진행하고 있다”고 밝혔다.

미국 연방금융회사검사위원회(FFIEC)는 2005년에 정보유출로 인해 은행이나 증권사에서 신원 도용으로 문제가 발생할 경우에 대비해 사용자 인증 문제를 철저히 할 것을 권고했다. 정부가 나서 디지털인증서나 일회용패스워드, 생체인식 장치 마련 등 세부적인 지시를 하지 않았다는 것. 하지만 결과적으로 금융회사들은 시장에서 검증된 기술들을 적용하면서 이런 문제를 미연에 방지해 오고 있다.

올해 유난히 개인정보 유출 문제가 많았던 우리나라 상황을 감안한다면 기업과 IT벤더, 정부가 머리를 맞대고 현명한 해법을 찾아야 할 시기임에 틀림없어 보인다.

emc081111-1

한편, 그는 끝으로 최근 다양한 분야에서 발생하고 있는 인수합병과 관련해서도 “고객의 핵심 정보를 보유한 회사를 인수할 때는 관련 정보에 대한 리스크 관리가 제대로 돼 있는지 살피고, 이런 문제를 해결할 수 있는 해법을 찾은 후에 진행해야 한다”고 조언했다.

무턱대고 인수했다가 해당 업체가 보유한 고객의 개인 정보가 유출되면 인수효과가 떨어지고 오히려 그로 인해 그 위험을 떠안아야 하기 때문이다.

[swfobj src=’http://flvr.pandora.tv/flv2pan/flvmovie.dll/userid=eyeball&prgid=33632963&lang=ko’ title=’userid=eyeball&prgid=33632963&lang=ko’] [swfobj src=’http://flvr.pandora.tv/flv2pan/flvmovie.dll/userid=eyeball&prgid=33633878&lang=ko’ title=’userid=eyeball&prgid=33633878&lang=ko’] [swfobj src=’http://flvr.pandora.tv/flv2pan/flvmovie.dll/userid=eyeball&prgid=33633918&lang=ko’ title=’userid=eyeball&prgid=33633918&lang=ko’]

eyeball@bloter.net

오랫동안 현장 소식을 전하고 싶은 소박한 꿈을 꿉니다. 현장에서 만나요.