보안컨설팅 계약 도장을 찍기 전에 던져야 할 세 가지 질문은 무엇인가
보안 인프라를 구축하겠다는 결심이 서면 대다수 기업은 보안컨설팅 업체를 수소문하기 바쁘다. 외부 전문가가 와서 시스템을 훑어보고 취약점을 짚어주면 당장의 보안 우려가 해소될 것이라 믿는 경향이 있다. 하지만 회사 내부의 비즈니스 구조와 다루는 데이터의 속성을 제대로 파악하지 못한 상태에서 진행하는 진단은 수박 겉핥기에 그치는 경우가 허다하다.
우선 점검해야 할 부분은 내부 인력이 외부에서 제안한 통제 항목을 매일 감당할 수 있는지 확인하는 과정이다. 아무리 견고한 방어 체계라도 실무자가 번거로운 인증 절차를 피하기 위해 우회 경로를 만들기 시작하면 무용지물이 되고 만다. 기술적인 웹방화벽 설정이나 네트워크 분리 같은 대책을 세우기 전에 우리 조직의 인적 역량과 소화 가능한 규제 수준을 냉정하게 가늠해야 한다.
비용 대비 실익도 냉정하게 따져볼 항목으로 꼽힌다. 무작위 해킹검사나 모의 침투 테스트를 수행하기에 앞서 회사 내부의 핵심 자산이 어디에 보관되어 있는지 식별하는 절차가 선행되어야 한다. 침해 사고가 발생했을 때 발생할 예상 손실액과 방어벽을 세우는 데 들어가는 예산을 면밀하게 비교하는 태도가 요구된다.
예산에 맞춰 정보보안 수준을 단계별로 올리는 실천 로드맵
초기 단계에서는 큰 비용이 드는 솔루션 도입보다 일상의 기초 체력을 기르는 조치부터 이행해야 마땅하다. 전 직원의 업무용 기기에 PC백신을 설치하고 비밀번호 변경 주기를 강제화하는 기본 수칙 준수가 첫 단추에 해당한다. 지출이 거의 발생하지 않으면서도 가장 흔하게 벌어지는 해킹 사고의 유입 경로를 차단하는 확실한 방법이다.
두 번째 단계는 외부 통로를 통제하는 보안 솔루션의 선별적 적용이라고 볼 수 있다. 외부 웹서버와 내부 데이터베이스 사이에 웹방화벽을 구축하고 불필요한 포트를 폐쇄하는 과정이 여기에 속한다. 이때 전문업체의 보안컨설팅 서비스를 활용해 취약한 경로를 한 차례 파악한 뒤 우선순위가 높은 영역부터 순차적으로 보완해 나가는 편이 현명하다. 이를 통해 핵심 영역의 취약성을 먼저 걸러낼 수 있다.
마지막 단계는 지속 관리 체계의 제도화이다. 정보보호 책임자를 공식 임명하고 침해 사고 대응 매뉴얼을 문서화하여 정기적인 모의 훈련을 집행하는 식이다. 외부 침입을 막는 기술적 통제와 사내 구성원의 보안 인식을 제고하는 관리적 장치가 균형을 이루어야 단단한 방어선이 유지된다.
스타트업이 흔히 저지르는 ISMS인증 대비용 보안컨설팅의 패착
가상자산거래소나 대규모 개인정보를 취급하는 플랫폼 기업은 초기 성장을 거치며 ISMS인증 획득을 준비하는 경우가 많다. 이 과정에서 규정 준수만을 골몰한 채 문서 작업에 거액의 예산을 투입하는 실수를 저지르곤 한다. 컨설턴트가 제공한 표준 템플릿의 회사 이름만 대충 바꾸어 결재 문서 파일첩을 채우는 방식이 대표적인 오작동 사례다.
실질적인 운영 체계가 없는 상태에서 심사 통과만을 바라고 서류를 꾸미면 현장 실사 과정에서 고스란히 드러나기 마련이다. 연 매출 1500억 원 이상이거나 일일 방문자 수가 일정 기준을 넘어서 의무적으로 인증을 받아야 하는 기업들은 시간에 쫓겨 형식적인 서류 맞추기에 매몰된다. 심사원들이 실제 운영 현황과 매뉴얼의 불일치를 확인하는 순간 수많은 보완 조치 요구서가 발행되어 재심사 비용과 일정만 증가하는 결과를 초래한다.
