네트워크 팀과 보안 팀 간의 협업 강화하기

Network World
팀 캘러헌이 4년 전 애플랙(Aflac)에 CISO로 영입될 당시 이 회사의 엔터프라이즈 보안은 인프라 팀과 밀접하게 연계된 상태였다.

CIO로서 캘러헌이 처음 요청한 사항 중 하나는 보안을 보안 자체 그룹으로 분리해 달라는 것이다. 캘러헌은 이 문화의 변화가 쉽지 않았지만, 이러한 구분이 실제로 더 나은 협업으로 이어졌다고 전했다. 캘러헌은 “네트워킹과 보안은 개별적인 역할이다. 이 둘을 하나의 그룹으로 섞는 것은 위험한 조처”라며, “보험은 엄격한 규제를 받는 산업이므로 업무의 분할을 입증해야 할 필요가 있다”고 말했다.

ⓒ GettyImagesBank

숙련된 보안 전문가 인재 풀이 줄어들고 있는 마당에 보안 팀의 분리는 보안 책임자 관점에서 결코 쉽지 않은 일이다. 분석 업체 ESG에 따르면, 설문 조사에서 조직에서 사이버 보안 인력 부족이 문제가 되고 있다고 응답한 IT 전문가의 비율은 2014년 23%에서 2018년 51%로 늘었다.

그러나 캘러헌은 각 팀의 목표, 그리고 팀원에게 부여되는 역할과 책임을 명확히 전파하고 혁신과 자동화를 활용해 인적 자원을 보완한다면 성공적으로 두 팀으로 재구성할 수 있다고 말했다.

애플랙에서 보안 팀은 환경을 모니터링하고 공격과 취약점을 알리고 표준과 규약을 정립하는 일을 담당한다. 캘러헌은 “강력한 취약점 관리 프로그램을 통해 위험을 파악한 다음 네트워크 팀이 따를 교정 작업의 우선순위를 정한다. 경계를 명확히 하면 서로의 직무에 대한 존중이 촉진되고 전체적으로 더 건강한 환경을 구축할 수 있다”고 강조했다.

애플랙 보안 팀은 책임 할당 매트릭스(Responsibility Assignment Matrix)를 사용해서 프로젝트 라이프사이클의 다양한 단계에서 참가자들의 책임 및 의무와 함께 각기 협력해야 할 대상과 정보를 알려야 할 대상을 명확히 규정한다. 단, 이러한 방식이 통하려면 보안이 사후에 덧붙이는 작업이 아닌 모든 IT 작업의 필수적인 일부분으로 간주되어야 한다. 캘러헌은 “네트워킹 팀의 개발 사이클 초기에 보안 팀이 개입해서 생성되는 코드가 정말 안전한지를 확인한다. 따라서 프로덕션을 목전에 두고 문제를 발견해서 ‘불안전한’ 상태로 진행할지, 비난을 감수하고 일을 중단시켜야 할지를 결정하는 상황에 몰리는 일이 없다”고 덧붙였다. 

보안을 네트워킹에서 분리하는 이유

리스폰드 소프트웨어(Respond Software)의 공동 설립자 크리스 캘버트는 IT 혼합으로 인해 보안이 길을 잃지 말아야 한다고 지적했다. 리스폰드는 인공 지능을 사용해서 보안 분석가의 대응을 시뮬레이션하는 자동화 툴을 제공한다.

20년 가까이 IBM, 셸 오일(Shell Oil), 소니, 월마트와 같은 대기업의 보안 운영 센터를 구축한 경험이 있는 캘버트는 “그동안 구축한 보안 운영 센터 중 일부는 보안을 IT와 혼합했는데, 이러한 사례에서는 이후 보안 팀이 쫓겨나는 상황이 발생했다”고 말했다. 캘버트의 경험에 따르면 보통 보안 팀은 시끄럽고, 공격 차단을 주제로 하는 화이트보드 토론은 생기가 넘친다. 반면 네트워크 운영 센터는 비교적 조용하며 화면에 표시되는 녹색과 적색 신호에 집중한다.


네머테스 리서치(Nemertes Research) 설립자이자 CEO인 조나 틸 존슨에 따르면, 기업이 보안 팀을 분리하기로 결정하는 경우 리더십의 보고 체계도 고려해야 한다. 네머테스가 635곳의 성공적인 조직을 대상으로 연구 조사한 바에 따르면, 보안 운영 성적이 가장 우수한 기업은 CISO가 CEO, CFO 또는 최고 법률 책임자에게 보고하지만 CIO에게는 보고하지 않는 구조의 기업이다. 존슨은 “CISO의 직무는 기술적 위험을 법적 위험으로 정확하게 해석하는 것”이라며, “CIO가 기술을 구축해야 하고 CISO가 그 기술에 위험을 감수할 가치가 있는지 여부를 결정해야 하는 구조에서는 그러한 해석이 원활하게 이뤄지지 않을 수 있다”고 설명했다.

