[북리뷰] 보이지 않는 위협

9월 한빛출판사의 '나는 리뷰어다'에서 선정된 도서는 '보이지 않는 위협'입니다.

이 책에 대해 한줄평을 하자면 '경영진에게 추천하고 싶은 보안 이야기' 입니다.

전체적으로 기술적인 내용보다는 경영적인 관점에서의 보안 이야기에 가까운 내용이고
단순히 보안담당자나 기술담당자에게만 필요한 내용이 아닌 모든 임직원이 생각해볼만한 내용이 많은 책입니다.

책의 구성을 보면

1장. '피해의 현장'에서는 다양한 공격에 대한 설명을 하고 있습니다. 개인적으로 직원 교육에서 너무 자극적인 공격에 대해 소개하는 방식을 선호하지는 않습니다만 확실히 이목을 집중시키는데 이보다 효과적인 방법이 없는 듯 합니다.

2장. '리더의 미션'에서는 제목 그대로 리더는 어떤 자세를 취해야 하는가에 대한 이야기를 하고 있습니다. 2장에서 가장 와닿은 이야기는 CEO의 평가에 IT와 사이버보안이 포함되어야 한다는 이야기였습니다. 다양한 회사를 경험해보고 ISMS 인증심사를 하면서 보안담당자 입장에서 우리나라 기업 특히 중소기업의 가장 큰 문제점으로 느껴지는 것은 경영진의 관심 부족이었습니다. 거대 기업은 CISO의 겸임 금지 규제가 생기기는 했지만 여전희 대다수의 중소기업(중견기업 포함)의 경우 CTO가 CISO를 겸임하는 경우가 많습니다. 이런 현실에서 경영 관점에서 보안을 어떻게 바라볼 것인가를 얘기하는 2장이야말로 관점에 따라 기술적인 영역보다 중요하게 여길 수도 있지 않을까 싶습니다.

3장. '위협의 근원'에서는 사이버 위협의 원인이 되는 영역에 대해 이야기 하고 있습니다. 네트워크로 모든 컴퓨터가 연결되고 인터넷을 통해 모든 정보가 공개되어 있는 세상에서 그리고 끊임없이 새로운 기술이 나오는 현 시대에서 우리는 무엇을 봐야 하는가를 생각해볼 수 있는 챕터였습니다. 특히 시대의 변화에 따라 PC는 해커가 장악했다는 것을 전제로 정책을 세우는 식의 발상의 전환을 기술 발전에 따라 이뤄야 한다는 내용은 현재 흐름인 동시에 개인적으로 가장 큰 고민거리인 제로트러스트를 어떻게 구현할 것인가에 대해 한번쯤 더 생각해보는 시간을 가져다 주었습니다.

4장. '보안의 퍼스펙티브'에서는 보안을 어떤 관점에서 바라보고 어떻게 지킬 것인가에 대해 이야기 하고 있습니다. 이 장에서는 주로 리스크 관리에 대해 이야기 하고 있는데 10여년을 ISMS 인증을 중심으로 보안 활동을 하다가 ISO27001을 처음 접했을 때 두개의 인증 기준에서 리스크를 바라보는 관점이 달랐던 것을 생각해보면 자신만의 리스크 관리 방법을 정립하는 것이 보안의 시작이 아닐까 생각해봅니다.

5장. '빌드업'에서는 어떻게 빌드업을 해나갈 것인가를 다루고 있습니다. 책에서도 얘기하듯이 100% 조치되는 취약점은 존재하지 않는 현실에서 어떻게 우선순위를 정하고 처리해 나갈 것인가에 대해 얘기합니다. 간혹 비싼돈 들여 보안팀을 꾸리고 컨설팅을 받았으면 회사에 취약점도 없어야 하고 어떤 해커가 들어와도 대응이 되어야 한다고 주장하는 경영진도 있습니다. 그런 분들께 보안 담당자가 어떻게 일해야 하는것인가에 대해 이 챕터에서 얘기하는 바를 들려주고 싶습니다.

6장. '한국이 부족한 것은'에서는 필자가 바라본 국내 보안의 현실에 대해 꼬집고 있습니다. 빠른 기술 변화를 따라오지 못하는 규제가 오히려 최우선 고려대상이 되고 실무자의 목소리보다는 정치인이나 기술을 모르는 경영진의 목소리가 보안을 하는데 우선되는 현실에서 경영진은 보안을 어떻게 바라봐야 하고 본인의 역할과 실무 조직의 역할을 어떻게 구분해야 하는가에 대해 이 내용을 보면서 한번쯤 고민해봤으면 합니다.