인증 취득은 마침표가 아니라 상시 통제 시스템을 운영하는 시작점이다. 문서상으로는 완벽한 보안 정책이 수립되어 있으나 정작 개발팀의 소스 코드 배포 단계에서 취약점 점검조차 누락되는 모순이 해결되어야 한다. 보여주기식 인증서보다 실무 프로세스에 완전히 녹아든 보안 통제가 실질적인 리스크 방지에 기여한다.
정부 지원사업을 활용하여 보안 인프라를 구축하는 신청 가이드
자체 보안 예산이 부족한 중소기업이라면 정부나 공공기관에서 제공하는 무상 지원 사업을 눈여겨볼 필요가 있다. 과학기술정보통신부와 한국인터넷진흥원은 침해사고 피해를 입은 기업이나 보안 수준이 취약한 영세 업체를 대상으로 정보보호 및 보안컨설팅 패키지 서비스를 지원하고 있다. 신청 요건을 충족하면 수백만 원 상당의 맞춤형 보안 점검과 취약점 분석 서비스를 전액 또는 일부 보조금 형태로 지원받게 된다.
지원을 받기 위해서는 정보보호 서비스 종합포털이나 관련 산하기관의 사업 공고를 꼼꼼히 모니터링해야 한다. 신청 단계에서 구비해야 할 서류로는 사업자등록증, 최근 3개년 재무제표, 정보보호 현황 자가진단서 등이 존재한다. 상시 근로자 수와 직전 연도 매출액 기준에 따라 가산점이 부여되거나 대상자 선정 여부가 판가름 나므로 공고문에 명시된 자격 기준을 사전 검토하는 습관이 중요하다.
최종 지원 대상으로 지정되면 전문 보안 진단 인력과 매칭되어 시스템 침투 테스트부터 보안 솔루션 도입 설계까지 일괄적으로 진행된다. 진단 결과에 의거해 방화벽 구축이나 랜섬웨어복구 소프트웨어 도입 등에 수반되는 자금을 바우처로 결제할 수 있어 초기 지출 부담을 상당 부분 덜어낼 수 있다.
외부 보안 솔루션에만 의존하는 기업이 결국 위기를 맞이하는 이유
값비싼 보안컨설팅을 정기적으로 받고 값비싼 소프트웨어를 도입하더라도 보안 사고를 백 퍼센트 막아내기는 어렵다. 기업의 고유한 사업 환경을 배려하지 않은 통제 규칙은 도리어 임직원의 업무 생산성을 떨어뜨리고 보안 규칙을 몰래 위반하도록 조장하는 역효과를 유발한다. 무엇보다 안전한 환경을 유지하는 열쇠는 도구가 아닌 시스템을 다루는 내부 인력의 준법 태도와 보안 감수성에 달려있다.
예산과 인력의 한계를 절감하는 조직일수록 화려한 도구 구매보다 핵심 자산 보호라는 뚜렷한 목표에 집중해야 이롭다. 정보보호 관리자가 부재하고 기본적인 인프라 관리마저 버거운 소규모 영세 기업이라면 무리하게 종합적인 보안 진단을 의뢰하기보다 정부가 운영하는 무료 원격 점검 서비스인 내 PC 돌보미부터 신청해 보는 방향을 추천한다. 더불어 정보보호 서비스 종합포털에 접속해 자가 진단 도구를 통해 현재 우리 시스템의 취약한 지점을 직시하는 예비 점검을 권장한다. 정작 회사 내부의 중요 파일 저장 위치와 접근 권한 목록조차 파악하지 못한 상황이라면 거창한 진단 계약을 맺는 일보다 내부 자산대장 정리부터 시작하는 편이 비용과 시간을 아끼는 현명한 첫걸음이다.
PC백신 설치와 비밀번호 변경 주기 강제화는 정말 핵심적인 부분인 것 같아요. 특히 영세업체나 초기 단계의 기업에게는 비용 부담 없이 큰 효과를 낼 수 있는 방법이 될 수 있겠습니다.
연 매출이 큰 기업들이 서류 작업에 매몰되는 부분에 공감합니다. 실제로 현장의 문제점을 파악하는 게 훨씬 중요하죠.
내 PC 돌보미를 신청해서 스스로 점검해보는 게 좋겠네요. 초기 단계에 제대로 된 보안 인프라를 구축하는 게 중요하니까요.
소스 코드 배포 단계에서 점검이 누락되는 부분은 개발팀의 역량 부족일 수도 있겠다는 생각이네요.