팀장부터 CEO까지 알아야 할 기업 정보보안 가이드

josep***l2022-03-01

어쩔수 없이 보안조직을 만들어야 했던 모든 CEO들에게 들려주고 싶은 이야기

2022년의 첫번째 한빛출판사의 '나는 리뷰어다'에서 선정된 도서는 '팀장부터 CEO까지 알아야 할 기업 정보보안 가이드'입니다.

이 책에 대한 소감을 한마디로 정리하자면 '어쩔수 없이 보안조직을 만들어야 했던 모든 CEO들에게 들려주고 싶은 이야기'입니다.

우선 이 책을 지은 저자인 강은성님의 기고문을 현장에서 워낙 다방면에 걸쳐(주로 임원들을 설득할 때) 사용하고 있기 때문에 많은 기대를 하며 본 책이었고 기대 이상으로 볼만한 도서라고 평하고 싶습니다.

이 책은 팀장부터 CEO까지라는 타이틀을 걸었고 내 한줄평에 CEO들에게 들려주고싶은 이야기라고 했지만 정보보호 관리 업무의 실무자인 나에게도 그리고 관리 영역으로 성장하고자 하는 주니어까지도 충분히 업무에 활용이 가능한 이야기가 담겨 있다고 생각됩니다.

책의 구성을 보면

1장. '기술리더? 비즈니스리더!'에서는 정보보호 책임자에 대해 다루고 있습니다. 그나마 요즘은 CISO나 CPO 전임 임원 또는 전임 책임자가 많이 늘어나긴 했지만 여전히 CTO, CIO나 서비스운영부서의 책임자가 어쩔 수 없이 CISO나 CPO를 겸임하고 있는 기업이 많이 남아있는 것도 사실입니다. 이 경우 대부분은 정보보호가 필요하니까 라는 생각보다는 법에서 지정하라고 하니까 하는 경우가 많고 따라서 이들에게는 내가 무슨 업무를 해야 하는건지도 명확하지 않은 경우가 대부분입니다. 물론 아래에 있는 정보보호부서에서 개인정보보호법이나 정보통신망법 등에서 요구하는 그들의 역할을 알려주고는 있지만 그때뿐인 경우가 많습니다. 그래서 이 장이야 말로 정말 C레벨 임원들에게 들려주고 싶은 이야기가 총망라 되어 있습니다.

2장. '지금 우리에게 필요한 것은?'에서는 정보보호 거버넌스를 다루고 있습니다. PDCA로 대변되는 정보보호의 일련의 과정부터 조직구성, 협업, 투자까지 기업의 정보를 보호하는데 있어 반드시 필요한 목표와 이를 이루기 위해 필요한 것들을 모두 정리해놓은 챕터입니다.

3장. '공격 관점에서 방어 관점으로'는 관리체계와 중요 자산 보호에 대해 얘기하고 있습니다. 관리체계라고 하면 ISMS 인증을 떠올리기가 쉽지만 ISO27001이나 그밖의 인증뿐 아니라 자체적으로 구축한 관리체계까지도 모두 이야기 하고 있숩니다. 1, 2장이 정말 C레벨이 꼭 봐야하는 어찌보면 주니어에게는 약간은 거리가 있는 얘기라면 3장부터는 정보보호 관리 업무를 하는 주니어에게도 충분히 도움이 되는 이야기라고 볼 수 있을 것 같습니다.

4장. '연습은 실전처럼-실전은 없는 게 좋다'에서는 위기관리를 얘기하고 있습니다. 장의 제목처럼 실전은 없는게 좋지만 정보보호 업무를 계속 하면서 위기가 닥치는 일을 경험해보지 않은 사람이 과연 있을까 싶습니다. 이게 외부의 공격이 됐든 내부직원의 고의가 됐든 내부직원의 실수가 됐든.... 실제로 아무리 통제를 한다고 해도 직원들의 실수는 계속 발생하고 특히 예전처럼 폐쇄된 환경을 만들이 어려워지고 있는 요즘의 업무환경에서 그 위험은 더더욱 커지는 듯 합니다. 이 장은 정보보호부서 뿐 아니라 대외 커뮤니케이션 부서나 법무부서 등 위기관리를 하는데 있어 필요한 부서의 협업을 강조하고 있는 만큼 회사 내 그러한 부서들과 함께 봐도 좋을만한 챕터입니다.

