보안과 보안부서의 미래[보안전문가에게 필요한 기능과 미래][산업보안학 ISS][국가정보전략연구소]
2012-11-26 오후 6:11:00
보안전문가에게 필요한 기능과 미래
보안전문가에게 필요한 기능
1. 보안전문가가 가져야 할 지식
2. 보안전문가가 가져야 할 7가지 자세
3. CSO에게 요구되는 기능
4. CSO의 업무와 성공요소
보안전문가의 과거이력과 기회
5. 보안전문가의 다양한 과거이력
6. 보안전문가에게 열려 있는 기회
7. 보안과 보안부서의 미래
7. 보안과 보안부서의 미래
기업이 핵심 업무를 제외한 대부분의 업무를 아웃소싱(outsourcing)하는 것이 시대적 흐름이다. 보안업무도 예외가 아니다. 이미 많은 기업에서 출입자 관리, 시설관리, 정보시스템 관리 등의 보안업무를 외부에 맡기고 있다. 앞으로 이러한 추세는 더 강해지고, 외부용역을 맡기는 보안업무의 범위도 핵심적인 부문까지 확장되리라고 본다. 일부 글로벌 기업은 오히려 핵심 업무뿐만 아니라 대부분의 보안업무를 직접 통제하려는 움직임을 보이고 있다. 하지만 국내 기업은 아직도 아웃소싱이 대세로 대기업과 중소기업이 모두 동참하고 있는 실정이다.
보안업무를 외부에 맡긴다고 보안취약성이 높아지고, 직접 관할한다고 보안이 강건해지는 것은 아니다. 오히려 개별적인 상황과 계약내용에 따라 다르다. 2011년에 발생한 농협 해킹사태의 수습과정에서 알 수 있듯이 내부 직원이 최소한의 통제권한을 가지고 있어야 한다. 그렇지 못하면 사고원인의 파악이나 보안대책의 수립은 힘들어지게 된다. 보안책임자는 비용절감을 목표로 아웃소싱되는 보안업무 중 핵심부문은 절대로 놓쳐서는 안 된다. 내부직원이 특정 핵심 보안업무를 담당하는 것이 외부에 아웃소싱하는 것보다 효율적이라는 논리로 경영진을 설득해야 한다.
정성적인 데이터가 아니라 정량적인 데이터로 설득을 하기 위해서는 수치화시켜야 한다. 보안부서가 제공하는 서비스와 위험 예방효과를 정량화해야 한다. 쉽지는 않지만 필요하다면 회계전문가의 도움을 받거나, 보안전문가 스스로 회계관련 공부를 하는 것도 한 가지 방법이다. 보안부서 직원의 이직률과 외부 아웃소싱 업체 직원의 이직률을 비교해 업무 효율성을 측정할 수도 있고, 기업 내부 보안사고의 피해금액, 적발하지는 못했지만 잠재적으로 일어나고 있는 보안사고로 인한 손실 등을 수치화함으로써 보안업무에 투입하는 금액을 합리화할 수도 있다.
보안예산 중 인건비도 중요하지만, 보안시설 비용은 자산으로 잡힌다는 사실도 설득할 필요가 있다. 비용측면에서 본다면 보안시설에 투입된 비용은 일정 기간 동안 매년 동일한 비율로 감가 상각해 절대적인 비용이 낮다는 점을 설득해야 한다. 보안업무로 인해 예방되거나 최소화되는 손실을 수치로 정리한다면 보안에 투입되는 예산에 대해서도 정당성을 확보하기 어렵지 않다. 기존의 주먹구구식의 논리나 통제와 감시위주의 보안을 중시하면 미래가 어둡다. 보안관련 직원이 똑똑하고 논리적이면 업무가 확장될 것이고, 업무를 기피하고 폐쇄적으로 활동한다면 점점 업무가 줄어들 것이다.
간단한 사례를 들어 보자. 최근 위크리크스(WikiLeaks)가 미국 정부의 비밀 문건을 공개하면서 관심을 일으킨 조직의 내부고발자(whistle Blower) 관리가 관심을 받고 있다. 내부고발행위의 조사나 처리는 기업이 보안업무임에도 불구하고, 보안부서는 골칫거리 일을 맡을 필요가 없다고 머뭇거리는 사이 기업의 인사나 법무, 인사부서 사이에서 치열한 영역다툼이 일어날 것으로 보인다.
