기업보안의 새로운 패러다임(G.R.C)과 IBK기업은행 사례분석 지식방송후기(08/2/29)
어제 지식방송을 마치고 다른 약속들로 인해 집에 늦게 들어와서, 오랜만에 근처 공원산책하고 방송후기를 쓰려다 깜박 잠이 들었습니다. 지금 새벽에 에릭클랩튼의 "Wonderful Tonight"과 커피 한 잔 마시면서 노트북에 앉아있습니다.
어제는 지식방송이 4개가 동시에 오후에 몰려서(기업보안, 잡코리아 "공무원채용", SAP, Microsoft) 선릉에 있는 RFID/USN협회 지식방송국에서 방송을 하였습니다. 어제같이 매일 여러 분야의 지식방송을 통하여 "네이버에서 검색이 안되는" 생생한 경험과 지식이 같이 공유되고 그것이 실제로 업무에 도움이 되는 그런 날이 오도록 더욱더 열심히 고민하고 행동할 것입니다.
서두가 좀 길어졌는데, 첫번째 게스트이신 "IBK기업은행 고완선 보안팀장" ( IBK를 강조하시더라고요 ^^) 님은 기업은행에 실제로 전사적 보안체계를 고민하며 설계하고 구축하신 분이라서 그런지 한 말씀 한 말씀이 모두 마음에 와 닿았고 갓 잡은 생선회같이 펄떡이는 "생지식"이었습니다. 보안업무를 하신 지는 7-8년 정도 되신다고 하시는데, 항상 기업보안이라는 테마를 생각하고 계속 발전시키시려는 분이라는 것이 느껴졌습니다.
기업은행은 경영자층부터 "보안"을 단순히 해킹방지등의 수동적 의미로 보지 않고, 기업의 경쟁력을 높이는 중요 자산으로 활용하려는 적극적인 자세로 임한다는 점이, 정보보호대상을 타게 되지 않았나 생각됩니다. 전사적 보안체계를 구축할 때의 제가 배운 Tip은 아래와 같습니다.
1) 현업의 프로세스에서부터 출발해라.
보안 솔루션이나 장비의 여러 기능으로 수동적인 방지체계를 만들 것이 아니라, 먼저 기업의 각 현업부서의 업무프로세스와 그에 따른 보안이슈를 먼저 분석하고 보안시스템을 업무시스템에 smart하게 녹이는 것이 중요한 것 같습니다. 이점은 보안분야 뿐만이 아니라, 앞으로 점점 더 IT부서의 분들은(IT벤더 포함) 단순 립서비스가 아닌 진짜로 IT기술이 적용되는 현업의 용어,프로세스를 마음으로부터 이해하고 같이 고민해야 될 것 같습니다.
2) 경영진과 친해져라.
IT용어에 생소한 경영진에게 기술적으로 무엇이 필요하고 지원을 요청하는 것보다, 경영진이 관심있어 하는 테마와 용어로 접근하며 동시에 인간적인 관계설정에도 노력해야 된다는 말씀은 얼핏 당연하게 보이지만, 우리가 업무에서는 간과하기 쉬운 점이라고 생각됩니다.
3) 보안은 서비스이다
지식방송은 일반 방송과 달리 전혀 대본없이 생방송으로 몇 백명의 시청자앞에서 진행자의 애드립성 질문에 답변하는 형식인데, 짧은 순간에 "보안은 서비스이다"라는 말씀을 하셨을 때 고 팀장의 보안에 대한 고민과 생각의 깊이가 느껴졌습니다. 저는 "보안은 서비스이다"라는 것을 첫째 현업부서(손님)에게 항상 그 사람의 입장에서 눈높이로 대하고, 둘째 보안체계를 구축한 것에서 끝난 것이 아니라 지속적으로 환경에 맞추어 나가는 계속 진행형 프로세스로 봐야된다 라고 이해했습니다. 아래의 기업은행 보안포털을 보면 좌측 상단의 현재의 보안지수를 온도계로 표시한 직관적인 UI등 직접 서비스를 실천하고 계시는 것이 느껴졌습니다. IT부서하면 좀 딱딱하게 느껴지고 거기에 은행이라면 더 그런데, 이렇게 직관적이고 깔끔한 UI를 보면서 신선한 느낌이 들었습니다. (서있는 분이 고팀장님이라고 하시는데 좀 "뽀샵"이 들어가지 않았나 생각 ^^)
저도 공대를 나오고 다양한 IT분야의 일을 하다 아무도 시켜주지 않아서 지금은 "자칭 지식방송인"(^^)이 되었는데, 1년 넘게 생방송을 기획하고 진행하다 보니 이러한 함축적이며 멋진 문구(카피)가 나오면 한 수 배우게 됩니다.
시청자와의 Q&A시간에 20여개 이상의 구체적인 질문들이 많이 나왔는데 한 분이 보안교육에 현업참석자를 늘리고 집중도를 높있수 있는 방법을 물어보았는데, 보안교육시 경품을 주었다는 말씀을 듣고 잠깐 허무개그(^^)같기도 하면서 참 현실적이고 다시금 "보안은 서비스이다" (오늘의 결론)라는 말이 다시금 생각났습니다. 워낙 약간 사투리리를 쓰시면서 느릿느릿 말씀하시는데 맥을 잘 짚으시면서 유머감각도 있으셔서 향후 방송인으로도 충분히 자질이 있다고 생각됩니다.
