보안을 다루다 보면 많은 오해에 직면한다. 오해를 일으키는 요소는 영화, 선입견 또는 단순한 상상 등이다. CSO는 최근 베라코드(Veracode)의 크리스 엥, 크리스 와이소팔, 넷스코프(Netskope)의 산제이 베리, 그리고 퀄리스(Qualys)의 안드류 와일드와 대담을 나누며 보안 분야에서 일하며 경험한 사람들의 오해에 대한 의견을 들어봤다. editor@itworld.co.kr
보안 전문가는 승진에 한계가 있다
사실: 과거 일부 조직에서는 정보 보안이 고도의 기술적인 전문 영역으로 간주되었고 더 큰 IT 조직 내의 일부로 속하는 경우가 많았다. 그러나 오늘날 IT에 대한 비즈니스의 의존성이 높아지면서 조직들도 핵심 비즈니스 프로세스에서 정보 보안이 수행하는 중대한 역할을 깨달았다.
보안 전문가가 회사 최고 경영진과 접촉하고 조직의 성공에 기여할 수 있는 기회는 늘고 있다. 최고 경영진과의 접촉이 잦아지면 정보 보안 전문가에게는 그만큼 새로운 기회가 열리게 된다.
보안 분야에서 일하는 사람은 모두 보안 전문가다
사실: 보안은 사실 분야별로 고도로 전문화되어 있다. IDS 전문가는 웹 애플리케이션에서 취약점을 찾는 방법을 모르고, 소프트웨어 보안 전문가는 포렌식을 어떻게 하는지 모른다.
보안 전문가는 편집증 환자이며 은박지 모자를 쓴 채 키 교환 파티를 연다
사실: 최근 NSA 폭로 사건은 공상 과학에나 나올법한 이론적인 공격들이 실제로 존재한다는 것을 알려줬다. 그렇지만 통계학자, 경제학자들은 여전히 능숙한 해커가 보안 전문가의 모바일 기기나 집 컴퓨터에 침투할 가능성은 높지 않다고 말한다.
보안 전문가는 컴플라이언스가 곧 보안을 의미한다고 생각한다
사실: 현실은 컴플라이언스만으로는 한계가 있고 보안의 초점을 규정 준수 상태를 유지하는 데만 둘 경우 두 다리 쭉 뻗고 자기 어렵다는 것이다. 이 오해가 빚어진 이유 가운데 하나는 CSO가 보안 전략을 추진하고 예산을 끌어오기 위해 컴플라이언스를 명분으로 내세우는 경우가 많다는 데 있다. 물론 CSO는 이렇게 얻은 예산을 말 그대로 컴플라이언스에만 쓰는 것이 아니라, 비즈니스에 필요한 보안 요건을 충족하는 데 활용한다.
보안과 인프라스트럭처/운영 부서는 항상 사이가 좋지 않다
사실: 기밀성, 무결성, 가용성(CIA) 3요소 가운데 '가용성'은 인프라스트럭처/운영의 원동력으로 인식되는 경우가 많지만 두 그룹은 서로가 수행해야 할 역할을 이해하고 있으며 세 가지 요소 모두 중요하다는 사실을 잘 알고 있다.
정보 보안은 매우 기술적인 규율이다
사실: 매사가 마찬가지지만 지나친 일반화의 오류다. 물론 정보 보안 영역 내에 세부적인 기술적 전문성이 필요한 역할이 있다. 그러나 정보 보안의 역할이 위험 관리 방향으로 흐르고 있고, 이로 인해 사업부의 요구 사항을 이해하고 사업부의 언어로 명확하게 커뮤니케이션할 수 있는 전문가도 필요해졌다. 전부 다 기술적인 것으로만 채워지진 않는다는 말이다.
위험을 설명하고, 위험을 관리하기 위해 선택할 수 있는 안을 제시하는 것이 중요하며 여기에는 사람, 프로세스, 기술이 모두 포함된다.
해킹은 영화에 나오는 모습 그대로다
사실: 영화에서는 모든 것이 과장된다는 점은 대부분의 사람들이 잘 알지만 '얼만큼' 과장되는지는 잘 모를 것이다. 컴퓨터에 침투한다고 불빛이 깜박거리지는 않는다. 사람의 비밀번호를 한 글자씩 알아낼 수는 없다.
침투에 성공해도 데이터베이스가 3D 시각화되어 마치 비디오 게임처럼 '날아다니며' 탐색할 수 있게 되지는 않는다. 뜻을 알 수 없는 문자들이 갑자기 눈앞에서 의미를 가진 텍스트로 변하지도 않는다. 가끔 영화에서 실존하는 보안 도구가 사용되기도 하지만 중요한 역할도 아니고 화면에 2초 이상 나오는 법이 없다.
보안 전문가는 생산성 또는 비즈니스 지원보다 보안을 더 중요하게 생각한다
사실: 직무는 보안이지만 대부분의 CSO는 성장하는 비즈니스를 위해 다소의 타협이 필요하다는 사실을 잘 안다. 사람들을 강제로 벙커에 몰아넣을 수도 없고, 단지 새롭다는 이유로 또는 들어본 적이 없거나 IT 부서가 직접 관리하지 않는다는 이유로 무작정 다 막을 수도 없기 때문이다.
이 오해는 과거 오랜 세월 동안 비즈니스에서 CSO라는 관문을 통과하기까지 오랜 시간이 걸리거나 때로는 아예 통과하는 것이 불가능했기 때문에 굳어진 것이다. 그러나 지난 몇 년 동안 양상이 많이 바뀌었다. CSO라는 직책은 어느 하나도 허투루 볼 수 없고, 보안은 과거에 비해 훨씬 더 어려워졌지만 소비재화(consumerization)와 클라우드가 주도하는 새로운 패러다임으로 인해 CSO도 바뀔 수밖에 없기 때문이다.
바쁜 일/지루한 일은 없다
사실: 항상 100% 신나는 직업은 없다. 보안 업무의 상당 부분은 보안 제품을 운용 가능한 상태로 유지하고, 이상 현상 로그를 수집해서 분석하고 일반적인 작업을 자동화하는 도구를 만드는 일로 구성된다. 그리고 가장 싫은 일은 정기 감사에서 통과하는 것말고는 아무 의미없는 작업이나 프로젝트에 매달려 작업하는 것이다.
보안은 공격을 차단하는 것이 전부다
사실: 대부분의 조직에서 정보 보안 팀의 임무는 IT 자산의 기밀성, 무결성, 가용성에 반하는 위험을 관리하는 것이다.
물론 정보 보안팀 내에는 공격 차단에 중점을 두는 보안 통제 담당 인력도 있지만 현재 보안 위협의 추세에 따라 조직은 차단 장치를 돌파한 공격을 신속하게 탐지해서 억제하는 탐지 활동에도 중점을 둬야 한다. 보안 위협 환경은 동적이며 계속 발전하므로 조직은 공격 차단 하나에만 의존할 수는 없다.