편의성과 보안, 균형을 이루자

연보라 기자 bora@ciociso.com

요즘 IT 업계에는 보안이 최대 화두이다. 대부분의 IT 업체들이 고전을 면치 못하는 가운데에서도 보안업체들만은 올해도 꾸준히 상승세를 이어가고 있다. 속된 말로, ‘보안만 장사가 된다’고 일컬어지는 요즘이다.
기업들도 최근 벌어진 각종 보안관련 사고들과, 이에 따라 점차 강화되는 정보보안 관련법령들로 인해 보안투자를 확대하고, 보안전담팀을 구성하며 인력을 확대하는 등 보안수준 제고를 위한 여러 활동에 매진하고 있다. 산업분야에 따라, 혹은 회사 규모나 기업문화에 따라 정도의 차이는 있겠지만 예년에 비해 전반적인 상승이 이뤄지고 있음은 분명하다.
이제까지는 ‘안중에도 없거나’ 혹은 ‘고려 대상이 아니었던’ 보안이, 각종 해킹 사건으로 인해 이제나마 주목을 받게 된 것은 그나마 다행인 일이다. 이제껏 우리나라가 ‘IT 강국’으로서의 자부심을 안고 살아왔던 것과는 반대로, 사이버 보안에 있어서는 너무나 취약하고 무관심해왔기 때문이다. 세계 해커들 사이에서도 우리나라를 새로운 해킹 툴을 시험해볼 수 있는 ‘테스트 베드’로 여기고 있다는 이야기가 나올 정도로 상황은 심각하다. 그동안 IT가 제공하는 속도 향상, 비용 절감 등 업무편의성 혜택에 익숙해있던 사용자들은 이제 보안을 위한 불편함을 감수해야 하는 시기가 왔다. 반발도 많겠지만, 보안의 필요성에 대한 인식은 조금씩 높아지고 있는 듯 보인다.
그러나 급하게 먹는 음식은 체하는 법. 차근차근히 여건과 환경을 마련하지 않고 무작정 보안만을 강조할 경우, 역효과가 발생할 소지가 있다. 요즘CIO들 사이에서는 “IT가 너무 보안에만 치중돼 있다”는 볼멘소리가 조금씩 들려오고 있다.
보안이 기업 존폐가 달린 중요한 이슈이긴 하지만 IT의 업무편의성 측면이 간과되어서는 안된다는 의견이다.
한 공공기관 CIO는 “정부에서 보안팀을 만들라고 하고, 여러 보안 지침들을 내리고 있지만 IT 부서도 충분한 인력이 없는 상황에서 보안팀까지 구성할 여력이 없는 게 사실”이라며 “IT 인력을 떼어다가 보안팀에 배치하게 되면, IT와 보안업무 둘 다 부실해질 우려가 있다”고 토로했다. 보안인력을 충원할 수 있도록 법제화하지 않는 이상, 보안만 강조하는 것은 결국, IT의 제살 깎아먹기 결과를 낳을 뿐이라는 것이다.
또 다른 기관의 보안 부서장은 “사업 계획 단계에서 보안을 고려하다보면, 복잡하고 까다로운 보안관련법들 때문에 아예 사업을 포기하는 경우마저 있다”고 밝혔다. 이CIO는 또 “보안도 결국 IT를 제대로 하기 위해 필요한 것이다. 보안만 강조하느라 IT 업무를 제대로 하지 못하면 무슨 소용이 있겠냐”며 “보안을 제대로 추진하기 위해서는 우선 무너진 IT 생태계부터 제대로 바로잡아야 한다”고 강조했다.
보안과 편의성은 서로 상충되지만, 그 중요성에 있어서도 어느 한 쪽으로 치우칠 수 없는 가치들이다. 그렇기 때문에 업계에서는 간혹 ‘시소’라고도 불리는 CISO는 보안과 편의성 사이에서 적절한 균형을 이루며 ‘시소’를 탈 수 있어야 한다. CISO는 보안 강화를 위해 일하지만, 회사 업무가 불가능하도록 제재만 가하는 역할에 머물러서는 안된다. 위험요소를 차단하면서 효율적인 업무가 이뤄질 수 있도록 해야 한다. 임직원들이 안전하면서도 효율적으로 일을 할 수 있도록 프로세스를 만들어가야 한다.