5장. '멀리하고 싶지만 가까이 있는 당신'은 규제대응에 대한 부분입니다. 개인적으로 가장 편하게 본 챕터입니다. 아무래도 계속해서 법에 대해 공부하고 가이드 분석하는 것을 취미와 업무가 공존하는 영역으로 느끼고 살다보니 이 부분이 가장 재미있는 챕터였습니다. 하지만 법을 싫어한다고 하더라도 정보보호 업무를 한다면 어쩔수없이 반드시 알아야 하는 챕터이고 법령에 대해 잘 정리가 되어 있으니 이 챕터는 주니어들부터 반드시 읽어보도록 권하고 싶은 챕터입니다.(사실 정보보호 업무로 성장해온 C레벨이라면 이 영역에 대해서는 모를리가 없다는 생각이 듭니다.)

6장. '노-력하는 자가 이긴다'는 책임자의 역량에 대해 이야기 하고 있습니다. 책임자는 분명 실무자와 역할이 다릅니다. 물론 정보보호 업무를 하면서 비즈니스에 대해 신경을 쓰지 않는다는 것은 아무리 주니어라고 하더라도 불가능합니다. 하지만 책임자가 보는 비즈니스 관점과 정보보호 실무자가 보는 비즈니스 관점은 다를수밖에 없고 결국 결정을 내려야 하는 책임자는 정보보호와 비즈니스 사이에서 누구보다 균형을 잡아야 하기 때문에 실무자로서 그동안 가져왔던 역량과는 색다른 역량이 필요하고 그 내용이 이 챕터에 담겨있습니다. 이제 정보보호업계에서 10년이 넘어가고 있는 본인에게 어떤 챕터보다 와닿는 챕터이기도 했습니다.

이 책은 관리자를 위한 책으로 제목에서 말하고 있기 때문에 실무자와는 동떨어진 얘기가 아닐까 생각할수도 있지만 정보보호 관리 업무를 하는 사람이라면 누구나 반드시 읽어볼 필요가 있는 책이고 정보보호 기술 업무를 하는 실무자라 할지라도 주니어에서 시니어로 넘어가는 단계에 있다면 그리고 눈을 넓힐 필요가 있다고 생각된다면 반드시 읽어보라고 권하고 싶은 책입니다.

"한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다."

yongh***l2022-02-27

[리뷰] 팀장부터 CEO까지 알아야 할 기업 정보보안 가이드

한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다.

지금껏 서비스를 개발할 때 보안은 거의 제일 마지막이 생각을 해왔던 것 같다. 이 전 프로젝트에서도 개발이 완료된 이 후에 사내 보안팀과 보안 검수를 진행했었는데 상당히 애를 먹었던 경험이 있다. 근 1년간을 보안팀과 협업을 했는데 서로 언성을 높이기도 하고 시간 허비도 꽤 많았었다. 이 책 “팀장부터 CEO까지 알아야 할 기업 정보보안 가이드"를 읽고나니 부족했던 부분들이 상당히 많이 보였다.

먼저 나도 그렇고 보안팀도 그렇고 서로의 KPI와 팀 역할에 대해서만 생각했던 경향이 있었다. 그래서 나는 보안 검수를 통과하기 위한 방법만을 두고 고민을 했고, 보안팀에서는 사내 거버넌스와 컴플라이언스 등을 고려해서 면밀히 다방면으로 검토를 했던 것 같다. 한가지 예로 우리 팀에서 관리하는 서버들은 망분리가 되어 외부와의 연결이 차단되어 있었기 내부 서버들끼리 HTTP로 통신하도록 구현이 되어 있었다. 하지만 보안팀에서는 HTTPS 통신을 권고 했기 때문에 보완 작업을 해야했고, 납득할 만한 이유를 제시하지 않고 정책이라는 얘기만 들었기 때문에 내심 불만을 가지고 있었다.

지금에 와서 생각해보니 이러한 사내 보안 정책은 다수의 사람이 협의해서 결정한 사안들이고 C레벨의 임원들까지도 관여가 되어있는 부분이다보니 변경하기가 굉장히 힘들었을 것이고, 완벽한 보안은 없기 때문에 우리가 안전하다고 생각하는 부분도 어떤 경로로든 취약점이 발생할 수 있다. 이와 같은 이유로 보안팀에서는 조금 비효율적이더라도 보안을 강화할 수 있다면 뭐든 시도해 볼 수 있는 것이었다.

그리고 책에서는 협업하는 부서와 같이 밥을 먹는 것이 굉장히 중요한 부분이라고 하는데 생각해보니 보안팀 실무자와는 밥은 커녕 차 한잔 마셔본 적이 없던 것 같다. 조금 더 친밀한 관계를 유지했으면 보안 검수의 과정이 더 순탄하지 않았을까 하는 아쉬움이 들었다.

