|

[RSAC2017] “보안은 기술이 아니라 비즈니스 문제”

“보안은 기술의 문제가 아니라 비즈니스 문제다.”

미국 샌프란시스코 모스콘센터에서 14일(현지시간) 열린 ‘RSA컨퍼런스(RSAC2017)’ 개막 기조연설자로 나온 줄피카 람잔(Zulfikar Ramzan) 델 테크놀로지스 RSA 사업부 최고기술책임자(CTO)가 “기업 비즈니스와 보안 사이에 존재하는 ‘격차(Gap of Grief)’를 없애기 위해 서로 연결하고 계속 혁신해 나가야 한다”고 강조했다.

연결 수준은 그 사이를 “선으로 잇는” 차원이 아니라 비즈니스와 보안 간 “조인트벤처”가 만들어지는 정도여야 한다고 지적했다. 그 방안으로 람잔 CTO는 기업들이 ‘비즈니스 중심 보안(Business Driven Security)’을 채택할 것을 제안했다. 그래야 점점 거세지는 사이버공격으로 인해 발생하는 ‘혼란(Chaos)’에 대비할 수 있다는 것이다.

rsa-cto람잔 CTO는 기업이 ‘비즈니스 중심 보안’을 구현하기 위한 세 가지 주안점을 지적했다.

먼저 그는 “위험을 어둠의 예술이 아닌 과학으로 다뤄야 한다(Treat risk as a science, not a dark art)”고 제시했다. 보안 문제가 비즈니스 리스크에 어느 정도 영향을 미치는지 사전에 예측하는 것은 매우 어렵기 때문에 두가지를 서로 연계해야 할 뿐만 아니라 모든 가능성을 미리 생각해 시나리오를 기반으로 분석하고 위험을 측정할 수 있는 방법론을 마련해야 한다는 얘기다.

그 다음으로는 “통제를 단순화하라(Simplify what you control)”고 제안했다. 람잔 CTO는 “정책을 기반으로 동작하지 않는 솔루션(vendor)이 없어야 한다. 모든 것을 통합해야 한다”고 설명했다. 많은 이기종 솔루션을 통합 관리할 수 있어야 한다는 것이다.

세 번째는 “통제할 수 없는 혼란에 대한 계획을 수립하라(Plan for the chaos you can’t control)”고 조언했다. 이를 구현하기 위한 필요사항(ABC)으로 그는 ‘가용성과 예산, 협업’을 꼽았다.

람잔 CTO는 “사고 대응에는 예기치 않은 비용이 발생할 수 있기 때문에 가용한 자원만 활용해서는 안된다”며 “예산이 없는 사고 대응은 ‘동화(fairy tale)’에 불과하다”고 일갈했다. 이어 그는 “예산을 반드시 확보해야 하며, 기업 IT와 재무, 법무, 영업, 마케팅 등 다양한 부서가 함께 협력해 혼란에 대비해야 한다”고 덧붙였다.

dell한편, 이날 람잔 CTO의 기조연설 무대에 깜짝 등장한 마이클 델 델테크놀로지스 회장 역시 보안이 비즈니스 리스크 관점에서 매우 중요하다는 점을 강조했다.

델 회장은 “CEO들이 최우선 이슈로 보안을 꼽고 있다”며 “그들은 크로스사이트스크립팅이나 악성코드를 얘기하는 것이 아니라 비즈니스 리스크 관점에서 실제 문제가 되는 것과 위험을 관리하는 방법을 알고 싶어한다”고 말했다.

그는 “IT는 점점 더 BT, 즉 비즈니스 기술이 되고 있다”면서 “디지털 전환에 대한 갈증은 계속되고 있고 이미 현실이 되면서 다양한 사회 분야를 엄청나게 변화시킬 수 있는 기회를 제공하지만 반드시 안전하게 수행돼야 한다”고 견해를 밝혔다.

글. 바이라인네트워크
<샌프란시스코=이유지 기자>yjlee@byline.network

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다