두번째 세션은 "기업보안의 새로운 패러다임 G.R.C"란 주제로 IBM Korea의 박형근 과장님이 게스트로 나오셔서, 기업체 경영전략과 업무 프로세스에 맞추어 보안시스템을 어떻게 체계있고 확장성있게 구축할 것인가에 대하여 얘기를 나누었습니다. 처음에는 생방송 좌담에 약간 긴장하셔서 말씀을 빨리 하시다가 몇 분이 지나자 프로답게 방송에 실시간으로 잘 적응하셨습니다. 지식방송은 Mass Media가 아니라 구체적인 주제에 관심있는 전문적 게스트/진행자/시청자가 동아리 같은 분위기로 얘기하는 Nano Media이므로 약간은 투박하지만 real하고 구체적 얘기를 하면 시청자분들이 만족해 하는 것 같습니다.
참고로 G.R.C.는 Governance, Risk management, Compliance를 지칭하는 것으로 이 세가지 관점에서 보안체게 프레임워크를 설계하고 구축해 나가야 된다고 합니다. 우리가 커다란 프로그램을 짤때 표준 개발 프레임워크 기반으로(예를 들면 WAS) 구축한다면, 설계시부터 여러 관점을 missing하지 않고 또한 글로벌 트렌드와 환경변화에 쉽게 적응할 수 있는 잇점이 있듯이, 보안시스템을 구축할 때도 유사한 방법론을 적용하는 것 같습니다.
요즈음같은 세계화시대에는 국제 표준과 규정 (이런 것이 Compliance )을 준수해야 되고, 기업 내외부의 다양하고 급변하는 요구에 신속히 대응해 나가야 되므로, IBM같은 글로벌 기업이 선진국의 여러 환경에서 수행하고 검증하며 체계화시킨 프레임워크를 smart 하게 활용하는 것이 밑바닥부터 만들어 나가는 것보다 효과적이겠다는 생각이 들었습니다. 하지만 솔루션적인 접근이 아니라 ERP도입시 PI(Process Innovation)추진팀을 만드는 것처럼 고객사와 공급사 모두 프로세스적인 접근을 일관되고 체계적으로 해야되겠습니다.
박형근 과장님께서 하신 말씀 중에 Compliance를 보안시스템 구축에 대한 경영진의 서포트를 받는데 활용하기에 좋다는 말씀은 현실적인 방법이라고 공감이 갔습니다. 국내외에 꼭 준수해야 되거나 아니면 경쟁우위를 가질 수 있는 표준에 대해서 경영자도 쉽게 이해하고 판단을 내릴 수 있으므로, IT보안부서에서 이러한 Compliance에 대한 확실하게 이해하고, 간결하고 구체적인 표현으로 경영자에게 제시하는 것이 중요하겠습니다. 해외에서는 보안부서가 IT부서가 아니라 경영지원부서 성격으로 바뀐다고 하셨는데, IT부서원들도 이제는 경영관련 된 것을 평소에 공부해야 되겠다고 생각됬습니다. 우리나라는 가뜩이나 IT부서에 계신 분들이 선진국들과 달리 여러가지를 빨리빨리 해야만 되는 과중한 업무환경인데, 여기다 경영관련 공부까지 해야 되니 참 힘든 세상이지만, 그만큼 기회가 올 것이니 힘들 내십시요.
어제 방송때 IBM Korea 마케팅부서의 유호관 과장님, 이준원 차장님 (사진 좌로 부터)이 같이 방송내내 옆에서 열심히 모니터링하시면서 , 새로운 메시지 전달의 방법인 지식방송을 어떻게 하면 실질적인 마케팅 및 영업 활성화에 접목을 시킬 것인 가를 고민하는 진지한 모습이 보기 좋았으며, IBM Korea가 계속 발전해 나가겠구나 생각이 들었습니다.
항상 지식을 공유하는 행위는 남을 도와주는 것처럼 좋은 느낌이고 즐겁게 할 수 있습니다. 이 글을 보신 분 중에서 몇 십명 몇 백명에게 도움이 되는 경험과 지식이 있으시면 언제든지 제게 연락주시면, "지식PD
" 로서 최선을 다하여 도와드리겠습니다.
전사적_보안체계_구축사례_기업은행_고완선_.pdf
[첫번째 세션 지식방송 다시보기]
http://www.ubizcenter.co.kr/seminar/reservation/schedule_seminar_view.asp?event_idx=S345&status=E
[두번째 세션 지식방송 다시보기]
http://www.ubizcenter.co.kr/seminar/reservation/schedule_seminar_view.asp?event_idx=S350&status=E
어제 방송을 위하여 도움주신 RFID/USN협회 임성우부장님, 전우석과장님, 전자신문 김태형팀장, 홍원준대리 그리고 운영에 도움주신 미래웍스 고여순과장님, 당사의 박치연팀장, 최지영대리, 이진일씨 모두에게 감사드립니다.