책을 읽으며 좋았던 점은 평소에 궁금해서 구글링 해봐도 찾기 어려웠던 정보를 이해하기 쉽게 설명해준다는 점이었다. 또한 여러 보안 담당자와 얘기를 나누다보면 온프레미스에서 클라우드로 넘어가는 시점에 보안 거버넌스를 구축하는 것에 상당한 어려움을 느끼고 있는데 이 책에서 모든 걸 알려주진 않지만 어떻게 접근하면 좋을지 방향을 잡아줄 수 있을 것이라 생각한다. 경험에서 우러나오는 조언들이 많이 담겨져 있기 때문에 팀장, CEO 뿐만 아니라 실무자들에게도 꼭 추천하고 싶은 책이다.

tomo***l2022-02-25

팀장부터 CEO까지 알아야 할 기업 정보보안 가이드

이 책은 제목에서 확인할 수 있듯이 기업에서 보안 업무의 원활한 수행을 위해 보안담당 관련 중간관리자 이상의 임원들을 위해 만들어진 책이다. 아직 읽어보지는 않았지만 서문에 따르면 저자의 전작인 『CxO가 알아야 할 정보보안』의 업그레이드 판인 것 같다. 이 책이 기업의 입장에서 쓰이긴 했지만, 기업의 밖에서 일반인의 외부시각으로 정보보안을 바라보면 아무래도 '해킹'이나 '개인정보유출'과 같은 '보안사고'가 가장 먼저 떠오른다. 그렇다면 일반인들이 보안의 중요성을 인지한 시작한 때는 언제일까? 아마도 개인정보호가 유출 사건이 아닐까 싶다. 2000년대 중반 이후 SK브로드밴드에서 동의 없이 고객정보를 판매한 것이 발각되고, 경매사이트인 옥션에서 개인정보가 유출되면서 파장이 커지며 잠잠해지나 싶더니 2010년 이후부터는 그 수위가 더 강해지고, 2014년에는 대통령의 개인정보까지 유출되는 초유의 카드3사의 개인정보유출사건까지 터진다.

기업의 경우 꼭 개인정보만이 아니더라도 유출되면 타격을 입게 될 다시말해 지켜야할 것들이 한 두가지가 아니지만, 일반인의 입장에서는 개개인이 직접적으로 그로 인한 피해를 경험하기까지는 확실히 보안의식에 대한 감이 현저히 낮아지긴 한다. 다행이 이제는 그러한 보안의식이 일반인들 사이에서도 많이 높아졌지만, 기업의 입장에서 본다면 이전보다 더 만반의 준비를 하고 긴장을 해야 된다는 의미이기도 하다.

내가 보안 관련 공부를 막 하던 시기는 기술 중심 즉, IT보안 중심에서 벗어나 보안을 기업 경영의 관점에서 중요한 분야로 보기 시작하며 CEO의 보안의식과 역할의 중요성이 막 강조되기 시작하던 때였다. 관련 세미나를 찾아가면 각 세션이나 강연 내용의 한 꼭지를 그와 관련내용이 차지했을 정도니 말이다. 게다가 수위가 높아지며 반복되는 개인정보 유출 사고에 '개인정보 동의서'와 관련된 논란 역시 많았던 시기다. 그게 벌써 10년이 다 되어 가는데, 이 책을 읽으며 보안 관련 처음 공부하던 그 시기의 이슈들이 계속 생각이 났다. 개인정보보호와 관련해서는 기술적 뿐만 아니라 법률 즉, 관리적 관점으로 볼 때 세부적으로 파고들면 여전히 문제점이 보이고, 저자 또한 그러한 문제점과 개선점을 책 속에서 자세하게 풀어 놓고 있지만, 분명 당시에 비하면 많은 발전이 있어왔다.(EU GDPR도 한 몫 하기는 했지만..)

그런데, 당시 중요성을 강조하던 CEO의 역할의 중요성에 대한 호소와 여전히 부서간 협업에 있어 그 때와 크게 달라진 점이 없다는 생각에 한 편으로는 많이 씁쓸하면서도 정말 보통일이 아니구나 하는 생각을 새삼 하게 되었다. 다만, 당시는 보고서나 세미나 등에서 강연을 들으며 아무리 중간급 담당자나 부서장 들이 그 중요성을 강조해도 CEO의 한마디 만큼 통할까 하는 막연하게 생각하던 내용들이 이 책을 통해 저자와 현직자들의 생생한 경험담을 접해서 그런지 세월이 그렇게나 흘렀는데도 아직도 안 바뀌나.. 라는 일방적 생각보다는 오랜시간에도 바뀌기 힘들만큼 정말 어려운 일이구나 하는 생각을 더 많이 하게 되었다. 전에 한 보안담당자가(물론 보안 분야만은 아니겠지만) 그런 말을 한 것을 들었던 적이 있다. "우리 일이라는 게 못하면 당연히 욕먹고 잘해도 당연히 해야 될일이다."라고..