7장. '융합의 마인드'에서는 입체적으로 변화하는 현실 속에서 보안은 어떤 방향으로 나아가야 하는가에 대한 얘기를 하고 있습니다. 이 시대는 온라인과 오프라인이 구분되지 않고 공급자와 소비자가 구분되지 않은 시대가 되었습니다. 마이데이터가 이슈화 되면서 내 개인정보는 누구의 것인가에 대한 고민도 한층 깊어졌습니다. 아직 보안업계에는 이것들을 따로 놓고 보는 사람이 많은 것이 현실입니다. 하지만 이제 하루라도 빠르게 발상의 전환이 필요한 시점이 아닐까 싶습니다.

8장. '보안의 특성'에서 두가지 내용이 특히 다가왔습니다. 첫번째는 조직의 보안수준은 가장 취약한 연결고리에 있다는 것입니다. 이를 나무로 짜여진 물통으로 많이 비유하는데요 다른 벽을 아무리 높게 세워놓아도 나무판 하나를 낮게 세운다면 모든 물은 그 나무판을 통해 빠져나간다는 이야기 입니다. 동일하게 보안 역시도 다양한 영역 중 하나만 낮은 수준을 안고 간다면 그 영역을 통해 모든 정보는 빠져나갈 수 있습니다. 두번째는 예방과 방지가 비용이 훨씬 적게 든다는 내용입니다. 어느 조직이나 마찬가지겠지만 보안조직이 가장 어려워하는 사람이 CFO입니다. 많이 변하긴 했습니다만 아직도 보안은 돈을 버는 조직보다는 쓰는 조직이라는 인식이 강한 상황에서 적지않은 비용이 들어가는 보안조직이 적절한 예산을 따내기란 쉬운일이 아닙니다. 특히 아직 사고도 안났는데 그게 왜 필요하냐는 질문에 설득하는 일은 때로는 차라리 작은 사고 하나 났으면 하는 생각까지 들게 합니다. 이런 현실에서 경영진이 예방이 오히려 싸게 먹힌다는 것을 인지해줬으면 하는 바램입니다.

9장. '미래의 고민'에서는 어떤 기술, 어떤 관점에서의 얘기보다는 필자가 미래를 바라보며 어떻게 나가야 하는가에 대한 고민을 담은 챕터입니다. 환경도 변화하고 기술도 변화하고 사람들의 생각도 변화하는 이 시대의 흐름에서 중요한 것은 무엇일까에 대한 고민을 하게 합니다. 이 챕터의 마지막이자 이 책의 마지막에 경영진에게 들려주고 싶은 한 문장이 있었습니다.
'IT도 아웃소싱할 수 있고 보안관제도 아웃소싱할 수 있다. 그러나 책임은 아웃소싱할 수 없다.'
보안이 허술해졌을 때 그 책임은 보안담당자가 지는게 아닙니다. 물론 경영진이 충분히 지원한 상황에서 보안담당자가 업무를 허술하게 해 문제가 생겼다면 보안담당자의 책임이 크겠지만 보안담당자의 역할은 경영진의 지원을 받아 보안 업무를 수행하고 주요 결정사항에 대해 경영진이 적절한 결정을 내릴 수 있도록 근거를 마련하는데 있습니다. 그럼에도 불구하고 예산도 인력도 충분하지 않은 상황에서 모든 책임은 보안팀이 져라 라고 하는 경영진을 수도없이 접하곤 합니다.
보안에 대한 책임은 경영진 그리고 구성원 모두의 것이고 아무리 모든것을 아웃소싱한다고 해도 책임만큼은 아웃소싱할 수 없다는 것을 항상 염두에 두었으면 하는 바램을 이 책을 덮으면서 또한번 가져봅니다.

이 책을 보면서 우리나라의 모든 CISO님들이 보안에 필자의 반만이라도 관심을 가져주신다면 얼마나 좋을까 하는 생각을 많이 해봤습니다. 동시에 우리의 보안 현실에 대해 또한번 아쉬운 마음을 갖게 해주는 책이었습니다. 하지만 이런 책들이 계속해서 나오고 경영진들이 읽는다면 우리의 미래는 조금이나마 밝아지지 않을까 하는 기대를 해봅니다.

"한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다."