보안

글로벌 칼럼 | 보안 기술 혁신의 발목을 잡고 있는 것들

Jon Oltsik | CSO 2017.10.16
필자는 지금처럼 보안 기술 혁신의 빠른 주기와 보안 스택의 모든 요소가 탈바꿈하고 있는 시기를 겪어본 적이 없다.

새로운 보안 기술이 적절한 시기에 도래하고 있는 것이다. ESG 조사에 따르면 2017년 사이버 보안 예산을 늘린 비율은 69%에 달했다. 개인적으로 2018년에도 계속 투자가 늘어날 것으로 본다. 어떠한 사업계획이 가장 많은 IT 지출로 이어질 것인가 하는 질문에는 39%가 "사이버 보안 보호 증진"이라고 응답했다. 이는 기업 임원들이 전반적인 사이버 보안 개선의 필요성에 공감하고 있음을 의미한다.

이런 이유로 혁신적인 보안 기술이 적시 적소에 도래하고 있다는 결론을 내릴 수도 있겠지만 그러기에는 아직 이르다. 보안 기술 변화 가운데 다수는 아직 시작 단계에 머물러 있으며 다음과 같은 여러 가지 이유로 인해 아직 배치되지 못하고 있다.

- 사이버 보안 문화 충돌 : 오늘날의 시장에는 공급업체와 고객 간에 큰 문화적 차이가 있다. 사이버 보안 전문가들의 업무는 악용될 여지가 있는 취약점은 없는지 모든 각도에서 기술을 살펴보는 것이다. 따라서 이들은 천성적으로 회의론자들이다.
반면, 신기술을 미는 것은 특효 솔루션을 마케팅하는 신생업체인 경우가 많다. 샌드 힐 로드(Sand Hill Road) VC들을 잊지 말자. 이들은 기업 투자 이후에 마케팅 직원들로 하여금 각종 유행어를 동원해 포트폴리오 기업들을 띄우게 한다.
이처럼 목표가 엇갈리기 때문에 기업의 보안을 강화하려는 위험 회피 성향의 CIO들은 미사여구와 과장을 접하곤 한다. 업체들의 신뢰 구축과 이 문화적 차이 극복에 시간이 그토록 오래 걸리는 것이 놀랍지 않다.

- 새로운 것을 시도하기 전에 오래된 것을 소진하고자 하는 마음 : 새로운 요건이 생기면, 기존 보안 통제 장치를 조정해서 이를 해결할 수 없는지 살펴보는 것은 당연하다. 어떤 경우에는 이러한 전략을 추구할 가치가 있다.
예를 들면, 엔드포인트 보안 소프트웨어에 고급 통제 장치를 설정하면 위협 방지 효과 증진에 도움이 될 수 있다. 한편, 기존 보안 통제 장치가 일부 신규 요건에 부합하지 않을 가능성은 있다.
ESG 조사에 따르면 기업 조직의 92%가 전통적인 네트워크 보안 통제 장치를 이용한 클라우드 워크로드 보호를 시도했으나 결국 그 가운데 74%는 통제 장치를 일부 또는 전부 포기해야 했다. 이 신규 사용 사례에 부합하지 않는 것으로 판명되었기 때문이다. 일부 CISO들은 직접 나서서 실수를 하느니 차라리 다른 사람들이 보안 혁신의 실험 대상 역할을 하게 내버려두는 쪽을 택하고 있다.

- 사이버 보안 기술 부족 : 2017년 초 ESG 조사에 따르면 45%의 기업이 사이버 보안 기술이 "심각한 부족" 상황임을 인정했다. 중요한 분야에 기술과 인원이 부족하다는 의미다.
신기술 프로젝트는 조사, 테스트, 구매, 준비, 운영에 시간이 걸린다. 기업이 이를 제대로 진행할 시간이나 자원이 없는 경우가 많다. 한 CISO는 최근 이러한 곤란한 상황을 다음과 같이 압축적으로 표현했다. "내 업무 가운데 최우선 순위는 보안 직원들로부터 업체들을 멀리 떼어놓는 것이다."

- 변화하는 조직 모델 : 이는 새롭고 혁신적인 클라우드 보안 기술에 특히 해당된다. 많은 경우, 제품 선정, 조달, 운영에 소프트웨어 개발자, 클라우드 컴퓨팅 설계자, 개발/운영자 등이 포함된다. 기존의 보안 전문가들과는 상반된다.
보안 업체들은 클라우드 기반 워크로드를 안전하게 보호하는 방법은 알겠지만 이렇게 새로 생기는 IT 직무 담당자들과의 의사소통 및 협업 방법은 전혀 알지 못한다. 이번에도 이런 문화적 격차가 새로운 보안 기술 프로젝트를 지연시키는 요인이 될 수 있다.

또한 전반적으로 혼란스러운 상황도 한 몫 한다. 어떤 업체가 머신러닝을 기반으로 한 새로운 솔루션을 홍보하고 있는데 이는 무슨 의미인가? 의미가 있기는 한가? 이러한 질문의 대답을 찾아내려면 시간과 노력이 든다. 실질적 가치를 더해 줄 잠재력을 갖춘 혁신적인 보안 기술을 더욱 효율적으로 제공하려면 수요와 공급 측면에서 각각 해야할 일이 있다.

수요 측면에서는 CISO들이 변화하는 위협, 취약점, 보안 요건을 모니터링 한 후 보안 엔지니어들에게 새로운 혁신 내용을 조사해 보고할 임무를 부여해야 한다. 사이버 보안 전문가들 역시 신기술에 대한 공통 경험으로부터 신속하게 지혜를 얻을 수 있도록 정보시스템보안협회(ISSA)와 같은 전문가 협회에 참여해야 한다.

보안 기술 공급업체들은 패키지 제품 시장 접근 방식을 버리고 시간을 들여 CISO들이 우려하는 내용을 이해해야 하며 고객들에 대한 진정한 공감대를 형성해야 한다. 그건 그렇고 보안 혁신에는 지름길은 없다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.