책은 총 6개 장으로 나누어 구성되어 있다. 앞서 언급한 보안사고 문제나 보안이슈로 인한 담당자들의 고충이나 그로 인해 발생하는 각 문제점들에 대한 경험자들의 이야기로 시작하고, 그러한 문제들을 예방하기 위해 '정보보호책임자들이 해야 할 일'을 『1영역. 거버넌스(5개 업무), 2영역. 관리 체계(7개 업무), 3영역, 중요 자산 보호(5개 업무), 4영역, 위기관리(5개 업무), 5영역. 규제 대응(3개 업무)』인 총 5개 영역, 25가지 업무로 분류해 2장~5장에 걸쳐 자세히 설명하고 있다. 저자가 분류해 놓은 각 영역만 보더라도 최근의 보안 업무 흐름이 IT보안 중심에서 벗어나고 있음을 확인할 수 있다. 특히 최고 책임자에 해당하는 CISO의 역량과 관련된 글로벌 컨설팅 업체의 2013년 조사에 따르면 북미와 유럽의 경우는 IT보안 즉 기술적 역량 보다는 리더로서 일반적 역량을 더 중요시하고 있다고 보았다. 저자에 따르면 정보보호와 관련된 세계의 흐름뿐만 아니라 우리나라도 이 조사에서처럼 보안 리더의 역할의 IT 보안 리더에서 비즈니스 리더로 변화하는 추세라고 한다. 그러한 추세가 저자가 분류한 '정보보호책임자들이 해야 할 일'에도 그대로 반영된 것 같다.

450페이지 정도의 많지도 적지도 않은 분량이지만, 저자의 개인 칼럼을 포함에 정말 방대한 내용을 담고 있고, 실제 보안 업무만큼이나 대충 읽고 넘어갈 수 없는 내용들이 많아 소설처럼 금방 금방 넘길 수 있는 내용들은 분명 아니다. 개인적으로 이 방대한 내용들을 보며 흥미로웠던 내용들이 몇 가지 있다. 하나는 '회사의 부서별 보안 수준'을 나타낸 그래프를 해석한 부분이다. 설명은 크게 3가지로 해석된다. 보안수준을 1부터 5까지로 설정(숫자가 낮을수록 보안수준도 낮다.)하고 6개 부서의 보안 수준이 서로 다르게 나타난 그래프였다. 그 해석이 정말 흥미를 넘어서 의미있었다. 그 그래프 속 기업의 보안수준은 5점 만점에 평균 3.3이었지만, 이 기업의 보안수준은 1로 보아야 된다는 것이다. 예를 들어 6개 부서 중 5개 부서가 10점이더라도 1인 부서가 한 개라도 있으면 그 기업의 보안수준은 1인 것이다. 저수지에 아무리 높은 둑 여러개가 있어도 물은 낮은 곳을 통해 세기 시작하기 때문에 1곳이라도 낮은 곳이 있으면 결국엔 모두 세어나간다는 원리와 같다는 것이다.

두번째 해석은 '임직원이 느끼는 보안수준'이다. 아이러니 하게도 임직원이 느끼는 보안 수준은 최고점인 5에 해당한다는 것이다. 그것은 보안 유출관점이 아닌 임직원이 높은 보안 수준으로 인해 당장 느끼는 불편함이 반영된 수치라고 한다. 부서간 협업의 어려움과 극복해야 될 문제로서 의미있게 살펴볼만한 결과다. 세 번째 해석은 '회사 경영진이 인식하는 보안 수준'이다. 그들은 평균인 3.3~5가 자신들의 보안수준이라고 느낀다고 한다. 부사간 협업의 어려움과 CISO의 역량에 비즈니스적 요소가 더 필요한 이유에 설득력이 더해지는 것 같기도 하다.

