딜라이트닷넷

[NES 2012] 시만텍 “솔루션 도입보다 중요한 것은 컨설팅”

이민형 기자
[디지털데일리 이민형기자] 지난해 잇다른 개인정보유출사고에 이어 개인정보보호법 계도기간이 종료되면서 보안업계에서는 긴장감이 이어지고 있다. 날로 지능화되는 보안위협에 대한 두려움이 복합적으로 뒤섞였기 때문이다.

이러한 분위기는 앞으로도 이어질 것으로 예상된다. 당연히 보안솔루션의 수요도 점차 늘어날 것으로 보인다.

그러나 보안솔루션 도입보다 중요한 것은 자기 자신에 대한 진단이라는 주장이 나왔다. 지피지기면 백전백승이라는 것이다.

황민주 시만텍코리아 이사<사진>는 19일 <디지털데일리> 주최로 서울 반포동 J.W.메리어트호텔에서 열린 ‘NES 2012 차세대 기업보안세미나’에서 연사로 등단해 “우리가 매년 건강검진을 받는 것처럼 기업 전체 시스템에 대한 진단을 받을 필요가 있다. 취약점은 어디고 개선점은 어디이며, 잘되고 있는 부분은 어디인지 알아야 위협에 대응할 수 있기 때문”이라고 강조했다.

보안솔루션은 자신의 취약점을 모두 인지하고 난 다음에 도입해야하는 부차적인 요소라는 것이라는게 황 이사의 주장이다.

황 이사는 “취약점을 통한 진단. 취약점은 네트워크뿐만 아니라 시스템의 정책과 같은 것들을 점검할 수 있다”며 “시스템에 대한 공격은 서비스나 퍼미션(권한), 특정 패스워드 무결성만 잘 지켜도 많은 것을 보호해 낼 수 있다”고 말했다.

진단을 받은 뒤 새로운 보안정책을 수립할 때에도 무작정 네트워크보안, 엔드포인트보안을 해서는 안된다고 황 이사는 강조했다.

그는 “시스템적인 보안이 필요한 기업이라면 애플리케이션 보호에 초점을 맞춰야할 것이고 시스템보다는 콘텐츠 유출로 인한 피해가 우려된다면 정보보호쪽으로 투자를 강화해나가야한다”며 “요약하자면, 각자가 운영하고 있는 비즈니스의 가치에 따라 각자의 선투자 내역이 있다는 의미”라고 설명했다.

진단을 하게되면 기업이 지금까지 받은 공격에 대한 패턴을 분석해볼 수 있다. SI업체가 받은 타깃공격과 게임업체가 받는 타깃공격의 패턴은 상이하기 때문이다.

황 이사는 “타깃공격에 대한 패턴을 분석해 더욱 정교한 보안시스템을 구축할 수 있다”며 “이는 사전진단으로 할 수 있는 일의 일부에 불과하다”고 진단의 필요성을 거듭 강조했다.

그러나 보안 컨설팅을 자체적으로 해결할 수 있는 기업은 많지 않다. 일반적인 기업들은 보안에 대한 투자가 최소화돼 있는 상황이고 그나마 투자를 강화한 업체들도 컨설팅, 감사 부서를 보유하지는 않기 때문이다.

황 이사는 “자가진단을 할 수 없는 기업의 경우 컨설팅 업체에 진단을 맡기는 것도 좋은 방법”이라며 “시만텍은 IT가버넌스, 리스크매니지먼트, 컴플라이언스 포괄해 컨설팅을 진행하고, ITIL, COBIT, ISO 27001 과 같은 국제표준모델을 참조하기 때문에 보안 인프라 강화를 꾀하는 기업에 도움을 줄 수 있을 것”이라고 말했다.

이어 “특히 보안정책은 기업의 입장뿐만 아니라 컴플라이언스 측면에서도 고려해야하는데, 시만텍은 최근 국내에서 화두로 떠오른 개인정보보호법, 정보통신망법 등을 고려한 아키텍처를 만들어 줄 수 있다”고 덧붙였다.

<이민형 기자>kiku@ddaily.co.kr

이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널