[기술스터디] 사이버 보안으로 최대의 수익을 거두려면 필요한 5가지 스텝 - 보안뉴스

https://www.boannews.com/media/view.asp?idx=124134

사이버 보안으로 최대의 수익을 거두려면 필요한 5가지 스텝

 

---

1. 목표의 설정
보안에 본격적으로 투자를 시작하기 전에 제일 먼저는 보안 투자를 통해 얻고자 하는 것이 무엇인지를 정하고 이해해야 한다. 기술적으로 얼마나 첨단을 달리든, 기술 그 자체로 대단한 변화를 일으킬 수는 없다. 중요한 건 그 기술을 활용하는 전략이다. 그 전략이라는 건 다시 말해 구체적이고 가시화시킬 수 있는 목표 지점을 보유한다는 뜻이 되기도 한다. 예를 들어 네트워크 가시성을 어느 정도나 높일 것인지, 랜섬웨어 방어력을 어느 수준으로 향상시킬 것인지, 사건 대응 시간을 몇 시간으로 줄일 것인지를 분명히 하는 게 좋다.

2. 통합적 위험 평가의 실시
목표를 설정했다면 다음을 중요한 게 현재의 위치를 파악하는 것이다. 현재를 알아야 목표로 가기 위한 첫 걸음을 올바로 뗄 수 있다.
1) 가장 시급하게, 그리고 가장 중대하게 우리를 위협하는 것은 무엇인가?
2) 우리가 가진 자산들 중 공격자들이 가장 탐내할 만한 것은 무엇인가?
3) 공격자들이 우리의 현재 방어막을 침투하려면 어떤 경로로 들어올 가능성이 높은가?

여기에 답이 나왔다면 그 답들을 가지고 ‘정량적’ 평가를 수행해야 한다. 쉽게 말해 ‘점수를 매겨야 한다’는 것이다. NIST에서 제안한 여러 가지 프레임워크가 이 과정에서 매우 유용할 수 있다. 그 외에도 위험 평가에 대한 여러 가지 방법론이나 도구, 애플리케이션들이 있으니 조직 상황에 가장 잘 맞는 것을 찾아 적용하는 게 중요하다.

3. 사이버 보안의 목표 = 전체 사업 방향
사이버 보안은 독립적으로 의미를 갖는 기능일 수 없다. 회사 전체의 사업 방향과 일치했을 때 가치를 갖는다는 것이다. 기업은 이 방향으로 가야 하는데, 보안이 오로지 이상적인 안전을 위해서 결사 반대를 외친다면 어떻게 될까? 회사의 경쟁력이 약화되고 결국 시장에서 도태될 수도 있다.
게다가 보안의 목표를 사업적 목표에 맞춘다는 건 보안에 있어서도 좋은 전략이다. 그래야 임원진들로부터 예산을 확보하기가 쉬워지기 때문이다. 또한 보안을 기업 전체의 문화로서 가져가는 데에도 더 원활한 협조를 받을 수 있게 된다. 그랬을 때 보안을 ‘방해자’가 아니라 ‘활성자’로서 홍보할 수도 있게 되며, 이는 장기적으로 조직 전체의 ‘보안력’을 강화하는 데에도 큰 도움이 된다.

4. 실질적이고 구체적인 평가 방법 수립
‘단 한 방에 모든 문제를 해결해 주는 보안 솔루션’이라는 문구가 풍기는 매력은 부정하기 힘들다. 거부하기도 힘들다. 하지만 현실화 하는 것도 힘들다. 기업 전체의 보안을 강화한다는 건 꾸준히, 한 걸음 한 걸음 정해진 목표를 향해 쉬지 않고 걸어간다는 뜻이다. ‘돈 버는 보안’의 지점에 도달하는 것 역시 이러한 과정을 거쳐야만 허락된다. 그리고 그 한 걸음들이 제대로 진행됐는지 매번 뚜렷한 기준에 의해 점검하지 않으면 목표에 도달하는 게 힘들어진다. 6개월 등 현실적인 기간을 정해두고, 그 안에서 구체적이면서 확실한 목표를 이루기로 해가며 전진해가면 어느 덧 단단하면서 수익이 되는 보안이 완성된다.

5. 벤더들의 꼼꼼한 평가
이제 보안은 ‘우리 회사’만의 문제가 아니다. 온갖 서드파티 침해 사건이 발생한다는 것을 기억하라. 그러므로 당장 우리 회사에서 사용하고 있는 모든 서드파티 프로그램이나 플랫폼, 솔루션 혹은 하드웨어에 대한 위험 평가를 실행하는 게 중요하다. 각 기술들이 가진 문제나 위험성은 무엇인지, 그걸 만든 벤더사들이 보안에 대해 어떠한 태도를 보이고 있는지, 문제가 발생했을 때 벤더사와 우리 회사의 책임 배분은 어떻게 이뤄지는지, 벤더사가 어떤 기술적 지원을 해주기로 되어 있는지 등을 명확히 확인하고 둘 사이에 다시 한 번 정립하는 게 중요하다.