또 다른 하나는 보안사고 발생시 대응 부분과 관련하여 언론뿐만 아니라 사회단체나 SNS 등을 통한 개개인의 움직임으로 인한 사회적 비판과 관련된 대응을 비중있게 다룬다는 점이다. 여기서 보안을 직접 담당해보지 않았다는 점이 드러나기도 하지만, 곰곰히 생각해보니 당연히 해야될 일 중 하나이기도 했다. 그 덕분에 개인정보보호위원회에서 개최했던 세미나에 참여했던 기억이 떠올랐다. 모든 강연과 토의가 끝나고 질의 응답 시간이었다. 정부기관에서 하는 행사라 일반인도 참석이 가능한 행사다 보니 참관자의 직업군도 다양했다. 한 참관자가 전문가들이 당황해서 답변하기 어려울 정도로 수준 높은 질문을 해 혀를 내두르게 한 적이 있는데, 그 참관자는 다름 아닌 시민단체 소속이었다. 왜 저자가 이 부분에 대한 대응까지도 소홀히 하지 않는지도 충분히 이해할 수 있었다.

또 다른 하나는 기록에 대한 중요성 강조와 법규를 보는 방법에 대한 자세한 설명이다. 개인정보를 포함한 유출되는 많은 것들이 이메일, 클라우드 등을 통한 온라인 뿐만 아니라 USB처럼 점점 소형화되는 디지털 기기 등 기술적인 중요성도 커지고 있지만, 결국 그 원인을 증명해내고 책임소재를 따지기 위해서는 법규와 같은 관리적 보안이 왜 중요한지를 실제 사례를 통해 알려주고, 법규를 보는 법에 대해 자세히 알려주고 있다는 점이다. 한국 CPO 포럼에서 매년 정기적으로 관련법규 보는 법에 대한 강의를 해오고 있지만, 이런 일반 도서를 통해서 그런 내용을 접하기는 쉽지 않다. 특히 '법 읽을 때 유의사항(p.311이하)'과 같은 내용은 법학 교과서에서도 다루지 않고, 말이나 기타 자료를 통해서 배울 수 있는 내용들이라 법을 전공하지 않으면 얻기 쉽지 않은 정보들이다. 생각보다 매우 꼼꼼하게 설명해주고 있었다. 이미 공포된 법규 뿐만 아니라 법안의 발의되고 공포되는 과정 전체를 살필 수 있는 국회 '의안정보시스템'등에서 자료 보는 법 등 또한 자세하게 안내가 되어 있는데, 개인적으로 바램이 있다면 '법령정보시스템'에서 관련 법규를 볼 때 '연혁'란을 통해 해당 법의 '제·개정 이유'도 평소에 살펴볼 수 있도록 안내했으면 좋겠다는 생각을 해 보았다. 변경된 조문을 비교표나 조문 자체만 보는 것 보다는 연혁란을 통해 그 조문이 왜 제·개정되었는지 함께 참고하면 특히 신입이나 전직 등을 통해 보안업무를 처음 담당하게 된 분들이 해당 내용을 이해하는 데 많은 도움이 되지 않을까 생각된다.

또한 저자가 이 책에서 가장 강조하는 부분은 담당 업무 전반에 걸쳐 평소에 '기록'하는 습관을 갖는 것이다. 보안관련 공부를 처음 했을 당시에는 (자사 타사 불문하고 발생한)보안사고와 관련된 정보를 가장 많이 쥐고 있는 기업의 경쟁력을 굉장히 높게 샀던 기억이 있는데, 이제는 보안사고 자체뿐만 아니라 굳이 이슈가 안되더라도 자잘한 이벤트와 관련된 사항 등 평소에 습관처럼 해둔 기록들이 쌓여서 자사 기업 보안의 예방 뿐만 아니라 사고발생시 규제기관이나 소송 등의 대응에서도 자신들에 조금이라도 더 유리한 방향으로 이끌 수 있는 원동력이라고 강조에 또 강조를 하고 있다. '기록'이라는 것은 정말 다방면에서 중요한 역할을 하고 있는 것 같다. 평소에 기록하는 습관 또한 자사의 기업보안 경쟁력을 높이는 수단이 아닐까.

좋았던 점 그리고 조금은 아쉬웠던 점

제목에서도 명시했듯이 이 책은 철저하게(?) 기업 입장(관점)에서 서술하고 있다. 보안관련 공부하면서 수사과목 관련 강의를 들을 때 마다 늘 아쉬웠었다. 형사소송법 상 수사절차만 줄창 나열하는 방식에서 벗어나지 못해 여기서 강의듣는 사람 중 저 절차 그대로 수사기관에 종사하며 적용해 볼 수 있는 사람 극소수인데, 왜 기업 입장에서 말하는 분들은 한 분도 없을까라는 생각을 계속 버리지 못했다. 물론 그러한 절차는 기본으로 알아두어야 된다. 하지만, 기업의 보안팀이나 법무팀 등은 수시가관이 아니다. 그 법과 절차들을 평소에 기업에 맞게 변경해서 대비하지 않고 그대로 했다간 역풍을 맞을수도 있다. 그런 점에서 저자가 사고 발생 후 대응시에 해야될 사항들을 선배 경험자로서 기업의 입장에서 하나씩 풀어놓은 부분이 정말 좋았다. 이 책을 추천하고 싶은 이유 중 하나이기도 하다.

