침해사고는 늘 일어날수 있어
최근 부쩍 보안에 대한관심이 늘어 나고 있는 것을 피부로 느낀다. 그것은 공공기관이 관심을 갖었기 때문이다. 물론 나라에서 법률적으로 해야 하는 조치이기에 해야 하는 것이기도 하다.
침해사고는 늘 일어날수 있다. 왜 침해 사고가 일어났는가에 대한 것으로 무엇을 잘 잘못을 따진다면 그 사람은 아직까지 보안 초보이다. 보안초보일수록 왜 침해사고가 일어났는지에 대하여 집착을 하게 된다. 하지만 어떠한 경우에도 완벽한 것은 없기에 침해사고가 생길수 있다는 마음자세를 갖어야 한다.
그러나 대부분의 사람들은 완벽하게 막아주길 원한다. 하지만 누구나 100% 만족하는것이 없듯이 100% 막아낼수는 없는 것이다.
침해사고의 대응절차가 더 중요해
우리는 침해사고가 늘상 일어나는 것이 아니다. 처음엔 침해사고의 안전을 위하여 신경을 쓰다가 시간이 흘러감에 따라 그것은 점점 느슨해지기 마련이다. 그렇기 때문에 사람의 실수나 각종 운영체제, 어플리케이션 취약점으로 인하여 침해사고가 일어난다. 그런데 중요한 것은 어떻게 대응을 하였고, 몇시간동안 원상 회복이 되었으며, 어떤 절차로 이루어 졌으며 이에 대한 누가 책임을 져야하는지에 대한 문제가 더 핵심이 되는 것이다.
그렇게 하기 위해서는 사전에 여러가지 모의 시나리오와 사업 연속성 계획을 잡아서 꾸준히 테스트를 해 보는 것이 가장 중요하다. 제일 중요한 것은 문서로 만들어만 놓고 이행을 하지 않는 것이다.
문서상에서는 그럴싸하게 만들어 놓았지만 실제 실천을 한번도 하지 않는다면 아무리 좋은 계획과 절차라 하더라도 소용이 없는 것이다.
며칠전 고객과 간단한 미팅이 있었다. 그 담당자의 말에 어느정도 공감을 하는 부분이 있었다. 처음에는 너무 단도직입적으로 말을 해서 사실 조금 당황스러운 면이 없지 않았다. 그런데 가만히 곰곰히 생각해 보니 어느정도 이해를 할수 있었다.,우리가 보통 미팅이나 회의를 하게 되면 서로 첫 대면을 하는 과정에서 여러가지 질문들이 오고갈수 있는데 서로 궁금한 점들이 있고 해서 묻는 질문에 대하여 비지니스상 조금은 두리뭉술하게 이야기 하는 경우가 많다.
즉, 궁금한 사람이 묻고자 하는 질문에 핵심 요지를 파악하여 정확하게 이야기 해 주어야 하는 부분도 있는 것이다. 다만, 영업에 욕심을 내어 자칫 거짓이나 할수 없는 것을 할수 있다라고 영업상 이야기해 버린다면 오히려 그 영업을 획득하여 계약을 할지는 모르겠지만 추후 그 뒷감당을 하기가 쉽지 않다.
오히려 패널티나 기업이미지에 더 큰 타격을 가져올수 있다. 그러한 부분에서 담당자는 이렇게 질문을 할수 있다.
"
혹시 해킹을 당하면 어떻게 하시겠습니까?"
" 그에 대한 절차와 대응 방안 책임 역할이 명확히 구분이 되어 있습니까?"
" 해킹을 당한다면 3시간 이내에 복구 가능하시겠습니까??"
" 만약, 보안업체에서 해킹당했다는 사실을 고객사보다 늦게 인지하면 어떻게 하시겠습니까?"
" 그에 대한 절차와 대응 방안 책임 역할이 명확히 구분이 되어 있습니까?"
" 해킹을 당한다면 3시간 이내에 복구 가능하시겠습니까??"
" 만약, 보안업체에서 해킹당했다는 사실을 고객사보다 늦게 인지하면 어떻게 하시겠습니까?"
정말 쉽지 않은 대답이다. 해킹 당한지 3시간 만에 복구를 할수 있다라고 자신있게 말할수 있는지 또는 맨날 모니터만 쳐다보고 있는 것이 아니기에 고객사보다 더 늦게 해킹사실을 인지할수도 있는 부분인지에 대한 고민을 잘 하고 그에 따른 답변을 해야 한다.
'Lecture&Column' 카테고리의 다른 글
[칼럼-98] CISO 의무화 당위성에 대한 제언 (2) | 2009.10.01 |
---|---|
[칼럼-97] 내가 블로그를 하는 것은 글쓰기 연습이다. (1) | 2009.09.28 |
[기고-4] 7.7 DDoS 사태이후, 변화는 아직도 미지수 (3) | 2009.09.16 |
[칼럼-95] 사이버 보안관 3000명 양성에 대한 제언 (8) | 2009.09.14 |
[칼럼-94] 정보보호 기술자 노임단가 기준없어 억울 (0) | 2009.09.02 |