IT/Security 전공 서적 100권 읽기를 시작하면서 2번째로 다시 읽은 책이다.
이제 보안산업에 입문한 직원에게 좋은 이야기를 해줄 내용을 찾던 중 오래 전에 읽었던 책을 보게 되었다.
지하철로 출퇴근하면서 틈틈히 읽게 된 서적
약 3주 정도 걸린듯하다.
유망직종으로써 관심 받고 있는 보안전문가(보안관리자)가 자신의 업무를 수행하는 방법과 필요한 지식에 대해서 기술한 책이다.
1, 2부로 나뉘어 있으며
1부는 보안관리자(전문가)로써 갖추어야 할 13가지 덕목들에 대해서
2부는 보안 전문가로써 수행해야 할 보안 업무의 내용이 정리된 도서이다.
보안에 갖 입문한 초보 뿐만 아니라 기존에 보안 업무를 수행하고 있는 담당자 또는 전문가들도 한번 정도는 읽고 참고할 만한 도서인것 같다.
==============================================================
'이끄는 보안, 이끌리는 보안' (이상호 저) 이라는 책을 읽고 1부의 내용을 정리해 봤다.
01. 커뮤니케이션은 보안에서 더욱 필요하다
우리는 업무와 관련된 대화에서 OOO의 요청에 대해서
" ~이유로 지원할 수 (또는 개발할 수) 없습니다." 또는 "무엇 때문에 필요한 겁니까? 검토가 필요합니다."라는 답변을 한다.
대화 상대방은 부정적인 인상을 받게 되는 경우가 많다.
올바른 커뮤니케이션을 위해 우리 자신의 입장과 상대방의 입장을 서로 다른 시각에서 살펴볼 필요가 있다.
우리는 업무를 수행하는 과정 중에 다음과 같은 생각과 태도를 가질 수 있다.
첫째, 상대방이 업무적으로 요청한 내용이 모두 자신의 권한 범위 내에 있다.
둘째, 자신이 의도하는데로 통제될 수 있다.
셋째, 상대방이 해당 업무에 대해서 잘 모른다고 생각하여 무의식적으로 무시하거나 일방적인 행동을 할 수도 있다.
넷째, 업무와 관계가 없음에도 사람을 통제할 수 있다.
이런 태도를 가진다면 커뮤니케이션에서 갈등과 마찰이 발생하고 상대방과의 이해관계가 악화될 수 있다.
상대방의 요청이 업무적으로 필요한 것인지? 아니면 개인적인 것인지?
업무에 필요하다면 구체적으로 어떤 사항을 요청하는 것인지 확인이 필요하다.
상대방이 충분히 설명하도록 배려한 후에
요청사항에 대해서 권고사항을 이야기하거나 "한번 확인해 보겠습니다."라고 시간을 벌 수 있다.
시간을 버는 것은 사안에 따라서 충분한 고민을 하기 위한 부분도 있지만 상대방을 존중하고 배려하는 모습을 보이기 위한 부분도 있다.
잘못된 커뮤니케이션은 아무리 좋은 정책과 프로세스가 있더라도 자신의 의도와 정반대의 결과를 초래할 수 있다.
상대방의 의견을 경청하고, 상대방에게 충분한 설명을 제공하여
상대방이 이해할 수 있도록 배려하는 것이다.
02. 타협과 양보 & 신념과 믿음
보안업무 처리과정에서 아무리 커뮤니케이션을 잘한다고 하더라도 마찰은 끊임없이 발생할 수 밖에 없다.
마찰을 줄이기 위해 커뮤니케이션 스킬이 필요하지만 보안과 직접적으로 관련된 부분에 대해선 타협과 양보가 있을 수 없다.
예를 들어 새로운 시스템을 개발하고 오픈이 가까운 시점에서 보안 이슈가 있을 경우 보안 담당자는 다음과 같은 선택의 기로에 놓이게 된다.
