[ET단상]보안 지휘자 역할과 활약

이상중 롯데정보통신 전문위원 uspro@lotte.net
<이상중 롯데정보통신 전문위원 uspro@lotte.net>

글자 수가 네 개 이상인 외래어는 심리에 불편함을 끼친다. 급박한 변화의 소용돌이가 함께하는 정보통신 분야에서 외래어 사용 빈도는 높다. 컨버전스, 유비쿼터스, 인텔리전스, 오케스트레이션. 마땅한 한글 표현을 찾아도 어색한 경우가 많다.

오케스트라와 같은 표현은 관현악단 또는 대합주 등으로 익숙한 단어다. 파생어의 하나인 오케스트레이션은 표현할 방도를 찾기가 어렵다.

이런 한국인의 어색함에도 괘념치 않고 정보기술(IT) 서비스 전반에서 오케스트레이션이라는 단어가 심심치 않게 등장한다. 단일 시스템의 운영 기술 확보에 급급하던 시대를 지나 긴밀한 통합과 관리가 서비스 품질에서 주요 관심사로 등장했다. 오케스트레이션을 향한 목마름은 어쩌면 필연으로 예정된 현상이다.

오케스트레이션은 표준화, 자동화를 바탕으로 한 서비스 프로세스 관리 일원화 정도로 설명할 수 있다. 무슨 무슨 담당이라 불리던 운영자들의 퍼즐로 쌓아 올린 정보통신 서비스가 직면한 어려움을 해결하는 시도다.

단위 시스템과 운영자 집합에서 지휘자 같은 리더십 기술의 부재가 야기하는 문제로는 서비스 장애 등이 있다. 여기에 비즈니스의 지속 가능성 자체를 부정하는 위험까지 나타난다.

보안 산업도 같은 문제가 나타난다. 수집, 탐지, 분석, 대응의 복잡하면서도 단계별로 정의돼 있는 각 영역을 하나의 솔루션이나 프로그램이 감당할 수 없다. 이런저런 단위 솔루션이 현재의 보안 시스템 작동을 아우른다.

기업은 침해 기술 고도화에 따라 복잡한 대응 솔루션을 도입했다. 그러나 여전히 운영 인력 증가와 요식 행위에 그치는 보안 업무로는 대응할 수 없다. 물론 통합보안관제시스템(SIEM)이라는 침해 관련 정보 종합관리 체계가 어느 정도 역할은 한다. 이 역시 보안 운영과 대응 프로세스에 참여하지는 못하고 정보 전달에 급급하다. 현실의 운영 복잡도가 보안 업무의 정상화와 효과 높은 대응이라는 숙원을 환상으로 바꾼다.

이러한 문제 해결의 실마리로 주목받고 있는 시큐리티 오케스트레이션은 단일 위협 대응 솔루션 운영이 아니라 보안 시스템 전반에 걸친 리더십 기술이다. 개별 운영되는 위협 대응 도구를 통합하고 운영 및 대응 프로세스를 아우르는 자동화 기반의 일원화가 목표다.

시큐리티 오케스트레이션을 통해 운영의 복잡도를 추상화하고 대응 프로세스에 집중하는 환경을 구축한다. 시큐리티 오케스트레이션은 정보보호 리더십 확보에 대한 기술 지원이다. 관리 지원 방안은 조직 내에서 책임자의 역할과 권한 지정이다. 서비스 운영과 예산, 품질 등 많은 관점에서 조금은 자유롭게 보안에 집중해서 의사결정을 할 수 있는 책임자 역할이 부재하면 바이올린·비올라·피아노·오보에·트럼펫 등 각기 다른 악기로 연주하는 대합주 공연에서 지휘자가 등장하지 않는 상황과 같다. 오케스트라에서 지휘자 역할을 시큐리티 오케스트레이션 기반의 운영 조직에서 정의한다면 최고정보보호책임자(CISO)가 한다.

최근 정보통신망법 개정이 이뤄졌다. CISO의 역할과 중요성을 감안해 겸직은 금한다. 자격 요건 기준, 지정 의무 기업 확대가 주요 개선 사안이다. 그동안 개인정보 유출 및 여러 가지 침해사고 등의 대응 수준에 대한 반성과 더불어 안전한 서비스 제공에 필요한 보안 투자 및 조직 강화를 끌어내기 위한 초석이다. 시큐리티라는 화음을 일궈 내야 하는 오케스트라를 이끌어 가는 지휘자의 역할과 무게감 관련 정의에 대해 간과하는 어리석음을 저질러 온 비즈니스 관행에 대한 반성이다.

오케스트라의 마법 같은 화음을 만들어 내는 지휘자의 리더십과 복잡다단한 서비스에서 다양한 침해 사고 예방 및 대응을 아우르는 CISO의 역할에 대해 시큐리티 오케스트레이션의 중요성과 함께 재고가 필요한 시점이 아닐 수 없다. 우리나라 기업 곳곳에서 시큐리티 마에스트로의 활약을 기대해 본다.

이상중 롯데정보통신 전문위원 uspro@lotte.net

위방향 화살표