또 하나 좋았던 점은 이 책을 통해 고객의 개인정보만이 개인정보가 아니고 기업 내부의 임직원들이 개인정보도 보호해야 될 대상이라는 점을 분명히 인식하게 해주었던 부분이다. 당연한 내용임에도 막연하게 고객정보만 지켜야 할 개인정보가 아니라는 인식 변화도 내부 임직원들에게 중요한 부분인 것 같다.

그럼에도 조금은 아쉬웠던 점도 있다. 책 내용의 70% 가까이를 '개인정보보호'에 집중하고 있다는 점이다. 물론 그 중요성은 충분히 인지하고 있고, 이 책을 통해서 인식이 바뀌거나 배운점도 많다. 리뷰 초반에 일반인의 보안시각을 언급한 이유는 그들의 시각이 기업의 보안담당자 등 많은 사람들을 움직이게 하는 데 상당히 큰 역할을 한다고 생각했기 때문이다. 실제로 그런 상황을 계속해서 겪어오고 있다. 기업의 대부분이 영리를 목적으로 존재한다는 점을 생각해보면 당연하다. 그렇지만, 이제는 보안이 자신의 업이 아닌 일반 대중들에게도 보안의 중요성이 인식되고 있는 만큼 보안의 전문 분야도 다양해지는 상황 책 속에서 영업비밀이나 기술유출과 같은 산업보안 등의 언급이 함께 되고 있기는 하지만, 기업에서의 보안이 개인정보에 국한되지 않고 있다는 점을 생각하면, 조금 더 각 보안분야를 좀 더 골고루 분배하거나 제목에서 그 내용을 '개인정보보호'와 관련된 내용을 인식할 수 있도록 부제 등을 활용했어도 좋지 않았을까 하는 생각이 든다.

내가 보안분야에 관심을 갖고 공부를 시작한 계기는 참 특이하다. 보안분야는 아니었지만 오랫동안 수험생활을 하다 심신이 피폐해 질정도로 지쳐 이제는 다시 그쪽으로 쳐다보지 않겠다고 이를 악물고 견디던 시기에 한 보안분야 자격증 시험관련 정보가 일부러 피하고 찾지 않아도 몇 달간 내 눈과 귀를 통해 관련 정보가 끊임없이 찾아왔다. 그렇게 시작한 보안분야의 공부를 시작한지 올해로 10년째가 되어간다. 여건이 맞지 않아 아직 직접적으로 담당해 본적이 없기에 현직자들의 고충을 100% 이해하지는 못하지만 그럼에도 내가 보안관련 공부를 계속 하는 이유는 기회가 되면 꼭 해보고 싶은 일이기도 하고, 책 속에서 저자가 수차례 반복하며 보안담당자와 비보안담당자간의 간극을 줄이는 데 조금이라도 보템이 되지 않을까 하는 생각에서다. 예를 들면 꼭 기술적 관련 사항이 아니더라도 이상 징후가 발견되거나 하면 피해볼까 숨기는 것이 아니라 담당자들을 찾아 먼저 상황을 전달하고 상의하는 식으로 말이다.

아마 저자도 기업내 전직원들이 보안에 대한 그런 마인들을 갖기를 바라지 않을까 생각된다. 이 책은 기업의 중간관리자 이상의 임원을 타깃으로 만들어진 책이지만, 보안 분야에 관심을 갖고 있는 제 3자의 외부인 입장에서 볼 때 중간관리자 이상의 임원 뿐만 아니라 가능하다면 보안부서와 협업을 필요로 하는 팀장 혹은 부서장 조금 더 나아간다면 일반 임직원들까지 모두 교과서처럼 읽고 숙지해야 될 내용이라고 생각된다. 특히 보안부서의 말단 직원이라면 책 속에서 저자가 참고하고 있는 주석들의 출처와 참고자료들까지도 놓치지 말고 선배 전문가들은 관련 정보를 어디에서 찾고 참고하고 있는지 공들여 읽어야 될 책이라고 생각된다. 꼭 보안담당자나 기업의 CEO가 아니어도 좋다. 보안에 관심이 있는 사람이라면 자신의 현재 위치에 상관없이 꼭 1독 하기를 권한다.