첫째, 일정을 조정하여 오픈 전에 일부 보안 취약점을 해결하는 방안
둘째, 우선 오픈한 후에 취약점을 개선하는 방안
셋째, 모든 취약점을 개선한 후 시스템을 오픈하는 방안
보안 담당자는 해당 담당자와 보안과 관련된 취약한 부분을 충분히 설명/협의하고 시스템 개선을 해야 한다. 하지만 상대방이 계속해서 주장을 굽히지 않을 때 보안 쪽에서는 새로운 시스템에 대해서 더 이상 지원할 수 없음을 밝혀야 한다.(세번째 방안)
이렇게 될 경우, 양쪽은 큰 불만을 표출하게 되고 마음의 상처도 받을 수 있다.
때문에 상대방도 본연의 업무를 충실히 하기 위해 노력하고 있음을 인정하고 개인 감정을 최대한 배제하여 상처를 주지 않도록 노력해야 한다.
어찌 되었든 보안담당자의 의지대로 첫째 또는 둘째 방안으로 진행될 것이다.
보안담당자는 감정적으로 일을 처리하지 않도록 주의하고
보안 업무에 있어 자신이 맡고 있는 일에 대해 믿음과 신념, 배짱이 필요하다.
그리고 적절한 타협과 양보를 끌어낼 수 있는 커뮤니케이션 스킬이 필요하다.
03. 상대방 인정
앞에서 오해로 인한 마찰과 갈등을 줄이기 위해 커뮤니케이션을 강조했다.
커뮤니케이션을 잘한다고 하더라도 마찰과 갈등을 완벽하게 없앨 수는 없으며
어느 조직에서나 마찰과 갈등은 존재한다.
마찰과 갈등은 자연스러운 현상이다.
업무 협의 중에 창과 방패와 같은 관계를 통해 마찰과 갈등이 발생할 수 있으며
이러한 과정 중에 상대방에게 상처를 주어서는 안된다.
1) 상대방의 이야기 경청하기
나와 생각이 다르더라도 끝까지 이야기를 경청해야 한다.
중간에 말이 끊긴다면 그 시점까지의 내용만 파악되고 뒷부분의 내용은 파악하지 못하게 된다.
그 뒷부분에 중요한 내용이 포함되어 있어 상대방이 이야기를 하지 못해 엉뚱한 부분으로 논쟁이 발전할 수 있기 때문이다.
2) 상대방을 고려하여 명확하게 설명하기
보안담당자에게는 보안과 관련된 내용은 상식이지만 상대방에게는 그렇지 않다.
자신과 관련된 이야기를 하게 되면 마치 전체를 부정하는 것처럼 들릴 수 있다.
때문에 보안담당자는 상대방을 고려하면서 자신의 주장을 명확하게 설명할 수 있어야 한다.
3) 마찰과 갈등이 있더라도 상대방의 감정을 건드리지 않기
자칫 잘못하면 인간적인 관계와 업무적인 관계가 모두 끊길 수 있기 때문에
4) 상대방의 업무를 이해하고 인정하기
보안과 관련해서는 일부 문제가 있다고 하더라도 상대방의 업무 전체를 부정하거나 무시해서는 안된다.
04. 정보 수집
수집된 정보는 상황에 따라 침해사고 및 대응관리 등에 직접 영향을 미치는 민감한 부분이다.
때문에 적절한 시기와 방법으로 이를 적극적으로 활용할 수 있어야 한다.
보안분야에서의 이슈는 아래와 같은 것들이 예가 될 수 있다.
최근 보안 기술 동향은 무엇인지?
정보 유출 사고 또는 침해 사고가 있었는지?
심각하고 중대한 바이러스가 출현했는지?
긴급보안패치가 발표되었는지?
회사에서 보안과 관련된 장애 및 문제는 없는지? 있다면 어떤 대책이 필요한지?
05. 적극적이고 열정적으로 일하기
보안담당자의 성향이 소극적이냐 적극적이냐 또는 열정이 있느냐 없느냐에 따라 그 조직 내 보안의 운명이 결정될 수 있다.
보안을 처음 접하는 보안담당자는 열정과 적극성은 충만하지만 실제 무엇을 해야 할지 모르는 상황들이 스트레스가 될 수 있으며
이 때문에 보안업무에 흥미를 잃어버릴 수도 있다.
보람은 누가 대신 채워주는 것이 아니다.
