감성·열정·도전이 가득한 보안같지 않은 '보안이야기'

오늘의보안단상

카테고리	중요
제목	진짜 보안이야기 #32
작성자	onesecure
작성일자	2019-04-05
진짜 보안이야기 #32 보안은 제품이 아니라 절차이다. 보안은 하나다. OneSECURE가 탄생하게 된 이유이기도 하다. 우리는 해킹 당한 적 1번도 없다고 자랑할 일 아니다. 보안(保安)은 위험, 손실 및 범죄가 발생하지 않도록 방지하는 상태를 가리킨다. 일반적으로 보안은 피해발생의 원인이 ‘인간의 행위‘라는 점에서 안전이라는 개념과 구분된다. 하지만 아직 한국 내에서는 두 용어를 크게 구분하지 않고 혼용하여 쓰는 경향이 있다. “보안을 꼭 해야만 하나? 한다면 비용을 얼마나 투자해야 하나?” 이 질문은 다음 질문으로 바꿔야 보다 본질에 가깝다. “우리에게 얼마나 중요한 정보인가?” 정보 보안 정책 있어 최우선으로 고려할 것은 정보의 중요도, 즉 가치에 대한 판단이기 때문이다. 자신에게 얼마나 중요한가? 그리고 또 해커에게 얼마나 매력적인 정보일까? 정보를 보호하는 데에도 비용이 들기 때문에 보안 노력과 비용 결정에 앞서 가장 먼저 판단해야 하는 것이다. 우리에게 끊임없이 변한다. 항상 동일한 수준의 보안을 유지하고 있었을때 예전에는 안전했던 것이 지금은 더이상 안전하지 않을 수 있다. 따라서 보안도 거기에 따라 변해야 하며 보안에 들이는 비용과 노력이 계속 달라질 수 있음에 대해 이해하고 계획할 수 있어야 한다. 즉, 완벽한 보안의 구축은 불가능하다. 대부분의 보안활동은 위험을 최소한으로 줄이기위한 활동일 뿐이지 완전히 없애기 위한 활동이 아니다. 그렇기에 보안은 제품이 아니라 절차이다 보안은 모든 사람의 책임이다. 자신의 보안을 남이 대신해 줄 수 없다. 보안책임자는 보안활동과 동시에 보호대상과 관련된 모든 관련자들에게 보안의식을 강화 할 수 있도록 교육할 책임이 있으며, 최고결정권자는 보안을 저해하는 모든 요소들에 대한 제제를 할 수 있도록 관리를 강화해야 한다 그러므로 산업 내 표준이 지켜지는지도 확신이 되지 않는 상황에서 이 문제는 그동안 행해왔던 보안의 한 가지 관습이 있다. 바로 다양한 보안 솔루션 혹은 방법론을 ‘짬뽕’한다는 것이다. 여러 솔루션을 사용해오면서 가시성을 확보했다는 것인데, 그러다보니 눈이 가리운 느낌이다. 그래서 조직은 어떤 걸 선택하나? 업체가 제공하는 보안 장치를 그냥 믿고 쓰거나, 보안 솔루션을 새로 써보는 것을 대부분 권장한다. 물론 여러 솔루션을 다양하게 사용하던 것에도 장점이 있을 수는 있으나 조직의 보안을 하나의 커다란 전략으로 가져가는 데에는 오히려 어려움을 준다. ‘통’이 아니라 ‘조각난’ 보안만 구사할 뿐이다. 보안이 더 복잡해지고, 잘못된 경보가 높은 빈도로 울려대고, 보안 전문가들이 시간을 헛되이 보내게 되는 것이 이러한 ‘조각난 보안’ 때문이기도 하다. 최근 보안취약점 진단 및 컨설팅 문의도 급격히 늘고 있다. 특히 ISO27001 정보보호관리체계(ISMS) 인증을 취득해 투자자,고객들에게 신뢰도를 높이려 하고 있기 때문이다. 전문인력을 바탕으로 해당 조직의 정보기술(IT) 인프라 전반에 대한 전반적인 보안 취약점을 진단해준다. 또 인증을 받기 위해 필요한 정책규정ㆍ관련 솔루션ㆍ보호조치 등을 컨설팅해주고 있다. 관련 문의는 010.2932.1882, kthigh11@naver.com으로 성심 성의껏 준비한 여러분 조직의 가치창조를 해드리겠습니다.
첨부파일