[DT광장] `사람 중심 보안` 고민할 때다

읽기모드
음성지원
다크모드
폰트크기
- 가
- 가
- 가
- 가
- 가
- 가
북마크
공유하기
프린트
기사반응

2009년 인텔이 BYOD(Bring your own devices)라는 용어를 처음 소개한지도 벌써 7년이다. 최근에는 개인 소유의 모바일 기기로 업무 용 이메일, 사이트, 서비스에 접근하고 업무를 수행하는 일이 잦아졌다. 최신 모바일 보안 프로토콜을 설치하는 등 BYOD로 인한 보안 침해를 막기 위한 기업의 노력도 상당하다. 그러나 모바일에 대한 사이버 범죄는 갈수록 늘고 있으며 관련 기업 보안 사고도 증가하는 추세다.

기업이 도입한 기술 솔루션이 보장하는 보안 수준에는 한계가 있다. 역설적으로 과도하게 많은 보안 기술을 도입하게 되면 권한이 다수에게 분산되어 보호 수준을 저하시키기도 한다. 오늘날과 같이 모든 서비스가 연결된 세계에서는 직원들에게 특정 디바이스 사용을 막거나 특정 활동을 금지하는 것도 쉽지 않다. 효율성 면에서 역효과가 발생하는 것은 물론이다.

100% 보안을 약속하는 황금 방패막은 존재하지 않는다. '사람 중심 보안'에 주목해야 할 이유다. 사람 중심 보안은 정보 보안에 대한 인식과 접근 방식에 있어 패러다임의 전환을 의미한다. 제한과 차단에 중점을 둔 기존의 통제적 보안에서 나아가 개인의 책임과 신뢰에 집중하는 것이다. 개인 의식을 바꾸고 기업 문화를 바꿔 기술이 메우지 못하는 보안 간극을 메운다는 것이 핵심이다.

사람 중심 보안은 안전한 행동 방식에 대한 동기 부여를 기본으로 한다. 직원들이 특정한 권한을 보유하고 있다는 데 전제를 두고 이들의 권한이 특정한 책임과 연계되어 있다는 것을 보여주는 것이다. 개인이 책임을 이행하지 않거나 기업의 동료 및 관계 당사자들의 권한을 존중하지 않을 경우, 주어진 권한을 잃게 되며 징계를 받게 된다. 직원들은 결과에 대한 이해 관계를 숙지하고 올바르게 행동하려는 동기를 가질 수 있다.예를 들어 의무적인 보안 통제 없이 개인 태블릿을 회사 이메일에 사용할 권한을 부여한다면, 직원들의 편의성은 높아질 것이다. 물론, 기업 데이터 침해가 발생할 경우 개인이 책임을 진다는 것이 전제되어야 한다. IT 조직은 예방적 차원의 보안 솔루션을 제공하겠지만, 직원 개인이 통제 장치에 대한 수락 여부를 자율적으로 결정할 수 있다. 데이터 손실이 발생할 경우, 직원은 업무 상 개인 기기를 활용할 수 있는 권한을 잃게 된다. 개인이 보안에 더욱 신경 쓸 수 있는 동기가 발생하는 것이다.

사람 중심 보안에서는 교육이 중요하다. 대부분의 리스크 및 보안 프로그램들은 다른 최우선순위를 상정하고 있으며 회사의 중요 자산을 보호하는 데 집중할 수 있는 자원은 제한되어 있다. 직원들이 보안 정책을 무시하고 잘못된 행동을 한다고 해도, 이러한 위반 행위가 보안의 최우선 과제로 고려되는 경우는 아주 드물다. BYOD는 편리함을 가져다 주지만 그 이면에 엄청난 위험이 존재할 수 있다. 보안 프로그램들은 이러한 사실을 교육하는데 집중해야 한다. 복잡한 기술에 수백 만 달러를 투자지 않고도 단순한 행동의 변화만으로 기업을 훨씬 강력하게 보호할 수 있다. 되려 복잡한 기술들은 절차상의 번거로움을 초래할 수 있으며, 사용자는 이를 우회할 방법을 모색할 것이다. 이와 같은 결과는 더 많은 데이터를 위험에 노출시킬 수 있기 때문에 반드시 피해야 한다.

보안의 중심에 사람을 두게 되면 전사적인 리스크 상태를 개선할 수 있다. 사람 중심 보안은 강제적인 차단과 통제에 의존하기 보다 감지 및 반응, 투명한 예방 통제에 중점을 두기 때문에 훨씬 효율적이다. 개인이 자신의 권한, 책임 및 관련 결정을 정확히 이해할 수 있다고 간주함으로써, 조직 구성원의 권리를 존중함과 더불어 경영진의 이해와 지지, 신뢰 기반의 개방적인 기업 문화를 전제로 해 전사적인 보안에 도움을 준다. 사람 중심 보안은 개인의 자율성과 주도권이 장려되는 환경에서 최고의 효과를 발휘한다.

가트너에 따르면 2017년경에는 절반 이상의 기업이 업무 상 개인기기 활용을 권장할 것이라 한다. BYOD의 대중화를 앞둔 이 시점이 바로 '사람 중심 보안'을 고민해야 할 시기다. 사람 중심 보안이 통상적인 심층 방어 보안과 병행될 때 기술이 가진 한계를 보완할 수 있다. 결국 BYOD의 핵심은 기기가 아닌 사람이며, 모바일 보안 또한 사람이 핵심이라는 사실을 잊지 말아야 할 것이다.

폴 프록터 가트너 보안·리스크 관리 부문 부사장