2009년 08월 26일
기업내 보안팀의 생존
올해로 우리나라의 보안 역사도 거의 10년이 넘어갈 정도로 보안에 대한 생각과 사상은 보편화 되었습니다.
대부분의 회사 IT 조직에 정보보호팀이 없는 경우는 없습니다. 물론 규모가 작거나 공공쪽에는 전담 보안팀이 없는 경우도 있긴 하지만 약 80% 회사 조직이 어떤 형태로든 정보보안 조직을 갖추고 있습니다.
저는 정보보안팀에 위상에 대해서 이야기 하려고 합니다. 정보보안 조직은 회사 전사 및 IT 관련 서비스에 있어서 백혈구와 같은 역할을 수행하는 조직입니다. 백혈구의 임무는 체내에 들어온 각종 바이러스를 물리치는 항체를 생성하는 임무를 맡습니다.
백혈구의 존재는 사실 피부로 느끼지는 못합니다. 그러나 그 백혈구가 부족하거나 미숙하여 체내에 들어온 바이러스를 제거하지 못하는 백혈병에 걸린다면 생존은 장담할 수 없죠.
정보보안 조직은 바로 이러한 백혈구와 같은 중요한 역할을 하고 있는데도 아직은 뭔가 부족합니다.
현실을 이야기 하자면 제가 지인들로 부터 들은 국내의 정보보안 조직의 위상은 그리 높지 않습니다. 조직내애서 보안팀의 위상은 늘 위태하기만 합니다. 보안팀 인력은 늘 부족하고 하는 일은 많고, 그에 걸맞는 대접을 받는 것 같지는 않고 타 부서로 부터 집중적인 견재 비협조, 태클을 받는 등 여러가지 형태가 있죠. 대부분 보안팀에 부정적인 환경들 뿐입니다.
-. 보안팀은 서비스 부서에게는 이것 저것 하라고 하는 귀찮게 하는 존재로 느껴진다.
-. 보안팀에서 하는 말은 뭐든지 잔소리처럼 들린다
-. 보안팀에서 하자는 대로 하면 서비스를 하지 말라는 의미다. 너무 불편하다 등등
-. 보안팀은 IT 지원부서와 같은 일을 하는 조직처럼 느껴진다.
-. 보안 예산은 항상 우선순위가 맨 마지막에 주어진다.
-. 정보보안 관련 예산은 중장기 로드맵 보다는 주요 이슈발생 시 즉흥적으로 결정되는 경향이 많다.
대부분 보안팀에서 일하는 친구들 이야기를 들어보면 일하기 너무 힘들다고 합니다. 이것 저것 잡다한 일도 많고 경영진의 이해를 구하기도 어렵고, 보안 업무를 열심히 해도 그 성과가 눈에 보이지 않는다고 합니다. 일종에 보험처럼 말이죠
그럼 보안팀은 어떻게 기업 조직내에서 생존해야 할까요. 현재까지는 여러가지 방법이 있지만 제일 선택하기 쉬운 것은 보안과 관련된 인증 컨설팅을 통해서 보안팀이 이런 일을 한다라는 것을 알리는 방법이 있습니다. 외부 전문 컨설팅업체를 통해서 타 부서에 보안 인식도 좀 키우고 인증 획득하면 경영진에게 보도자료를 통해서 언론매체에 얼굴도 나오니 이것만큼 좋은 게 없죠. 문제는 이런 일이 1회성으로 끝날 가능성이 높다는 것입니다.
지속적으로 성과를 내야 하는 것을 고민해야 하는 것이 보안팀의 고민입니다. 보안 예산을 투자하여 다양한 솔루션을 도입했는데도 보안 문제는 여전히 나옵니다. 경영진의 신뢰 얻기가 넘 힘듭니다. 그렇다고 전문적이고 기술적인 내용을 경영진은 알 턱이 없죠
참으로 보안팀의 위상을 끌어 올리기 위해서 무엇을 해야 할까요?
사원일 때야 위에서 시키는 일만 하면 되지만 년차가 올라서 팀장이 되면 이러한 고민은 점점 쌓입니다. 보안조직이 살아남아야 하는 이유
팀장급 직책자들의 고민은 점점 커져만 갑니다. 뭔가 새로운 것을 보여줘야 하는데 그게 잘 되지 않는 현실 여러분은 과연 어떤 고민들을 하고 계시나요?
대부분의 회사 IT 조직에 정보보호팀이 없는 경우는 없습니다. 물론 규모가 작거나 공공쪽에는 전담 보안팀이 없는 경우도 있긴 하지만 약 80% 회사 조직이 어떤 형태로든 정보보안 조직을 갖추고 있습니다.
