[PASCON 2024-강연] 박나룡 소장 “조직의 보안 문제는 왜 반복될까?”

“반복되는 보안 문제 방치하면 안되…해결하기 위한 지속적인 노력 기울여야"

데일리시큐가 주최하고 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회가 후원하는 하반기 최대 사이버보안 컨퍼런스 및 전시회인 PASCON 2024가 9월 10일 1,200여 명의 공공, 금융, 기업 정보보호 실무자들이 참석한 가운데 성황리 개최됐다.

이날 마지막 키노트에서 박나룡 보안전략연구소 소장은 “조직의 보안 문제는 왜 반복될까?”란 주제로 강연을 진행했다. 그는 실제 현장에서 수많은 보안 조직 운영 경험을 바탕으로 조직 보안 문제의 근본적인 원인을 심도 있게 분석하며 해결 방안을 제시해 참관객들의 큰 관심을 끌었다.

◆리소스 부족, 보안 인력과 예산의 현실

박나룡 소장은 첫 번째 이슈로 리소스 부족을 들었다. 그는 “사실 정보보호 분야는 30년 정도밖에 되지 않았으며, 아직은 전문적인 인력을 양성하는 시기”라고 설명했다. 현재 조직에는 정보보호 인력이 충분하지 않고 전문 인력은 더 부족하다. 또한, 법률이나 사회적 요구사항은 예상보다 빠른 속도로 늘어나고 있어 대응하는 데 필요한 예산과 인력은 턱없이 부족한 상황이다.

"예산이 충분하다고 해도 항상 부족하게 느끼는 것은 보안 수준이 리소스에 의해 결정되기 때문이다"라고 강조한 박 소장은 예산이 많아도 보안 수준을 높이는 데 필요한 인력이 부족해 방화벽 룰 관리부터 로그 검토까지 여러 업무를 동시에 수행해야 하는 현실을 지적했다. 그는 “리소스는 보안 수준을 결정하는 중요한 요소다”라고 덧붙였다.

◆CISO와 CPO, 조직 간 힘 조절과 전문성 확보

두 번째 이슈로 박 소장은 CISO와 CPO의 역량 문제를 꼽았다. 그는 "CISO와 CPO 역시 조직에서 성장하고 배우는 양성 단계에 있다"며, 이들이 조직에서 정보보호의 중요성을 대표나 이사회에 충분히 전달하고 조직 간 힘 조절을 할 수 있는 지략이 필요하다고 설명했다. 특히 보안에 대한 의지와 조직원 역량 확보를 위한 투자와 노력이 필요하며, 다른 부서의 이해를 얻어낼 수 있는 전략적 역량이 중요하다고 강조했다.

그는 “CISO와 CPO는 단순히 기술적인 지식뿐 아니라, 조직 내에서 보안의 중요성을 강조하고 조직원들의 역량을 키울 수 있는 투자 방안과 전략적 협상 능력이 필요하다”고 설명했다.

◆커뮤니케이션, 정보 전달 문제로 인한 보안 문제

세 번째로 이슈로는 커뮤니케이션이었다. 박 소장은 실제 사례를 들어가며, "DB에서 5년이 지난 개인정보를 삭제해달라고 요청할 때, ‘어떤 DB에서? 어느 테이블의 데이터인가? 개인정보란 이름, 주소, 전부인가?’ 등 명확한 지침 없이 요청하면 올바른 처리가 어렵다"고 설명했다. 그는 이러한 커뮤니케이션 문제로 인해 개인정보 파기가 제대로 이뤄지지 않고 반복되는 보안 문제가 발생한다는 점을 지적했다.

또한 그는 “삭제해야 한다고 전달받은 DBA나 운영 담당자가 자신이 이해하는 범위 내에서만 삭제하는 경우가 많다”며, 이로 인해 실제로는 문제가 해결되지 않고 다음 감사에서 동일한 문제가 다시 발견되는 현실을 예로 들었다. 이처럼 커뮤니케이션 부족으로 인해 발생하는 문제를 줄이기 위해서는 명확하고 구체적인 지침이 필요하다고 강조했다.

