경영진에게 보안을 설득하는 노하우

[게스트] 문성태 팀장 / 나이스평가정보, 이지헌 팀장 / (주)일화, 황성봉 부장 / 에스텍파마
[호스트] 지식PD 고우성 / IT지식방송 토크아이티(TalkIT)
[상담문의] ask@TalkIT.tv

[영상 스크립트] 
*참고. 아래 문성태 팀장은 '문', 이지헌 팀장은 '이', 황성봉 부장은 '황', 지식PD 고우성은 '고'로 표기

고 : 사실 우리가 보안 업무를 하면서 보안 업무가 어떤 클라우드 같이 오토 이런 것 처럼 바로 비지니스랑 융합되는 것도 아니잖아요. 그래서 어떻게 보면 경영진 입장에서는 저거 진짜 지금 비용만 쓰는거 아닌가 없어도 되는거 아닌가 보험처럼 뭐 이런 느낌이 들 수도 있을 텐데 경영진을 어떤 식으로 설득하거나, 회사 입장에서 공감대를 형성하는 팁이 있다면 하나씩 말씀해 주시죠.

황 : 저 같은 경우에는 R&D를 중점적으로 관리를 하고 연구소에 그런 중요한 자료 등이나 그런 정보들을 관리해야 되는 부분이 있는데 좀 좋은 방법과 나쁜 방법이 있어요. 보통 그 일반 저기 이제 솔루션 보안업체들이 많이 쓰는 방법들이 이제 그 불확실성을 파는데 만약에 이게 보안에 문제 때문에 치명적인 사고로 인해서 뭐 크게 문제 돼서 그게 확률이라고 보면 0.01%도 안되는 뭐 그런 것들… 랜섬웨어 같은 경우는 직접적으로 다가오기 때문에 괜찮은데 그 외적인 부분들로 하는 것은 단발성 밖에 안 돼요. 그래서 지속적으로 이제 관리적 보안 측면을 고려합니다. 예를 들어서 이제 어떤 정보보호 서약서나 교육이나 그리고 인사관리 체계들이나 그런 부분들을 같이 가미하면서 이런 것들이 나중에 궁극적으로 기술적인 것들 포함해가지고 우리 회사에 전체적인 자산들을 안전하게 보호할 수 있습니다, 그렇게 설득을 하고… 팁이라면 이제 어떤 이슈나 문제가 발생했을 때 그걸 절대 보안담당자라 하면 발생 안 되게끔 숨길려고 하는 것이 있어요. 그런데 그걸 오픈을 해야 돼요. 회사 내에 이슈가 있고 이게 어떤 문제가 있었고 우리가 교육이 잘 못 됐는지… 시스템의 문제였는지 우리가 어떤 계정관리를 잘못했는지 그것을 솔직히 하게 다 오픈 해가지고 그걸 오픈해 놓은 상태에서 이제 보고하고 전체적인 임직원들이나 임원분들 한테 알려주는 거죠. 그래서 이제 그 부분들을 이제 계속적으로 하게 되면 우리가 왜 필요하고 이런 것들이 어떤 문제를 야기시킬 수 있기 때문에 앞으로 이런 기술적인 부분 관리적인… 그리고 이제 전체적인 어떤 트렌드를 따라갈 수 있게끔 만들어야 하지 않을까 생각합니다.
 
고 : 그걸 임원분들이 얘기할 때는 굉장히 좀 팩트 위주로 간결하게 뭔가 하는게 중요하게…
 
황 : 제일 중요하죠. 거기 그래프가 딱 있으면 좀 가능성 있는 그래프 하나 딱 보여주고 이런 문제 때문에 그렇습니다, 이라고 딱 해드리면 이제 이해하고 지금은 만일 뭐 회사의 여건상 R&D에 투자해야 되고 아니면 설비에 투자해야 되고 아니면 다른 부분에 투자해야 되는데 어려워질 땐 다음엔 이걸 아무래도 해야 되겠다, 라고 인식을 심어줄 수 있는 계기가 되겠다고 생각합니다.
 
고 : 문팀장님은?
 