작은 일부터 시작하여 일을 끝까지 마무리하는 과정에서 보람을 느끼는 것도 좋은 방법이다.
06. 100% 완벽한 보안은 없다.
앨빈토플러는 향후 국가가 지배하는 세상이 아닌 기업이 지배하는 세상이 도래한다고 했다.
국가가 걷는 세금보다 더 큰 부를 소유한다는 의미이다.
기업은 점점 더 대형화되고 있다.
이런 상황에서 기업 내 IT분야는 비즈니스를 지원하는 가장 기본적인 환경이 되었다.
하지만 IT분야는 핵심이 아닌 부속품과 같은 대접을 받고 있다. 상대적으로 돈을 사용하는 부서로 인식하고 있다.
경영진은 보안에 왜 투자를 해야하는지, 그것을 투자하면 무엇이 좋아지는지, 당장 그 성과를 볼 수 있는지에 관심을 가지고 있다.
하지만 보안담당자는 당장 문제가 되지는 않지만 향후 발생될 수 있는 문제점/사고를 최소화하거나 발생하지 않도록 하는 것에 관심을 가지고 있다.
어떤 보안 영역에 문제가 있어 보안솔루션을 도입하기 위해 경영진에게 보고할 때 경영진은 도입하는 솔루션이 만능이하고 생각할 수 있다. 얼마 지나지 않아 다른 솔루션을 도입해야 한다고 하면 지난 번에 산것은 뭐지? 언제까지 계속 투자를 해야하지? 라는 생각을 가질 수 있다.
보안은 관리적인 환경에 기술적인 부분이 적절히 조합되어야 그 효과를 제대로 발휘할 수 있다.
관리적인 부분이 견고하게 구성된 후에 기술적인 부분을 통해 부족한 부분을 채워야 한다.
경영진으로부터 100%가 아님을 인지시키면서 계속 투자를 끌어낼 수 있는 방법은 보안 로드맵을 제시하는 것이다.
전체 그림을 보여주고 개선하고자하는 영역에 대해 100%는 아니지만 발생 가능한 리스크를 최소화할 수 있는 방안과
어떤 정책으로 관리할 것인지, 또 어떤 기대효과를 가져올 수 있는지가 충분히 설명되여야 한다.
중장기 계획을 통해 향후 어떻게 보안을 개선할 것인지에 대해 보고하고 지속적인 믿음과 신뢰를 쌓도록 노력해야 한다.
07. 도덕적인 마인드를 가져라.
보안담당자는 업무 특성에서 주어지는 고유 특권을 보유하고 있다.
각 중요 시스템에 대한 마스터 권한
조직 내 보안 시스템을 직접 관리하거나 별도의 운영 담당자가 있어 관리하는 경우
악의적인 목적으로 사용될 경우 조직에 심각한 영향을 끼칠 수 있다.
보안담당자는 윤리적 책임과 도덕적 마인드를 가지고 권한을 남용하지 않아야 한다.
보안담당자는 조직 내에서 상호 견제 원리에 의해 통제된다.
사수, 부서장, 감사부서 등
08. 인적자원 네트워크 형성하기
내부 전문가
업무로 인한 마찰을 최소화하기 위해 상대방을 인정하고 배려해야 한다.
그래야만이 유형, 무형의 정보를 제공받을 수 있고 업무가 수월해질 수 있다.
또한 보안담당자가 고민하는 부분을 같이 고민하게 되어 문제가 쉽게 해결될 수도 있다.
외부 전문가
주변에 해당 분야(서버, 네트워크, 개발, DB 등)에 대한 전문가들이 많으면 양질의 정보를 얻을 수 있는 기회가 많아진다.
그러기 위해서는 자신도 보안 영역부분에 대해서 전문가가 되어야 한다.
한명의 사람이 가질 수 있는 지식은 제한되어 있다.
자신이 관심을 가지고 있는 부분은 전문적으로 깊이 있게 연구하고
다른 지식이나 경험에 대해서는 주위 전문가들에게 의뢰하여 좋은 방안을 찾도록 해야 한다.
그래서 해당분야의 전문가가 누구인지 항상 인지하고 있어야 한다.
09. 인터뷰 활용하기
업무 중에 의사결정의 순간들이 많다.
