2024-03-29 18:05 (금)
[기고] 황석훈 타이거팀 대표 “보안의 출발은 업에 대한 이해로부터”
상태바
[기고] 황석훈 타이거팀 대표 “보안의 출발은 업에 대한 이해로부터”
  • 길민권 기자
  • 승인 2017.07.14 13:59
이 기사를 공유합니다

“업무를 방해하는 보안은 보안이 아니다”

▲ 황석훈 타이거팀 대표
▲ 황석훈 타이거팀 대표
정보보호를 위한 활동은 업무를 이해하는 것에서부터 출발해야 한다.

정보를 보호하는 보안전문가가 되기 위해서 많은 분들이 노력하고 있다. 또한 이미 현업에서 보안 전문가로 활동하고 있다. 하지만 여러 보안인들을 만나 대화를 해보면, 특정 기술이나 특정 업무에 너무 매몰된 전문가를 자주 만날 수 있다. 필자는 우리가 말하는 기술을 어떻게 활용하는 것이 맞는지에 대해서 논해보고자 한다.

보안 솔루션, 보안컨설팅, 모의해킹 기술, 관제 기술, 각종 분석 기술 등은 왜 필요한 것인가?

우리가 지키고자 하는 정보를 보다 안전하고 체계적으로 지키기 위해서다.

그런데 우리가 지키고자 하는 그 정보가 어디에 존재하고 누가 만들고 왜 만들어지고, 어떻게 사용되고 폐기되는지를 모르고 보호한다는 것은 어불성설이다.

모든 보안인이 숲을 보지 않고 나무만 본다고 생각하지 않지만, 나무만 보고 있는 보안인도 꽤나 있는 것으로 보인다. 특히 보안을 공부하고 있는 입문자들에게서 이런 현상이 두드러진다. 자신의 기술력을 어디에 어떻게 활용해야 하는지를 모르고 해당 기술에만 집착하는 것은 숲을 보지 못하고 나무만 보고 있다는 것을 알았으면 한다.

기본적으로 기업에서 보호하고자 하는 정보는 업무상에서 만들어진다. 즉 보안을 잘하고자 한다면 업무를 이해하는 것이 가장 기본이고 핵심이다.

보안인은 자신에게 주어진 보안업무만 생각하면 안된다. 전체 네트워크를 머리에서 그릴수 있어야 하고 업무간 데이터의 흐름이나 데이터의 생성, 보관 등의 흐름을 이해할 수 있어야 한다. 보안인이 한 분야에 정통한 것도 중요하지만 다른 분야에도 관심을 기울여야 하고 지속적으로 공부해야 하는 이유가 여기에 있다.

물론 한 직장에 오래 다니면 자연스럽게 알 수도 있다. 하지만 사이버 공격자들은 우리가 업을 충분히 이해할 때까지 기다려 주지는 않는다. 또한 업에 대한 충분한 이해가 바탕이 되어야만 전체적인 설계가 체계적으로 이루어질 수 있다. 컴플라이언스만을 쫓아다니면서 보안을 설계하면 불필요한 투자나 중복 또는 불편함만 가중시키기도 한다. 항상 업에 대한 이해를 기반으로 왜라는 질문을 해야 하고 이에 대한 답이 명확할 때 우리는 보다 발전된 보안 전문가가 될 수 있지 않을까.

그리고 무엇보다 우리는 정보에 기밀성, 무결성, 가용성을 확보해야 함은 잘 알고 있다. 여기서 가용성을 고려할 때 보안이 업무를 방해하면 곤란하다는 결론을 내릴 수 있다. 우리가 보호해야 하는 정보는 업무에서 발생하기 때문에 업무의 가용성을 확보해야 데이터를 잘 보호하는 것이기 때문이다. 따라서 업무를 방해하는 보안은 보안이 아닌 것이다.

필자가 웹사이트 취약점을 찾는 모의해킹만을 잘 하는 전문가보다 기술은 좀 부족하지만고객과 충분히 소통하면서 업을 이해하려고 노력하고 해당 분야의 특징 등을 이해하면서 모의해킹을 할 수 있는 전문가를 휠씬 높이 평가하는 이유이기도 하다. [글. 황석훈 타이거팀 대표]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★