캘러헌의 철학도 마찬가지다. 캘러헌은 법률 자문에게 직접 보고하며 법률 자문이 CEO에 보고한다. 캘러헌은 “아주 중요한 구조다. CIO와 나는 상사와 부하 관계가 아니라 처음부터 파트너 관계”라고 강조했다. 또 “둘을 하나로 배치하는 것은 바람직하지 않지만 커뮤니케이션은 바람직하다”면서 “IT 책임자와 보안 책임자는 각자 자신의 팀에 원하는 긴밀한 관계를 스스로도 실천해야 한다. 이 둘이 조화를 이루지 못하면 팀도 마찬가지가 되기 때문”이라고 말했다.

또한 보안이 IT에서 분리되면서 캘러헌은 보안 자체 예산도 더 강력히 주장할 수 있게 됐으며, 덕분에 트랜스포메이션과 기술 혁신을 위한 자금 조달도 더 용이해졌다.
 

네트워킹과 보안 팀을 통합할 이유

글로벌 식품 제조업체 슈거크릭(SugarCreek)의 CIO 에드 로든은 소프트웨어 정의 네트워킹과 같은 기술로 보안과 네트워킹의 경계가 흐려지고 있으므로, 두 팀을 분리할 경우 역효과를 낼 수 있다고 지적했다.

슈거크릭은 빠르게 성장 중인 8억 달러 규모의 가족 소유 기업으로 네트워크와 스토리지, 보안을 포함한 모든 인프라 관련 작업을 20명으로 구성된 단일 팀이 담당한다. 로든은 통합 환경이 가능한 원동력으로 가상화를 꼽았다. 슈거크릭이 데이터센터에 사용 중인, 네트워크와 보안 제어 기능을 하나의 소프트웨어에 갖춘 VM웨어 NSX SDN 플랫폼도 여기에 속한다.

슈거크릭에서는 캘버트가 언급한 시끌벅적한 화이트보드 회의가 진행되지만 참가자는 IT 최상위 리더 4명이다. 로든은 “정기적으로 회의실에 모여 네트워크의 모든 출구 지점을 체계적으로 하나씩 거치면서 보안 상태를 매우 세부적으로, 철저히 검토한다. 이 과정을 통해 보안과 네트워킹에 대한 합의에 이른다”고 설명했다.

회사가 원하는 빠른 속도도 로든이 이와 같이 밀착된 구조를 선택한 이유 중 하나다. 로든은 “예를 들어 회사가 입주할 건물을 매입했다는 이메일을 받으면 2개월 내에 무선 및 인프라를 구축해야 하므로 많은 사람이 서로 다른 책임을 갖는 관료적 구조에 낭비할 시간이 없다”고 덧붙였다.

사이버 보안 컨설팅 서비스인 프리드먼 사이젠(Friedman Cyzen)의 총괄 책임자 제이콥 레먼은 “보안 팀원이 자신의 업무 영역에 너무 파묻혀 있으면 무엇이 어떻게 만들어지는지 이해하지 못하고, 따라서 그것을 더 잘 보호하려면 어떻게 해야 하는지도 모르게 된다”고 말했다. 

클라우드로의 전환이 진행될수록 조직은 명확한 정책을 설정하고 시행하기 위해 네트워킹과 보안을 매끄럽게 통합해야 한다고 것도 이유 중 하나이다. 레먼은 “클라우드로 전환한다고 위험이 해결되지는 않는다. 많은 경우 오히려 위험이 늘어난다”면서 “팀은 결정을 내리기 전에 이 위험을 정량화할 수 있어야 한다. 모든 담당자가 위험을 정확히 인식할수록 더 효과적인 우선순위화가 가능하다”고 말했다.
 

분리된 네트워킹-보안 간극 잇기

네트워킹과 보안 팀을 분리하는 조직이라도 교육을 통해 둘의 관계를 밀접하게 유지할 수 있다. 존슨은 “보안 팀이 안전한 코딩에 관한 교육을 주최하거나 보안의 기초를 주제로 대화하는 점심 식사 시간을 마련할 수도 있다”면서 이를 통해 보안 팀이 가진 전문 지식을 나눌 기회를 부여할 수 있다고 말했다. 또한 두 팀이 친숙하다면 서로 도움이 필요한 경우에도 도움이 된다.

캘버트는 ITIL과 같은 원칙을 포함해 보안 팀도 네트워킹 팀으로부터 배울 수 있다면서 “보안 팀이 네트워킹의 언어를 이해하면 좋다”고 말했다. editor@itworld.co.kr