[김국배기자] "능력 있는 보안 담당 임원이라면 전문용어를 쓰지 않고 이해할 수 있는 말로 경영진과 대화를 이끌고 나갈 수 있어야 한다."
파이어아이 데이브 메르켈 최고기술책임자(CTO)는 20일 기자와 만나 '좋은' 보안담당자가 갖춰야 할 요건을 이렇게 설명했다. 해당 분야에 대한 전문 지식도 갖춰야 하지만 더 중요한 건 비즈니스에 대한 이해를 바탕으로 필요에 따라 경영진을 설득할 수 있어야 한다는 것이다.
그는 "대개의 경우 보안 담당자들은 '그들의 언어'로만 임원진을 설득하려 한다"며 "기술적 관점에서만 이야기를 전달하려는 게 문제"라고 지적했다. 또한 "보안 투자가 왜 이뤄져야 하며 어떤 비즈니스와 연관 있는지 경영진 입장에서 그들의 언어로 설득할 수 있다면 효과적"이라고 덧붙였다.
그의 말에 따르면 보안 담당자의 자질은 보안 투자를 이끌어 낼 수 있다는 점에서 더욱 중요하다. 한국의 경우 빈발하는 보안 사고에도 보안 투자는 늘지 않고 있다. 대부분의 보안 투자는 법 준수(compliance) 차원에서 이뤄지는 수준이다.
게다가 한국의 사이버공격 위협은 날로 높아지고 있다. 파이어아이에 따르면 한국은 미국에 이어 두 번째로 지능형지속위협(APT) 공격을 많이 받는 국가다.
그는 "한국의 (지적재산권에 대한) 위협 수준을 1~5 사이의 숫자로 표현하면 4나 5 정도로 심각한 지경"이라며 "한국 기업이 R&D 투자를 통해 이뤄낸 혁신기술이 도난당해 동일한 노력을 거치지 않은 기업들의 동일 제품으로 나올 수 있다"고 표현했다.
그는 또한 "피해 대상인지조차 모르거나 피해를 입어도 관심없는 기업들에게 규제 준수를 넘어 더 많은 투자를 유도하는 건 쉽지 않다"며 "그러나 규제 준수 차원에서만 보안 투자를 하고 있다면 그건 분명히 부족한 상황"이라고 설명했다.
보안 투자를 유인하는 또 다른 방법은 침해사고의 '공론화'다. 그는 "(꼭 바람직하진 않지만) 심각한 수준의 보안 침해가 공개되고 공론화 돼 대중의 관심을 받는다면 동기 부여 차원에서 어느 정도 효과를 거둘 수 있다"고 말했다.
김국배기자 vermeer@inews24.com 사진 조성우 기자 xconfind@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기