보안

글로벌 칼럼 | 가장 효과적인 보안 관리, "빠른 실패"

Bob Bragdon | CSO 2018.04.24
오늘날 기업의 보안 관리는 점점 더 복잡해지고 있다. 우선 보안 관리자가 처한 환경을 둘러보자. 알지 못하는 혹은 패치되지 않은 취약점, 자사의 시스템이 노출될지 모르는 레거시 기술, 보안팀을 거치지 않고 신속하게 채택되는 기업 내 신기술, 가장 위협적인 것으로 알려진 사용자 등이 도사리고 있다.

이는 시지푸스의 바위와도 같다. 바위를 겨우 언덕 위까지 올려놓지만 바닥으로 굴러 떨어져 다시 올려야 하는 상황에 봉착한다. 이 복잡한 위험 환경에서 보안 관리자는 어떤 방식을 취해야 할까.

현재 위협들은 그 목표가 계속 변하고 있지만, 이런 위험을 완화하는 방법도 있다. 2002년에는 기업에 보안 솔루션을 제공하는 공급업체가 730개였다. 현재는 1,600곳이 넘는다. 그래서 대부분의 기업 보안 팀은 어디서부터 시작해야 하는지 고심해야 할 정도로 수많은 선택지가 있다.

자사에 가장 적합한 옵션을 결정하는 것은 엄청나게 어려운 일이다. 모범 사례도 마찬가지다. 본지는 아주 오래 전부터 모범 사례를 기사화해 왔지만, 일반적으로 적용할 수 있는 것은 거의 없었다. 모범 사례는 해당 기업에게만 적합한 것이고 다른 기업에게 항상 들어맞지 않았다.

가장 큰 과제는 물론 어떤 일이 발생하더라도 일시 중지 버튼을 누르지 않아도 되는 것이다. 올바른 행동 방침이나 해서는 안되는 일을 파악하는 동안 기업은 중단되서는 안된다.

이상하게 들릴 수 있지만, 보안은 데브옵스(devops)와 같이 행동해야 할 필요가 있다. 솔루션을 개발하고, 배포하고, 관리하는 것을 동시에 해야 한다. 마치 도로 위를 주행하면서 자동차를 만들어야 한다. 그리고 빨리 실패할 필요가 있다.

선도적인 조직에서 가장 성공적이라고 응답한 사람들은 빠른 속도로 실패하겠다는 의지와 열의를 갖고 있었다. 사실 이것은 그들이 자사를 위한 효과적인 보안 환경을 구축하고 있다는 하나의 증거다.

빠른 실패는 자신들의 실수로부터 배우고 향후 유사한 실수를 피할 수 있으며 솔루션 배포의 전통적인 모델보다 훨씬 신속하게 위험을 해결할 수 있다.

빠른 실패는 조직이 전술적 태도에서 전략적인 것으로 전환할 수 있기 때문에 중요하다. 끊임없이 불을 끄는 것은 시간, 예산, 그리고 자원을 빨아먹는 행위다. 또한 자체 연구를 통해 보안에 대한 좀 더 전략적으로 보안 사고를 줄이고 시스템 중단시간을 줄이고 손실을 낮추는 등 중요한 이익을 얻을 수 있음을 알고 있다.

위험을 줄이기 위한 운전은 그 자체가 위험하다. 그러나 실패할까봐 이를 두려워한다면 가장 좋은 방법을 배우지 못한다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.