- 이하 생략 -
(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p55)
보안전문가에게 필요한 기능
1. 보안전문가가 가져야 할 지식
2. 보안전문가가 가져야 할 7가지 자세
3. CSO에게 요구되는 기능
4. CSO의 업무와 성공요소
보안전문가의 과거이력과 기회
5. 보안전문가의 다양한 과거이력
6. 보안전문가에게 열려 있는 기회
7. 보안과 보안부서의 미래
7. 보안과 보안부서의 미래
기업이 핵심 업무를 제외한 대부분의 업무를 아웃소싱(outsourcing)하는 것이 시대적 흐름이다. 보안업무도 예외가 아니다. 이미 많은 기업에서 출입자 관리, 시설관리, 정보시스템 관리 등의 보안업무를 외부에 맡기고 있다. 앞으로 이러한 추세는 더 강해지고, 외부용역을 맡기는 보안업무의 범위도 핵심적인 부문까지 확장되리라고 본다. 일부 글로벌 기업은 오히려 핵심 업무뿐만 아니라 대부분의 보안업무를 직접 통제하려는 움직임을 보이고 있다. 하지만 국내 기업은 아직도 아웃소싱이 대세로 대기업과 중소기업이 모두 동참하고 있는 실정이다.
보안업무를 외부에 맡긴다고 보안취약성이 높아지고, 직접 관할한다고 보안이 강건해지는 것은 아니다. 오히려 개별적인 상황과 계약내용에 따라 다르다. 2011년에 발생한 농협 해킹사태의 수습과정에서 알 수 있듯이 내부 직원이 최소한의 통제권한을 가지고 있어야 한다. 그렇지 못하면 사고원인의 파악이나 보안대책의 수립은 힘들어지게 된다. 보안책임자는 비용절감을 목표로 아웃소싱되는 보안업무 중 핵심부문은 절대로 놓쳐서는 안 된다. 내부직원이 특정 핵심 보안업무를 담당하는 것이 외부에 아웃소싱하는 것보다 효율적이라는 논리로 경영진을 설득해야 한다.
정성적인 데이터가 아니라 정량적인 데이터로 설득을 하기 위해서는 수치화시켜야 한다. 보안부서가 제공하는 서비스와 위험 예방효과를 정량화해야 한다. 쉽지는 않지만 필요하다면 회계전문가의 도움을 받거나, 보안전문가 스스로 회계관련 공부를 하는 것도 한 가지 방법이다. 보안부서 직원의 이직률과 외부 아웃소싱 업체 직원의 이직률을 비교해 업무 효율성을 측정할 수도 있고, 기업 내부 보안사고의 피해금액, 적발하지는 못했지만 잠재적으로 일어나고 있는 보안사고로 인한 손실 등을 수치화함으로써 보안업무에 투입하는 금액을 합리화할 수도 있다.
보안예산 중 인건비도 중요하지만, 보안시설 비용은 자산으로 잡힌다는 사실도 설득할 필요가 있다. 비용측면에서 본다면 보안시설에 투입된 비용은 일정 기간 동안 매년 동일한 비율로 감가 상각해 절대적인 비용이 낮다는 점을 설득해야 한다. 보안업무로 인해 예방되거나 최소화되는 손실을 수치로 정리한다면 보안에 투입되는 예산에 대해서도 정당성을 확보하기 어렵지 않다. 기존의 주먹구구식의 논리나 통제와 감시위주의 보안을 중시하면 미래가 어둡다. 보안관련 직원이 똑똑하고 논리적이면 업무가 확장될 것이고, 업무를 기피하고 폐쇄적으로 활동한다면 점점 업무가 줄어들 것이다.
간단한 사례를 들어 보자. 최근 위크리크스(WikiLeaks)가 미국 정부의 비밀 문건을 공개하면서 관심을 일으킨 조직의 내부고발자(whistle Blower) 관리가 관심을 받고 있다. 내부고발행위의 조사나 처리는 기업이 보안업무임에도 불구하고, 보안부서는 골칫거리 일을 맡을 필요가 없다고 머뭇거리는 사이 기업의 인사나 법무, 인사부서 사이에서 치열한 영역다툼이 일어날 것으로 보인다.
- 이하 생략 -
(산업보안학ISS – 민진규 저(국가정보전략연구소소장) p55)
저작권자 © Institute for National Intelligence Strategy, 무단전재 및 재배포 금지