"한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다."

spaci***l2022-02-24

팀장부터 CEO까지 알아야 할 기업 정보보안 가이드 리뷰

KakaoTalk_20220224_230013173 (1).jpg

한빛미디어의 나는리뷰어다 리뷰단으로 팀장부터 CEO까지 알아야 할 기업정보보안 가이드를 리뷰합니다.

보안 관련해서는 회사에서 정기적으로 교육을 해주고 있고 대학시절 수업시간에도 들은 기억이 있지만, 딱 그 정도 까지 였고 요즘은 크게 접할 일은 거의 없었다. 단지 요즘 비대면 근무, 수업등으로 온라인을 통한 생활로 보안이 더욱 중요해진 것은 인지하고 있었다.

KakaoTalk_20220224_230013173_01 (1).jpg

정보보호의 목적은 기업에서 정보보호책임자 자신이나 산하 구성원에게도 정보보호 목적에 대한 명쾌한 논리가 필요하며 회사 내 다른 부서의 임원, 직책자, 구성원들과 커뮤니케이션 할 때 쓸 수 있기 때문이라고 한다. 전통적으로 정보보호의 목적은 (비즈니스) 정보를 보호하기 위한 것이고 이를 위한 세 가지 목표 (또는 원칙)로 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availibility)를 들고있다. 보안의 3요소로 CIA 3요소라고 불린다고 들었다.

KakaoTalk_20220224_230013173_03 (1).jpg

이전의 사이버 공격의 사례도 읽을 수 있었는데 사이버공격 당한 미 동부지역 송유관의 이야기가 나온다. 가솔린, 디젤 등 미국 동부지역에서 소비되는 연료의 약 45%를 나르는 곳의 송유관이 마비되면서 주유소에서 휘발유 공급이 원활하지 않아 운전자는 불편을 겪고, 일부 지역에서는 휘발유 가격이 폭등하여 미국 바이든 대통령이 나설 정도로 사회적 혼란이 컷다고 한다. 이 회사는 사건 발생 바로 다음 날 범인들에게 약 440만 달러(약 50억) 상당의 비트코인을 지급하고 시스템을 복구하였다고 한다.

이 책은 정보보호 분야에서 연구하고 근무하시는 분들의 다양한 추천사가 있었다. 류재철 충남대학교 컴퓨터융합학부 교수, 한국정보보호학회 회장님과 신용석 비바리퍼클리카 CISO/이사님을 비롯해 총 4분의 정보보안 분야에서 활약하시고 계시는 분들의 진심이 담긴 추천사가 있었다.

책 자체는 정보보안에 대한 개론과 이론적인 내요을 다루고 있고, 어려운 기술적인 내용을 다루고 있지않다. 그러므로 정보보호 분야의 엔지니어를 비롯해 일반인 층까지 모두에게 도움가 볼 수 있고 도움이 될 만한 내용을 담고 있다고 볼 수 있다. 정보보안에 대해 정리하고 싶은 엔지니어부터 알고싶은 일반인 까지 모두가 독자층이 될 수 있는 책이니 만큼 지금의 언택트 시대를 살아가는 모두가 한번 씩 교양서적으로 볼만한 책이라 생각이 든다.

hamster12***l2022-02-23

누구도 가르쳐 주지 않았던 정보보호책임자의 교과서

이책의 독자로는 주로 개인정보보호책임자(CPO), 최고보안책임자(CSO), 정보보호최고책임자(CISO),
혹은 이런 업무를 총칭하는 정보보호책임자들이 있을 것입니다. IT회사를 다니시는 분들이라면 보통 주변에 이런 업무를 담당하시는 분을 보셨을텐데 다른 CXO와 같이 임원으로 쳐주지 않는 것을 본 적이 있을 것입니다. 제 경험을 바탕으로도 이분들은 보안에 대한 역량이 뛰어나기보다는 그냥 남들이 다 귀찮아하는 보안 숙제를 떠안은 경우가 대부분이었습니다.

이 책은 아마 그런 정보보호 책임자들의 숙제에 대한 답안지 같은 책이 아닐까 싶습니다.

보안은 대응하는 입장에서는 당장 급하지도 않은 (어떻게 보면 사소하고 귀찮은) 업무일 수 있겠지만 아주 작은 관심과 좋은 습관을 가지더라도 대형사고를 충분히 막을 수 있습니다. 그러나 기업 입장에서는 이러한 리스크를 개개인의 습관 정도에 기대기에는 우리는 이미 보안사고로 인한 기업의 타격은 너무나도 치명적이라는 사실을 압니다.

