보안

정보보안 최대 허점, '교육·인식·예산' 부족

Sharon Florentine | CIO 2015.03.27
IT 스킬 갭 현상이 심각한 가운데 사이버 보안 분야에 있어서 스킬 갭은 기업을 위협할 만한 수준이라고 전문가들이 지적했다.

모든 IT 기업들의 적이라 할 수 있는 스킬 갭은 ‘사람이 부족하다’라는 한 마디로 요약될 수 있다고 작가이자 월스트리트 저널 칼럼니스트인 개리 J. 비치는 진단했다. 그는 특히 사이버 보안이라는 측면에서 보면 스킬 갭은 그저 인사부의 골칫거리에서 나아가 대단히 위협적인 상태라고 강조하며, CIO들의 관심이 좀더 필요한 시점이라고 덧붙였다.

보안, 최고의 투자
소셜 미디어 플랫폼 스그루플(Sgrouples) 창립자이자 MeWe.com의 CEO, 그리고 사이버 보안 및 프라이버시 전문가 마크 웨인스타인에 따르면, 기업 사이버 보안은 ‘잘 해도 티가 안 나지만 못 하면 금새 티가 나는’일 가운데 하나다.

웨인스타인은 CIO들이 진짜 리스크와 위협 요소를 잘 설명하고 효과적인 투자를 이끌어내야 한다며 다음과 같이 강조했다.

“가장 큰 문제는 만일 보안을 제대로 하고 있을 경우 그 결과가 당장에 가시적이지 않다는 것이다. 보안이 잘 돼 있으니 보안 위협 사건이나 언론에 대서특필 될 정도의 데이터 유출 사건을 겪을 일도 없다. 그렇다면 좋은 것 아니냐 생각할 수도 있지만 그러다 보면 점점 더 보안 상태에 자만하게 되고 유능한 인재나 예방적 기술, 직원 교육 등에 투자를 줄이게 된다. 보안 위협이 어떻게 생성되고 진화하는지 이해하고 위험이 발생하기 전 선제적 대처를 하는 것이 중요하다.”

이러한 선제적 대응 활동에는 위협에 대한 효과적 커뮤니케이션과 기업 내 보안 우선순위 상향도 포함된다고 키스톤 어소시에이츠(Keystone Associates)의 매니징 파트너 일레인 버렐라스가 전했다. 그리고 여기에는 보안 전략의 비용과 효용에 대한 현실적인 평가도 들어가야 한다는 주문이다.

버렐라스는 “특히 보안 분야에 있어서는 더더욱 여기에 얼마나 많은 투자가 필요한지 잘 모르는 사람이 많다”라고 설명했다. 그에 따르면 CSO가 따로 있을 정도로 보안 문제에 대한 인식이 좋은 회사들의 경우 이 문제에 대해 선제적 대응을 하곤 한다. 그러나 그렇지 못한 회사들은 이 문제를 CIO에게 떠넘기곤 한다고 그는 진단했다.

그녀는 “싼 값에 인력을 고용하거나, 소프트웨어 예산을 깎거나, 직원 교육을 생략한다면 단기적으로는 보안 비용을 줄일 수 있다. 누군가 이에 대해 우려를 표하면 CEO들은 흔히 ‘CIO가 책임질 일'이라는 태도로 일관하곤 한다. 그렇지만 보안과 리스크, 위협에 대한 지속적인 주의는 한 명의 최고 책임자에게 모두 지울 수 있는 짐이 아니다. 회사 전반에 이에 대한 인식이 퍼져야만 한다”라고 말했다.

그녀에 '따르면 CIO들은 CFO와 함께 리스크-보상의 재정적 균형을 맞춰가는 한편 어떻게 최선의, 가장 안전한 의사 결정을 내릴지에 대해 모두가 이해할 수 있도록 노력해야 한다.

버렐라스는 “CIO는 누구나 이해할 수 있는 말로 현재 기업에 필요한 보안 수준을 전달할 수 있어야 한다. 보안 전략의 성과를 당장에 볼 수는 없더라도 그 전략이 효과적으로 작동하고 있으며 투자할 만한 가치가 있는 것임을 C 레벨 경영인들, 이사회, 매니저들, 말단 사원에 이르기까지 모두에게 설득해야 한다”라고 말했다.

교육과 트레이닝을 간과해선 안 된다
보안 전문가를 고용하는 것만으로는 충분하지 않다. 그렇게 고용한 인재들이 보안 분야의 최신 지식과 기술을 익힐 수 있도록 투자를 지속해야 한다.

