<정보보안을조명한다>(5)아웃소싱 선택할 땐

　기업의 정보담당임원(CIO)이나 정보담당 매니저들은 최근 e비즈니스 시스템을 도입하면서 걱정거리가 하나 더 늘었다. 도입된 시스템에서 고객정보 등의 중요한 데이터가 도난당하거나 불법적인 변경을 당하지는 않을까 하는 우려에서다.

　사실 기업들이 보유한 현재의 IT인력이나 관리 운영자원들로는 급변하는 보안 이슈들에 대해 기업에 필요한 보안 수준을 효과적으로 유지하기가 매우 어렵다. 적절한 보안 수준을 결정하는 초기단계부터 자산평가, 정책 수립, 보안시스템 구축, 지속적으로 발생하는 보안 이슈 등에 이르기까지 시스템에 미치는 영향을 평가할 수 있는 전문인력이 없거나 부족하기 때문이다. 또 24시간 보안 감시 및 운영인력 유지도 어렵다.

　실제 기업들은 시스템이나 데이터를 보안 위협으로부터 지키기 위한 보안전담부서를 두고 전담인원을 배정하는 것보다는 기업 매출에 직접적인 영향을 주는 부분에 신경을 쓸 수밖에 없다. 그러나 보안문제는 어느 기업도 소홀히 할 수 없는 부분이다. 보안 아웃소싱 문제가 대두되는 것은 이런 배경에서다.

　보안업무 중에는 정책 준수와 같이 아웃소싱을 하더라도 여전히 기업의 몫으로 남아 있는 부분이 있고 기술적인 보안 이슈와 보안운영 업무처럼 내부에서 자체적으로 해결하기 어려운 전문기술적인 부분이 있다. 이런 전문적인 기술과 경험을 필요로 하는 부분이 바로 보안 아웃소싱의 대상이 된다.

　아웃소싱이 활발한 미국에서는 이 업무를 수행하는 업체들을 MSSP(Managed Security Service Provider)라 한다. 이런 곳은 기업 보안 인식의 확산에 따라 급속한 증가세를 보이고 있다. 양키그룹이 최근 발표한 미국 내 보안관리 시장예측 조사에서는 아웃소싱 서비스 시장이 2001년 6억달러에서 2005년 18억달러 규모에 달할 것으로 조사됐다.

　보안 아웃소싱업체를 선택할 때 다음의 내용을 고려해야 한다. 우선 MSSP는 기업이 지정한 시스템 및 접근 허용 범위를 SLA(Service Level Agreement)에 명문화했는지, 보안 침입에 대한 상황분석(정보수집) 및 대응 방법이 제시됐는지 확인해야 한다. 또 서비스를 고객이 명확하게 이해할 수 있는 것인지와 해당 서비스가 고객 업무에 방해되거나 불편 요소를 포함하고 있지 않은지, 보안 활동에 대해 다양한 보고서 기능을 제공하고 있는지도 고려 대상이다. MSSP가 제공하는 보안 관리도구 운영이 쉽게 돼 있는지 여부와 아웃소싱에 따른 초기투자 비용도 생각해볼 문제다.

　또 아웃소싱용 보안제품이 다양한 서버를 지원하고 제공업체와 기업 시스템 모두에서 운영 가능한지, SLA에 정의된 보안 품질을 보장하는 손해보험의 가입 여부 등 보장제도 장치의 유무를 확인할 필요가 있다. 이 같은 조건을 만족하는 업체를 선택하는 것이 만약에 있을지도 모르는 보안 위협을 방어하는 시작점이 될 것이다.

　그러나 아무리 뛰어난 아웃소싱업체를 선택했다 해도 기업의 궁극적인 책임, 즉 보안 사고로 야기되는 매출과 이미지 손실 또는 책임은 여전히 기업에 있다는 것을 간과해서는 안될 것이다.

　 <피에르 노엘 트루시큐어아시아 수석부사장 pnoel@trusecure.com

　 박종문 트루시큐어코리아 선임 컨설턴트 jmpark@trusecure.com>