[보안칼럼]보안 컨설팅의 필요성과 실효성

최호 2022. 9. 27. 16:01
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

많은 기업과 기관에서 보안 강화를 위해 돈·인력·시간을 투자하지만 계속해서 보안사고가 발생하는 게 현실이다. 기업은 보안사고를 통한 개인정보 또는 사업 데이터 유출로 막대한 피해가 나는 동시에 과징금 등 제재를 받기도 한다.

이렇게 피해 규모가 큰 보안사고를 예방하기 위하여 정보보호관리체계 수립, 취약점 식별 등 보안 개선을 위한 일련의 활동을 지원하는 것이 보안 컨설팅이다.

보안 컨설팅은 '전문 보안 지식과 경험을 바탕으로 다양한 사이버 위협에서 기업·기관의 정보자산을 보호하는 서비스'로 정의할 수 있다.

보안컨설팅을 받는 목적은 크게 두 가지다. 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)과 같은 규제 대응, 취약점 진단을 통해 보안취약점을 식별하기 위함이다. 법적 준거성 만족을 위한 경우는 반드시 연 1회 이상 보안컨설팅을 수행하고, 주로 외부 전문기업(정보보호전문서비스기업 등)을 통해 실시한다.

두 번째 목적의 경우 내부 전문가를 통해 수행하기도 하지만 취약점 진단을 수행하는 전문인력 확보와 비용 등의 지속적인 투자가 필요하며, 코로나 팬데믹 이후 IT 인력 부족과 검증된 전문인력 확보가 쉽지 않은 것이 현실이다. 따라서 외부 전문가의 전문지식과 경험을 활용한 보안컨설팅이 정보보안 인력과 전문지식의 부족, 내부 정보보호관리체계의 부재 및 수립 요구 시 등에 대한 적절한 대안이 될 수 있다.

제3자 시각에서 정확한 진단과 평가 수행으로 기업 및 기관의 정보보호 수준을 측정하고, 도출된 취약점의 개선으로 보안사고를 예방하며, 보안 수준을 높여서 안전한 운영 환경을 도모할 수 있다.

또한 보안 컨설팅은 취약점 진단과 더불어 정보보호관리체계를 유지하기 위한 정보보호 전문교육(취약점 조치 기술 지원 및 진단 기법 전수 등), 내부 정책·지침의 개정, 침해 및 장애 대응훈련 등의 지원을 통해 사고 예방과 대응적인 측면의 활동을 강화한다.

종합하면 보안 컨설팅은 정보보호관리체계의 수립과 지속적 관리 프로세스를 구축·유지하는 활동을 지원한다. 컨설팅을 받은 조직은 이를 통해 정보보호 수준 향상과 보안사고 발생 시 신속한 대응 및 조치로 안정적인 서비스 운영 및 신뢰성 향상이라는 결과를 기대할 수 있다.

그러나 이러한 정보보호 업무에서 핵심은 경영진의 지속적 관심이다. 아무리 좋은 보안컨설팅을 받고 정보보호에 투자하더라도 경영진의 지속적 관심과 의지 없이는 조직의 정보보호 역량은 강화되기 어려울 것이다.

몇 년 전의 일이다. 관련 분야에서 국내 시장점유율 1, 2위를 다투는 제조업 회사 대상으로 취약점 진단을 수행했다. 발견된 취약점에 대한 적절한 조치를 이행하기 위해 고객사의 각 업무 담당자들 및 해당 팀장들이 참석하는 진단결과 설명회가 열렸다.

각 업무 담당자는 매년 주기적 진단을 통해 도출되는 취약점의 내용을 인지하고 있었으며, 제조업의 특성상 조치가 불가능하다고 생각하고 있었다.

설명회를 시작하고 얼마 있지 않아 정보보호 담당 임원이 입장했다. 예정에 없던 갑작스러운 방문이었다. 설명회가 끝난 후 그 임원은 각 업무 담당자에게 질문했다.

질문의 요지는 매년 큰 비용을 들여서 취약점을 점검하는데 왜 사고가 발생하냐는 것이었다.

이에 각 업무 담당자는 제조업 특성상 운영시스템의 수정이 어렵기 때문이라고 답했다.

임원은 취약점에 대한 조치와 조치 불가능한 취약점에 대해 플랜B를 수립할 것을 주문했다.

2개월 뒤 이행점검을 들어갔을 때 놀랍게도 취약점 대부분이 거의 조치되었고, 조치 불가능한 부분은 플랜B가 수립돼 이행점검 결과 보고에 반영되어 있었다.

이는 보안 컨설팅과 임원의 보안 마인드가 조직의 보안 역량 강화로 이어진 사례에 해당한다.

이 일을 계기로 한국통신인터넷기술의 보안컨설팅 조직은 경영진의 보안에 대한 관심과 의지가 그 조직의 정보보호 역량의 필수 요소라고 확신하게 됐다.

보안 컨설팅은 외부 전문가의 역량과 경험의 활용 측면뿐만 아니라 조직의 보안에 대한 제3자의 객관적 시각에서 조직의 보안 역량 강화를 위해 필요하다. 그러나 이러한 보안 컨설팅은 경영진의 지속적인 관심과 의지 없이는 그 실효성을 거두기 어렵다. 그러므로 보안 컨설팅의 결과물을 통해 경영진의 관심을 끌어내는 것이 보안컨설턴트의 과제이기도 할 것이다.

이민수 한국통신인터넷기술 대표 mslee@ictis.kr

Copyright © 전자신문. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
전자신문에서 직접 확인하세요. 해당 언론사로 이동합니다.