웨인스타인은 “가끔 필요한 인재를 뽑아 놨으니 보안 문제는 저절로 해결되겠거니 생각하는 경영인들을 본다. 그렇지만 보안 문제는 그처럼 간단하지 않다. 적절한 인력을 고용하는 건 보안 대책의 절반만 한 것에 지나지 않는다. 이들을 지속적으로 교육하고 훈련시킬 때 진정한 의미에서의 보안이 가능하다. 컨퍼런스 참석, 교육 과정 및 워크샵에 지속적으로 투자할 수 있는 예산을 확보해야 한다. 지난해에는 안전하게 지켜낸 자산이라고 올해에도 안전하리란 보장은 없다. 단순히 월급의 문제가 아니라, 테크놀로지 너머에 있는 ‘브레인’에 지속적인 투자를 해야 한다”라고 말했다.

IT 및 사이버 보안 분야의 무료 MOOC(Massive Open Online Courses)를 제공하는 사이브러리(Cybrary)의 한 설문조사 결과에 따르면, 물론 보안 분야에서의 IT 트레이닝과 컴플라이언스, 거버넌스 스킬 등의 중요성은 많은 기업들이 이해하고 있다. 그러나 이들 중 대다수는 이런 교육에 들어가는 비용 앞에 마주했을 때 금새 포기하는 모습을 보였다.

이 설문조사는 약 405명의 시니어 레벨 테크놀로지 전문가들에게 2015년 IT 교육 계획에 대해 물어본 것이다. 사이브러리의 공동 창립자 라이언 코리에 따르면 응답자 61%가 자신의 회사에 그러한 교육에 필요하다 말했고 55%는 시간이 갈수록 그 필요가 더욱 증가할 것으로 예측했다. 그러나 막상 대부분의 기업들이 2014년 IT 교육에 투자했던 예산에서 거의 변화 없는 액수만을 IT 교육에 투자할 계획인 것으로 나타났다.

또 응답자의 1/4도 안 되는 기업들만이 IT 예산의 10~20%를 교육에 투자하고 있다 말했고 심지어 응답자 11% 가량은 IT 교육이 너무 비싸기 때문에 전혀 시행하지 않고 있다고 답했다. 코리는 참으로 위험한 태도라며 다음과 같이 말했다.

“수집한 데이터를 바탕으로 살펴보면 사이버 보안 위협이 빠르게 증가하고 있으며 IT 인재가 부족한 실정에도 불구하고 많은 기업들이 IT 교육에 충분한 투자를 하지 않고 있는 것으로 나타난다. 이러한 스킬에 대한 수요가 증가함에 따라 스킬 갭은 갈수록 심해지고 있다. 게다가 대부분 사이버 보안 교육 프로그램들은 엄두가 안 날 정도로 비싸다. 아무리 보안 의식이 뛰어난 기업이라도 한 수업당 3,000달러에서 5,000달러를 지불하라고 한다면 망설일 것이다. 특히 이런 강의를 통해 배운 스킬들이 얼마 지나지 않아 다시 업데이트 되어야 한다고 생각한다면 말이다.”

코리는 그럼에도 불구하고 지속적인 교육이 중요하다고 강조했다. “사이이버보안 분야의 지평은 너무나 빠르게 변화하고 있기 때문에 지속적인 교육 없이는 새로이 등장하는 위협에 효과적으로 대처하기가 거의 불가능에 가깝다. 때문에 전체적인 보안 전략에서 보안 인식 개선과 교육을 최우선으로 놓고 봐야 한다”고 코리는 말했다.

직원들의 목소리에 귀 기울여라
만일 보안을 담당할 직원들을 채용했고 또 이들의 교육과 훈련에 투자할 의지가 있다면, 적어도 준비는 된 셈이다. 그렇지만 이들의 조언을 따를 준비가 되지 않았다면 이러한 투자가 무색해 질 수도 있다고 블루 파운틴 미디어(Blue Fountain Media)의 개발 담당자이자 사이버 보안 전문가 마이크 리코타는 말했다.

특히 유능하고, 경력 있는 보안 전문가들이 다른 업무에 밀려 보안 업무를 소홀히 해야 하는 일이 발생하지 않도록 해야 한다는 주문이다. 기업 데이터는 물론 고객의 데이터를 보호하는 것이야 말로 제1 우선순위가 돼야 한다. 설령 보안 실패에 따른 비용이 선제적 대응에 들어가는 비용보다 적을 것으로 예상된다 하더라도 기업의 평판이나 고객의 신뢰를 잃을 것까지 계산한다면 결코 적지 않은 대가를 치르게 될 것이다.

리코타는 “정말로 보안을 확실하게 관리하고 싶다면, 직원들의 목소리에 귀를 기울이고 그들의 조언을 진지하게 받아들여야 한다. 무시하고 지나친 직원의 충고 속에 심각한 보안 위험의 가능성이 숨어 있을 수도 있다”라고 말했다. ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.