의사결정을 한다는 것은 어떤 상황에 대한 판단을 근거로 결정을 한다는 것이다.
판단은 결과를 예측하고 이에 대한 리스크를 파악하는 것이다.
보안담당자는 업무과정에서 많은 의사결정을 하게 되며
이 과정에서 자신의 의지와 소신에 따라 판단을 하게 된다.
의사결정을 할때 잘못된 판단을 하는 경우
1) 해당 분야에 대한 정보나 지식이 부족한 경우
2) 시간이 부족하여 충분히 판단하지 못한 경우
3) 주관적인 판단의 오류로 인한 경우
신속한 의사결정이 필요한 경우 위의 원인들로 인해 잘못된 판단을 할 확률이 높아진다.
주관적인 판단은 자기가 경험하고 인지하고 있는 지식을 통해 판단하려는 성향에서 발생한다.(독단과 독선)
주관적인 판단의 오류를 막기 위해서는 주변의 다양한 경험과 지식을 활용해야 한다.
이를 위해 인터뷰를 활용한다.
10. 조직 문화 이해, 보안 정책 구현
보안 업무를 원활히 수행하기 위해서는 조직의 문화를 이해해야 한다.
이유는 조직 내의 관습과 법규가 보안 업무에 영향을 주기 때문이다.
문화와 정서를 고려하지 않고 보안정책을 시행하면 충돌이 발생하게 되고
좋은 평가을 받을 수 없다.
조직의 문화에 보안이 유연하게 적응하기 위해 고려해야 할 요소
1) 사용자의 업무 효율성 및 생산성 고려
2) 보안 정책의 일관성 유지
3) 서비스 안정성 고려
4) 보안정책 적용 시 수위조절
5) 보안정책 적용시기 고려
11. 내, 외부 환경 변화에 따라 지속적인 관리 필요
관리 항목
1) 외부 환경 관리
2) 보안 정책 이행 관리
3) 조직 내 보안 관리
4) 보안솔루션 연계 관리
항목을 별로 없지만 실제 검토해야할 사항은 간단하지 않다.
단답형으로 대답이 나오는 것도 아니다.
주변 보안전문가와 대화
유사조직과 벤치마킹
언론 또는 매체 및 보안전문기관의 보안 동향등 다양한 정보 획득
획득된 정보 분석을 통해 해답을 찾을 수 있는데
1년 이상 소요되는 것은 의미가 없다. 적절한 시기내에 찾을 수 있어야 한다.
표준화된 정답은 없고 최적의 방안만이 있다.
보안담당자는 문제를 해결하기 위해 자신에게 주어진 모든 역량을 집중하여 다양한 경로를 정보를 수집하고 그 결과를 토대로 판단을 하여 대응방안을 마련한다.
중요한 것은 이런 과정이 일회성을 끝나지 않고 주기적으로 사이클 관리가 되어야 한다.
주변 상황은 상시 변화한다. 때문에 관리되어져야 할 사항들도 변하게 된다.
12. 자신의 브랜드 만들기
스페셜리스트 되기
보안이라는 말이 나오면 자신의 이름이 연상되도록 해야 한다.
물론 좋은 의미로써
13. 3 Tier 구조
IT, 보안, 비즈니스 분야는 서로 다른 업무성격과 특성을 가지고 있어 서로 고려하지 않고 업무를 수행하는 경우가 많았다.
하지만 최근에는 서로 고유영역만을 고집할 수 없는 상태가 되고 있다.
기본 구조는 유지되어야 하지만 타 영역에서 일어나고 있는 일들을 이해해야 하며 유기적인 협조체제가 필요하다.
보안 분야에서는 IT와 비즈니스를 모두 수용할 수 있는 보안관리체계를 만들어야 한다.
IT 분야에서는 향후 조직에서 나아가야 할 비즈니스를 적극 지원할 수 있도록 관련 인프라를 마련하기 위한 노력이 필요하고
보안에서 추구하는 보안 권고 및 의무사항들을 충분히 반영해야 한다.
비즈니스분야는 IT와 보안영역을 이해하고 비즈니스에 활용해야 한다.
댓글