◆전체적인 보안 체계 검토 필요

네 번째로 그는 수평전개의 중요성에 대해 언급했다. 그는 “A 방화벽에서 불필요한 정책을 삭제했다고 해서 모든 것이 끝나는 것이 아니다”라고 말했다. 실제로 A 방화벽에서의 문제를 해결한 뒤에도 B, C 방화벽, 그리고 정책이 적용된 다른 시스템이 있는지 함께 확인해야 한다는 것이다. 이는 조직 내에서 특정 시스템이나 단일 문제만 해결하고 끝내는 것이 아니라, 동일한 문제가 다른 시스템에서도 발생할 수 있음을 인식하고 전반적으로 검토하는 것이 중요하다는 것을 강조한 것이다.

그는 “한 곳에서 문제를 해결했다고 하더라도 다른 곳에서 동일한 문제가 발생하지 않도록 수평적으로 확인하는 과정이 필수적이다”라고 말했다.

◆보안 문제 해결을 위한 체계적 접근

또 그는 프로세스의 중요성을 강조했다. "개인정보 3자 제공 업체가 변경됐을 때, 이를 개인정보 조직에서 알 수 없거나 시스템 유지보수 업체 담당자 정보 변경을 알 수 없다면 문제가 발생할 수밖에 없다"고 지적했다. 이러한 문제를 방지하기 위해서는 시스템 전체의 흐름을 파악하고, 정보보호 프로세스를 체계적으로 구축하는 것이 필수적이라고 강조했다.

그는 “프로세스가 잘 구축되면 가시성이 확보되어 문제가 발생할 때마다 정확한 식별과 검토가 가능해진다”라고 설명했다. 조직 내에서 보안 문제가 어디에서 발생하는지 확인할 수 있도록 명확한 프로세스를 세우는 것이 문제 해결의 핵심이라는 것이다.

◆변화하는 IT 환경에 대한 이해

여섯 번째로 IT 환경의 복잡화였다. 그는 “조직의 모든 IT 환경을 완전히 이해하는 직원이 있느냐?”라는 질문을 던지며, 현재 조직의 IT 환경은 레거시 시스템, 신규 시스템, 클라우드, DevOps 등 다양한 요소가 혼재되어 있다고 지적했다. 이러한 환경에서 모든 리스크를 식별하는 것은 어렵고, 그로 인해 보안 문제는 지속적으로 발생할 수밖에 없다고 설명했다.

그는 “IT 환경이 복잡해질수록 보안 문제의 발생 가능성도 증가하며, 이에 대응하기 위해서는 가능한 한 구성을 단순화하고 명확한 관리체계를 유지해야 한다”라고 강조했다.

◆보안 인력의 전문성 유지 필요

다음은 순환근무의 한계를 지적했다. 그는 “순환근무 제도가 정보보호 담당자들에게 적절한지 생각해봐야 한다”라고 말했다. 특히 IT 환경에 대한 전문적인 이해를 가진 인력을 지속적으로 육성하고 그들에게 해당 업무를 맡겨야 하는데, 순환근무로 인해 이들이 익숙해질 만하면 다른 부서로 이동하게 된다면 문제 해결 역량이 떨어질 수밖에 없다는 점을 강조했다.

박 소장은 “순환근무는 조직의 다양한 경험을 쌓게 하는 취지에서 긍정적인 면도 있지만, 보안 전문성 확보를 위해서는 보안 담당자들을 장기적으로 육성하고 유지하는 전략이 필요하다”고 말했다.

끝으로 박나룡 소장은 “그럼에도 불구하고 조직의 보안 수준은 조금씩 개선되고 있다”고 평가했다. 그는 “문제가 반복되는 것은 정보보호 분야가 노하우를 쌓아가는 과정이며, 이를 통해 조직 전체의 대응 능력이 점차 향상되고 있다”고 말했다.

그러면서 “조직은 반복되는 문제를 그저 어쩔 수 없는 것으로 받아들이지 말고 이를 해결하기 위한 지속적인 노력을 기울여야 한다”고 강조했다. 조직마다 상황이 다르지만, 각 조직에 맞는 보안 문제 해결책을 찾고 개선해 나가는 것이 중요하다고 강조했다.

박 소장은 마지막으로 “우리 모두가 앞으로도 보안 문제 해결을 위해 조금씩 나아가며 개선해 나가야 한다”며, 현장에서 실무를 담당하고 있는 모든 보안 전문가들에게 격려와 함께 감사의 인사를 전하며 강연을 마쳤다.

보다 상세한 내용은 아래 강연영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.