새로운 소식

#### 보안 표준 도입, ‘사업 성장’이라는 필요에 의해서 검토해야...ROI 고려도 중요 #### 최근의 보안 표준들은 ‘지속성’ 강조하는 흐름 띄고 있어...일회성 상장 개념 탈피해야 1. 해당 표준을 준수하는 것만으로 충분한가? 보안 업체 쓰레트 스택(Threat Stack)의 컴플라이언스 책임자인 린지 울리안(Lindsey Ullian)은 “증명서를 발급받는 게 내부적인 성취감과 인식 제고에도 도움이 된다”고 말한다. 2. 프로젝트의 범위를 조심스럽게 결정했는가? “정확히 어떤 사업의 어떤 부서, 어떤 직원들을 위한 표준인지 정확하게 해둘 필요가 있습니다. 이걸 정해야 보안 전문가나 외부 컨설팅을 얼마나 받을 것인지 결정할 수 있습니다. 그러면서 비용 산출이 더 쉬워집니다.” 3. 이 회사에 표준이 필요한 이유는 무엇인가? “ISO 27001을 획득하려고 분주하게 움직이기 전에, 표준의 어떤 점이 기업에 도움이 될 것인지부터 세밀하게 파악해야 한다” 4. 표준의 도입과 기업의 성장은 어떤 관계가 있는가? “신용카드와 지불카드 처리를 위한 표준인 PCI DSS를 도입함으로써 지불 방식 확장을 통한 사업의 성장을 함께 꾀하는 식으로 접근해야 한다는 겁니다. 그냥 ‘금융 활동이 있으면 무조건 PCI DSS도 도입해야 한다’고 주장해봐야 설득력도 없고 효과도 미비하거든요. GDPR도 마찬가지입니다. 유럽으로 사업을 확장하는 단계에서 검토해야 할 규정입니다. 중앙아시아로 진출하면서 GDPR을 검토할 필요는 없어요.” 5. 표준을 도입하는 데 드는 비용은 얼마인가? “표준 마련 역시 사업적 투자인 것은 분명하고, 그럼로 ROI를 고려하는 게 마땅하다”고 말한다. 그러면서 “GDPR이나 PCI와 같은 표준의 경우, 컴플라이언스를 갖추지 못했을 때 내야 하는 벌금이 투자 비용보다 훨씬 클 수 있으니, 그 두 표준과 관련이 있는 사업체라면 오히려 마음 편하게 투자를 해도 괜찮다” 6. 훈련과 준비라는 측면에 대하여 “특정 표준을 새로 도입하려면, 책임자와 담당자를 적어도 두 명 뽑아서 관련 지식을 갖추게 하고 교육 과정을 밟도록 해야 한다” 7. 표준 이후의 ‘유지 보수 프로그램’은 준비하고 있는가? 보안 인증 감사는 대게 1년에 한 번 진행된다고 프라탑은 설명한다. “그렇기 때문에 한 번 인증서를 따놓고는 잊고 사는 게 대부분입니다. 그러나 최근 들어 보안 분야의 인증서들은 ‘일회성’이 아니라 ‘지속성’을 강조하는 방식으로 변하고 있습니다. 표준을 도입하려는 기업들 역시 이 점을 기억해야 합니다. 한 번 따고 벽에 상장 걸어놓듯 하는 게 아니라, 계속해서 인증서를 획득할 자격을 유지하는 게 핵심이라는 것을 말이죠.”