[아이티데일리] 과거 기업의 보안 문제는 한 부서의 문제였지만, 지금은 기업 전체의 문제다. 이제 보안은 기업 문화의 일부분으로 자리 잡게 됐고, 직원들의 행동방식, 기술개발, 결정과정의 기본 틀로 받아들여지고 있다. 이런 점에서, 빠르고 안정적인 비즈니스 성장을 이루기 위해서는 보안 문제에 대한 긍정적이고 적극적인 시각이 필요하다.

그렇다면, 기업의 보안 문화는 어떻게 만들어야 할까. 어떤 실체를 갖춰야 하며, 이를 유지 발전하기 위한 원칙들은 무엇인가. 그리고 긍정적인 보안 문화를 조성하기 위해 기업들이 지금 해야 할 것은 무엇인가.

기업의 보안 문화

기업의 보안 문화는 긍정적인 관점에서 보면, 보안 담당 부서가 다른 사업부들과 유기적으로 협력하는 기업 문화를 의미한다. 직원들이 자기 일을 제대로 하기 위해서는 보안이 문제가 되어서는 안 된다. 보안은 기술적 문제가 아니라, 기술을 사용하는 사람들과 조직 문화의 문제다.

일반적으로 보안을 출입 통제나 프로젝트의 부수적 과제 정도로 생각하는 경향이 있다. 때로 보안 담당자만의 책임으로 치부하곤 한다. 그러나 성공적인 기업들은 보안 문제를 적극적인 자세로 받아들여, 기업 문화의 기초로 그리고 모든 임원, 관리자, 직원의 관심사로 여긴다. 그래서 보안을 일상적인 업무 프로세스의 중심에 두고, 문제 발생 시 탄력적인 대응을 위한 능력 강화에 많은 노력을 기울인다.

보안 문화 조성 5가지 원칙

1. 보안 교육

필요한 기술 사용법을 익히고, 보안 전문가의 조언을 구하며, 보안 정책 및 규칙을 이해하도록 하는 것을 의미한다. 이를 통해 모든 직원이 보안의 최일선이 되게 해, 단순 오류로 인한 보안 문제 발생을 원천봉쇄하게 된다. 또한 애플리케이션 보안 설정, 제품 패치 등 비즈니스 전반에 걸친 보안 기대치를 설정하는 것도 이에 포함된다.

2. 보안위생(Hygiene)

단순한 실수가 보안 위협이 되는 것을 막기 위한 필수 요소가 보안위생이다. 직원들은 사용자 계정이나 암호를 공유하는 것이 위험한 관행이 될 수 있음을 인식해야 한다. 한편, 기업은 보안 관행을 용이하게 해 줄 액세스 시스템을 확보해야 한다. 예를 들어, AWS는 몇 분 또는 몇 시간 동안만 지속되는 임시 자격을 부여하고 그 이후에는 시스템 액세스를 허용하지 않는 서비스를 제공하고 있다. 이를 통해 서비스 액세스 관리를 강화해 비즈니스 데이터에 대한 불필요한 접근을 차단할 수 있다.

3. 문제 해결을 통한 학습

인간관계에서처럼, 인간이 만든 소프트웨어에서도 항상 문제는 발생한다. 중요한 것은 교훈을 얻고 향후 예방 조치를 취하는 것이다. 근본적인 원인을 객관적으로, 그리고 다른 사람을 비난하지 않고 분석하는 기업문화는 그 조직의 학습 능력을 키우는 데 큰 도움이 된다. 실수한 사람에게 캐묻는 대신, 앞으로 어떻게 해야 할지에 집중해야 한다. 또한 직원들은 보안팀의 지원을 믿고 보안 문제를 편하게 제기할 수 있어야 한다.

4. 현장 파악

업무 현장에서 개발자들과 함께 일하다 보면 소프트웨어가 어떻게 개발되고 배포되는지를 알게 된다. 그렇게 되면 보안담당자는 어느 부분에서 개발자가 올바른 보안 선택을 해야 하는지를 파악하고 도와 줄 수 있으며, 비즈니스 논리에 집중할 수 있는 능력을 갖도록 한다. 예를 들어 클라우드 플랫폼을 기업 ID 공급자와 통합하고 개발자가 이해한 가드레일 내에서 권한을 생성할 수 있도록 하면 보안을 게이트처럼 쓰지 않을 수 있다. 개발 업무 과정의 자동 점검 시스템을 통해 개발자들은 초기 단계의 피드백을 받을 수 있고 이에 따라 필요한 보안 요건을 충족할 수 있게 해 준다.

5. 측정 및 모니터링

보안 상태를 측정하고 이에 따라 직원들에게 데이터 액세스 권한을 부여하는 것은 조직의 어느 부분이 높은 성과를 창출하는지를 파악하고 알리는 좋은 방법이다. 업무 성과가 좋거나 혁신적인 솔루션을 구축하고 있는 팀을 파악해서 이를 조직 전반으로 확장 적용할 수 있을 것이다. 직원들에게 측정 기준을 제시하고 이를 위한 추적 도구를 제공함으로써 업무의 주인 의식을 불러일으키고, 긍정적인 보안 문화를 강화할 수 있다.

보안 문화는 직원들의 업무 행위, 기술 개발, 의사 결정을 위한 기준점이 되기 때문에 기업의 보안 수준을 크게 높이는 역할을 한다. 그러나 이것이 성공적인 것이 되려면, 체계적 접근이 있어야 한다. 즉 보안교육, 보안위생, 위협 모델링, 그리고 직원의 적극적인 자세를 필요로 한다. 그렇게 될 때 기업의 보안 문제가 개선되고, 기업은 비즈니스 경쟁력을 갖게 될 것이며, 데이터를 안전하게 보호할 수 있을 것이다.