CxO가 알아야할 정보보안

강은성 지음

최근에 수만명 규모의 큰 조직에서 10명 안팎의 작은조직으로 이직했다. 체감상 가장 많이 달라진 부분이 ‘보안’이었다. 전에는 숨막힐정도로 촘촘한 보안통제가 이루어졌지만, 지금은 상대적으로 자유로운 분위기에서 업무를 한다. 그리고 전 직장의 경우, 그렇게 엄격히 통제를 했음에도 정말 황당한 이유로 주기적인 보안사고가 터졌다.

최근에 보안관련 고민과 호기심이 많이 생겼던 도중에 우연히 충동적으로 구매한 책인데, 의외로 내용이 훌륭했다. 저자는 국내에서 오랫동안 정보보안 분야에서 전문성을 쌓았다. 이런 현업 경험이 책 곳곳에 잘 녹아있어서, 재밌게 잘 읽었다.

정보보안기술(암호학, 공개키, SHA 등)에 대해서는 최소한으로만 서술하고 있다. 저자는 보안은 “전사적인 활동”이라는 것을 책 전반에 걸쳐서 강조를 한다. “한 조직의 강도 =약한고리의 보안의 강도”이다. 즉, 보안정책/기술 등이 단순 IT직군 뿐만 아니라, 전 사원들에게 퍼져야 한다. 이 과정에서 보안담당자는 현장의 실무자들과 부딪히는 경우가 잦다. 보안사고가 터지지 않는 이상 보안절차들은 하나의 짐이 되는 경우가 많기 때문이다.

저자는 실제로 보안정책을 적용하면서 다른 부서 임원들과 마찰을 겪거나, 잘 모르는 직원들을 교육하는데 있었던 현실적 어려움을 이야기하는데, 개인적으로 크게 공감을 했다.

저자는 C레벨에 관리자가 보안에 관심을 가져야 한다고 강조한다. 또 정보보안 조직이 어떻게 구성되어야 하며, 어느정도의 위치에 있어야 하며, CEO를 설득하고 주의를 환기시킬때 필요한 “유능한 보안담당자의 역할(성과측정, 주기적 보고서 작성 )”에 대해서 이야기한다. 결국 보안은 기술적 문제 이전에 전사적인 문제, 구체적으로는 지배구조(governance)에 대한 문제라는 점을 강조한다.

한가지 덧붙이고 싶은 점은, 보안은 회사의 “복지”와 같은 예상하지 못한 분야와도 부딪히고, 보안 담당자는 이러한 정책들에 대한 이해도 있어야한다. 대표적인 사례가 “재택근무”와 “BYOD(Bring Your Own Device)”이다. 이러한 트렌드를 감안해서 보안담당자들은 현실적인 기술+대책을 내놓아야 한다.

또 획일적인 보안이 강조되다 보면, 사람들이 비공식채널(예: 개인 카카오톡)을 쓰는 경우가 있는데, 이것만큼 비효율적인 것이 없다. 보안정책은 정책대로 지키고, 정보는 줄줄이 새기 때문이다.

저자는 마지막으로 실제로 보안사고가 터졌을때 , 어떻게 위기관리(언론,사법기관수사, 임직원관리, 고객관리) 를 하는지 상세하게 설명을 한다. 또한 정보보안과 관련된 현형법령을 소개하는데, 저자의 경험과 사례가 양념처럼 가미되어 있어서 정말 재밌게 읽었다.

원칙만 나열하는 딱딱한 개론서가 아니다. 보안업무에 필요한 현실적 고민과 오랜 경험이 압축된 책이다. 조직의 관리자라면 한번 읽어볼만한 책이다.

Show your support

Clapping shows how much you appreciated 조영지(Youngji)’s story.