본문 바로가기
  • (개인)정보보호/최신ICT 정보 공유 블로그
나의 서재/07. 보안으로 혁신하라

보안으로 혁신하라

by 노벰버맨 2021. 4. 10.

SK인포섹 신수정 교수님(대표님)의 '보안으로 혁신하라'를 읽게 되었습니다.

책 제목만 봐도 뭔가 궁금하게 만드는 책이었습니다.

보안에 관심있는 사람이라면 누구나 한번쯤 읽고 보안의 현상태에 대해서 공감할 수 있는 좋은 책인것 같습니다.

 

아래와 같이 책의 내용을 요약정리해 봤는데

 

결국 기본에 충실해야 하지 않을까 생각합니다. 

각 장에서 질문하는 내용들은 현재 우리 기관들의 보안 수준/상태에 대해 알 수 있는 충분히 공감이 가는 부분이었지만 그에 대한 해결방안에 대해서는 약간 이견이 있을 수도 있을 것같다는 생각이 들었습니다. 

우리는 너무 급하게 빨리빨리 효과가 나오기를 기대하는 심리 때문에 보안솔루션 도입에 집착하고 있지 않았나 생각되고 

보안은 보안담당자 뿐만 아니라 조직 전체가 같이 행동해야 한다는 부분에 많은 공감을 했습니다.

이제는 우리 내부를 돌아보고 무엇이 문제인지 조금 늦더라도 천천히 돌아가면서 주위를 봐야 하지 않을까 생각해 봤습니다.  물론 조직 전체가 함께

클라우드, 빅데이터, 스마트기기 등
앞으로 우리의 업무 환경을 변화시킬 중요 기술들에 대해서 거부하지 말고 꾸준히 관심을 가져야 한다고 생각합니다.  

 

===================================================================================

 

중소기업, 대기업에 상관없이 보안은 중요하다.

보안은 디폴트이다. 옵션이 아니다. 

보안은 회사의 매출/이익에 직접적으로 이익을 주지는 않는다. 하지만 보안이 잘못되면 회사의 이미지가 떨어지고 이익이 감소될 수 있고 보안이 잘되어 있다라는 인식을 고객이 가지면 회사의 이미지 전략에 이익이 될 수 있다.

때문에 최고경영자는 회사의 매출/이익을 챙기듯이 정기적으로 보안에 대해 관심을 가져야 한다.
단순히 보안담당자들에게 맡겨서는 안된다.

 

위험관리가 되어야 한다.
1) 보호할 대상을 정하고
2) 현재의 수준을 정확하게 파악한다.
3) 해커나 내부자들이 공격할 수 있는 다양한 위협 시나리오를 도출하고
4) 위협 시나리오의 발생 가능성과 발생 시 충격을 대략 산정해서 위험도를 도출한다.
5) 도출된 위험도를 기반으로 대응 전략(목표=레벨)을 수립/실천한다.
6) 그리고 테스트를 해서 현재 상태을 확인하고 부족한 부분들은 보완해 나가야 한다.
하지만 보안을 위한 보안이 되지 않도록 하고 단계별 보안을 적용한다.

 

기업의 투자여력, 타사와의 비교, 법률적 고려 등의 기준을 가지고 적극적으로 대응할 영역과 소극적으로 대응하거나 무시할 영역을 정의해 나간다.

 

기존에는
물리적, 관리적 조치보다 기술적 조치에 의존하는 경우가 많았는데 완벽한 솔루션은 없다.

다른 요소들(물리적, 관리적 방안들)과 결합하여 좀더 구조화된 보안 체계 구축이 필요하다.

앞으로는 균형 잡힌 체제 개발에 많은 기업/기관과 담당자들이 관심을 가져야 할 것 같다.


특정 분야(고객 서비스 부서 또는 연구소)에 ISMS를 적용하는 경우가 많았지만 이제는 전사적으로 적용해야 한다.

전사적인 보안관리 체계를 구축해야 한다.

 

아무리 지금 위험 관리를 잘했다고 해더라도 과거에 생각하지 못했던 취약성이나 위협의 발견으로 새로운 시나리오가 나올 수 있기 때문에 일회성으로 끝내지 말고 주기적으로 시행한다.
위험평가는 변경 발생 시마다 새로운 서비스, 시스템 도입시에 그리고 주기적으로 시행하는 것이 좋다.

 

보안 담당자는 사소한 공격 하나라도 놓치지 않고 적극적으로 대응해 나간다.

보안 담당자외에 조직의 구성원은 사소한 것 하나라도 의심되는 것이 있으면 신고를 해야 한다.

보안 사고를 막기 위해 초기 위험 감지 및 신속한 보고가 중요하다.


솔루션 도입보다 솔루션을 효율적/효과적으로 이용/운영하는 방안을 고민한다.

내부고발자에게는 적절한 포상을 하고 고발된 내용을 가지고 처벌하지 않고 실수를 교정하고 사고의 확대를 사전에 막는 수단으로 활용한다.

불시 감사보다는 주기적인 확인을 통해 인식 수준을 높여 나가고 참여도를 높인다.

 

보안은 보안부서(담당자)만이 하는 것이 아니다. 조직 전체의 참여가 필요하다. 

공격은 가장 약한 고리를 통해 발생할 가능성이 높기 때문에
CEO-CIO, CSO-보안책임자-담당자
서버 담당자, 개발자, 일반직원
협력업체 직원, 계약직 직원 등
예외를 두지 않고 맡은 업무/직책/책임에 맞춰 적절한 교육을 시행하고 교육된 내용을 확인한다.

협력업체와 관계사도 모두 대상에 포함시켜야 한다.

 

클라우드, 빅데이터, 스마트기기 등
앞으로 우리의 업무 환경을 변화시킬 주범들이다. 거부하지 말고 꾸준히 관심을 가지고 연구하고 준비해야 한다.

댓글

티스토리툴바