보안에 대한 구구절절한 상황 설명은 오히려 독이다
자신이 보유한 기술 등에 대한 보안이 필요한 CISO
http://www.boannews.com/media/view.asp?idx=47945
CISO가 보안을 논할 때 가장 중요한 것은 일단 겸손한 자세다. 절대 자신의 능력을 과시하려고 해서는 안 된다는 것. 그렇지 않은 해커들도 있지만 대부분의 해커들이 다소 유치한 성향이 있기 때문에 자신들의 보안력에 대해 떵떵거리는 이들을 보면 정복 욕구가 생기는 경우가 많다. 또한 자신이 보유하고 있는 보안기술 및 방법에 대해서도 너무 노출시키면 안 된다. 그 대상이 언론이든, 투자가들 앞에서든 관계없이 공개된 자리는 모두 포함이다. 해커들이 금방 이를 악용할 수 있다는 가능성을 배제하지 말고 보안정보에 대한 보안이 필요하다는 것. 하지만 과연 그러한 설명 없이 어떻게 보안에 대한 자신의 능력 어필이 가능할까? 가능하다.
첫 번째로 CISO는 무슨 일이든 반드시 침착하면서 꼼꼼하게 실행해야 한다. 보안절차를 규정에 맞게 차근차근 지키는 것이 중요하다.
“우리가 보유하고 있는 방화벽은 모든 인바운드와 아웃바운드의 트래픽을 스캔할 수 있다.” 좀 더 메시지를 강하게 전달하고 싶다면 “우리는 트래픽 오딧(Audit)이 가능한 방화벽을 갖추고 있다.” 이 때 주의할 점은 앞서 강조했듯이 모든 과정을 자세하게 설명하면 안 된다는 것이다.
“우리는 가능한 모든 방법을 동원하여 주기적으로 내·외부의 매개변수들을 테스팅 하고 있다.” 이는 매우 현명한 발언이다. 여기서 그쳐야지 이를 증명하기 위한 자세한 설명을 추가 제공해서는 안 된다. 가령 위험한 발언은 이런 유형이다. “우리는 주기적으로 내·외부에서 발생할 수 있는 서비스 거부 및 포트 스캔을 테스팅 한다.” 이는 형편없는 답변이다. 안 그래도 이미 해커들은 다른 공격 벡터들을 파악하고 또 다른 먹잇감에 굶주려 있는데 여기에 불을 지피는 정보가 될 수 있기 때문이다.
실제로 위협 및 보안 상황이 발생했을 때, CISO는 전략과 기술에 대한 대응은 물론 이에 대해 대중에게 알리는 것도 CISO의 주요 역할 중에 하나다. 절대 각각의 위협 및 보안 요소에 대한 언급은 피하고 침착하고 강력하게 안심시킬 수 있는 메시지를 전해야 한다.
글 : 앤디 니에토(Andy Nieto)
출처 : 보안뉴스
댓글