문 : 제가 볼 때는 크게 두가지 정도로 요약할 수가 있을 것 같은데요. 첫 번째가 법적인 중도성 법적에서 꼭 해야 된다는 것들은 사실 뭐 기업에서 하기 싫더라도 법적 요소기 때문에 할 수 밖에 없는 거구요. 두 번째는 법적 요소는 아니지만 실제 저희가 보는 체계가 굉장히 세부적인 것까지 디테일하게 지정이 되어 있습니다. 정보보안 이라는게 100% 완벽한게 없기 때문에 사실 사고가 날 수가 있거든요. 그런데 우리 나라 같은 경우에는 법률에는 이제 세세한 것 까지 다 지정을 하고 있기때문에 예를 들어서…
 
고 : 금융권이 그게 심하죠..
 
문 : 패스워드 8자리 이상의 문자 숫자 조합을 써라 또는 홈페이지의 고유 식별정보가 있을 경우에는 연 1회 이상 출정점검을 해라 뭐 이런 것들이 있거든요. 숫자까지 명확하게 되어 있기 때문에 기업입장에서는 하기는 좋죠. 그런데 다 이행했음에도 불구하고 사고가 났을 때는 우리가 법률적인 조건들을 다 지켰지만 사고가 났다 라고 그쪽에서 항변을 하는 기업 쪽에서는 입장에서는 그렇게 할 수가 있기 때문에 사실 현재까지는 기업 쪽에서 크게 어떤 문제가 되거나 이런 것들이 많지는 않았습니다. 그런데 미국 같은 경우에는 좀 다른 자율 보안 체계라고 해서 기업한테 스스로 알아서 하도록 하고 있거든요. 대신에 책임이 굉장히 무겁게 부과되는 그런 경우가 있습니다. 그래서 만약에 사고가 났다 라고 하면은 굉장히 크게 책임을 지기 때문에 문제가 될 수 있는데 저희 같은 경우에는 법적 중도성 외에도 실제로 자율 보안체계를 할 수 있도록 이제 큰 흐름은 현재 우리나라도 자율 보안 체계로 가고 있기 때문에 그런 쪽으로 이제 경영진을 설득하는 그런 방법을 쓰고 있습니다.
 
고 : 그러니까 우리 나라 기업의 책임이 점점점점 높아지는 그런 추세로 가고 있다는…
 
문 : 현재까지는 미약하다 하더라도 향후에 큰 흐름이 그렇기 때문에 그건 거부할 수 없을 것 같구요. 그렇게 향후에 되다 보면 그런 자율 보안 체계의 그런 중요성들 법적 중도성 외에도 우리가 기본적인거 외에도 그 이상 플러스 알파로 뭔가를 해야 된다 라는 것들로 그렇게 설득을 해야…
 
고 : 아까 대표이사님께서 랜섬웨어 말씀 하셨잖아요. 원래 대표이사님이 보안에 대해서 많이 조예가 깊은신 분이신가요? 아니면 아니신데 랜섬웨어 때문에 그런 얘기를 하신 건가요?
 
이 : 그전에도 많이 말씀을 하셨는데 이제 랜섬웨어가 사실 저희 회사에도 한 차례 있었습니다. 그런데 이게 tv에서도 많이 랜섬웨어를 얘기를 하지만 사실 tv에 얘기를 하고 저도 그걸 경험하지 못했다면 저건 남의 나라 딴 나라 얘기로 봤을 텐데 직접적으로 저희 회사에서도 그런 일이 생기고 계열사에서도 이슈가 되다 보니까 그 부분에 대해서 저희 대표이사님이 많이 좀 생각을 하셨던 거죠. 그래서 직접적으로 저희가 나선게 아니라 전산에다가 보안컨설팅이 필요할거다 준비를 하라고 지시를 한 부분입니다.
 
고 : 진짜 모든 대표이사님들이 그렇게 보안에 대해서 뭔가 스스로 깨달으셔서 하신다면 일하실 때 수월 하시겠죠? 그렇죠? 네?
 
문, 황, 이 : (끄덕끄덕)