저는 정보보안팀에 위상에 대해서 이야기 하려고 합니다. 정보보안 조직은 회사 전사 및 IT 관련 서비스에 있어서 백혈구와 같은 역할을 수행하는 조직입니다. 백혈구의 임무는 체내에 들어온 각종 바이러스를 물리치는 항체를 생성하는 임무를 맡습니다.
백혈구의 존재는 사실 피부로 느끼지는 못합니다. 그러나 그 백혈구가 부족하거나 미숙하여 체내에 들어온 바이러스를 제거하지 못하는 백혈병에 걸린다면 생존은 장담할 수 없죠.
정보보안 조직은 바로 이러한 백혈구와 같은 중요한 역할을 하고 있는데도 아직은 뭔가 부족합니다.
현실을 이야기 하자면 제가 지인들로 부터 들은 국내의 정보보안 조직의 위상은 그리 높지 않습니다. 조직내애서 보안팀의 위상은 늘 위태하기만 합니다. 보안팀 인력은 늘 부족하고 하는 일은 많고, 그에 걸맞는 대접을 받는 것 같지는 않고 타 부서로 부터 집중적인 견재 비협조, 태클을 받는 등 여러가지 형태가 있죠. 대부분 보안팀에 부정적인 환경들 뿐입니다.
-. 보안팀은 서비스 부서에게는 이것 저것 하라고 하는 귀찮게 하는 존재로 느껴진다.
-. 보안팀에서 하는 말은 뭐든지 잔소리처럼 들린다
-. 보안팀에서 하자는 대로 하면 서비스를 하지 말라는 의미다. 너무 불편하다 등등
-. 보안팀은 IT 지원부서와 같은 일을 하는 조직처럼 느껴진다.
-. 보안 예산은 항상 우선순위가 맨 마지막에 주어진다.
-. 정보보안 관련 예산은 중장기 로드맵 보다는 주요 이슈발생 시 즉흥적으로 결정되는 경향이 많다.
대부분 보안팀에서 일하는 친구들 이야기를 들어보면 일하기 너무 힘들다고 합니다. 이것 저것 잡다한 일도 많고 경영진의 이해를 구하기도 어렵고, 보안 업무를 열심히 해도 그 성과가 눈에 보이지 않는다고 합니다. 일종에 보험처럼 말이죠
그럼 보안팀은 어떻게 기업 조직내에서 생존해야 할까요. 현재까지는 여러가지 방법이 있지만 제일 선택하기 쉬운 것은 보안과 관련된 인증 컨설팅을 통해서 보안팀이 이런 일을 한다라는 것을 알리는 방법이 있습니다. 외부 전문 컨설팅업체를 통해서 타 부서에 보안 인식도 좀 키우고 인증 획득하면 경영진에게 보도자료를 통해서 언론매체에 얼굴도 나오니 이것만큼 좋은 게 없죠. 문제는 이런 일이 1회성으로 끝날 가능성이 높다는 것입니다.
지속적으로 성과를 내야 하는 것을 고민해야 하는 것이 보안팀의 고민입니다. 보안 예산을 투자하여 다양한 솔루션을 도입했는데도 보안 문제는 여전히 나옵니다. 경영진의 신뢰 얻기가 넘 힘듭니다. 그렇다고 전문적이고 기술적인 내용을 경영진은 알 턱이 없죠
참으로 보안팀의 위상을 끌어 올리기 위해서 무엇을 해야 할까요?
사원일 때야 위에서 시키는 일만 하면 되지만 년차가 올라서 팀장이 되면 이러한 고민은 점점 쌓입니다. 보안조직이 살아남아야 하는 이유
팀장급 직책자들의 고민은 점점 커져만 갑니다. 뭔가 새로운 것을 보여줘야 하는데 그게 잘 되지 않는 현실 여러분은 과연 어떤 고민들을 하고 계시나요?
# by | 2009/08/26 17:51 | Security 일반 | 덧글(2)
보안을 강화하면 내부 직원들의 원성이 장난이 아닙니다...
이로 인해 보안레벨을 하향조정하는 경우도 많이 생기죠...
내부적으로 보안팀이 무엇을 하는지는 알고 있지만, 이로 인한 불편을 감수할 만큼 보안부서가 힘이 없습니다. 물론, 보안레벨과 서비스레벨을 적절하게 준용해야 하겠지만, 이 또한 서비스레벨에 가깝게 하라는게 경영자의 마인드...내부직원이 불편해서 일 못하겠다라는게 가장 큰 문제거리인데..솔직히 막말로 컴맹들이 이따우 소리를 마니 하는데...어이가 없는 경우가 많아요..