이 책에서는 이러한 기업내 정보보호에 대한 관점과 전략을 제시합니다.
이것을 정보보호 거버넌스라고 부를 수 있는데 정보보호와 관련된 업무, 조직 구성방법, 비용과 성과 측정법 등을 포함하고 있습니다. 또한 이러한 거버넌스를 철저히 경영자입장에서 시작하여 실무자 수준의 보안전략과 실천사항까지 상세히 다루고 있습니다. 다만 이책은 SSL, 대칭키 알고리즘처럼 보안기술을 소개하지는 않습니다. 반대로 엔지니어가 아니더라도 충분히 읽을 수 있을 것입니다.

말하자면 이 책이 당신을 보안기술 전문가로 만들어 줄 순 없지만 좋은 정보보호 책임자로 만들어 줄 수 있는 교과서라고 생각합니다.

pcr3***l2022-02-23

기업에 속한 모두가 알아야할 기업 정보보안 가이드

dong2***l2022-02-23

[리뷰] 팀장부터 CEO까지 알아야 할 기업 정보보안 가이드

현 시대는 모바일의 시대가 활짝 열리고 4차 산업혁명 시대가 성큼 다가오면서 민간과 공공을 막론하고 개인정보 및 정보보호의 중요성이 그 어느 때보다 강조되고 있는 시대입니다. 기업 업무나 일상 생활등에 인터넷 및 모바일의 기여도가 늘어나면서 랜섬웨어같은 바이러스로 인해 중요정보가 유출되는 사건이 엄청나게 늘어나고 있습니다. 이처럼 정보보안은 기업에 가장 큰 경영리스크가 되었습니다. 이에 따라 기업 내 정보보호최고책임자(CISO)와 정보보안 담당자의 책임이 엄청 커졌습니다. 이 막중한 역할을 수행하는 일은 절대 쉽지 않으며 더구나, 그 역할을 잘 수행하기란 더욱 어렵습니다. 이 역할을 수행하는데에는 능력과 지혜가 요구되기 때문입니다.

제가 이 책을 선택한 이유는 정보보호 조직의 팀장이나 파트장, 선임 실무자부터 CISO, CPO, 정보보호에 관심이 있는 최고경영진에 이르기까지 이 책을 읽는 사람이 편하게 읽을 수 있도록 내용이 구성되어 있기때문입니다. 또한 읽는 사람이 첫장부터 읽기 시작하지 않아도 관심 있는 주제를 선택하여 읽으셔도 원하는 지식과 경험을 얻으실 수 있을거라 생각될 정도로 각각 주제에 대한 설명이 뚜렷하고 알차게 구성되어 있습니다.

이 책의 특성은 저자의 오랜 업계경험과 연구, 10년 가까이 해 온 정보보호책임자 교육의 결정판이라 할 정도로 정보보호 거버넌스부터 사고 대응, 규제 대응, 보안 솔루션에 이르기까지 정보보호책임자가 알아야 할 기업 정보보안의 모든 것이 담겨 있다고 해도 과언이 아닐정도로 내용이 구성되어 있고, 특히 정보보안사고가 발생하였을 때 사고 대응을 위한 이해 관계자, 그중에서도 내부 유관 부서와의 관계와 업무 영역, 대외 이해관계자와의 협업 등에 관해서 설명한 부분은 다른 책에서 찾아보기 어려운 정보보안 사고대응 내용이 포함되어 있어 정보보호책임자 또는 정보보안 담당자거나 희망하는 사람들이라면 반드시 읽어야 하는 정보보호 사고대응 지침서이자 정보보호책임자의 가이드북이라고 생각합니다.

위에서 말했듯이 4차 산업혁명이 성큼 다가왔고 2019년부터는 랜섬웨어나 스미싱, 악성코드 메일 등의 해킹공격이 증가하면서 기업의 중요정보가 노출되는 사건이 많이 일어나기 때문에 정보보안은 기업에게 가장 큰 경영리스크이자 골칫덩이가 되었습니다. 이에 따라 기업 내 정보보호최고책임자(CISO)와 정보보안 담당자의 책임이 엄청 커지면서 이에 대비 및 대응하기 위해 법령에 따라 많은 분이 CISO, CPO로 지정되고 정보통신망법의 개정으로 팀장급 CISO도 많이 생길 전망으로 보이고 있으며 이렇게 생겨난 CISO, CPO들은 웬만한 기업에서 IT 인프라, 개인정보, 산업기밀, 영업기밀 등을 보호하기 위해 정보보호 조직의 팀장이나 파트장으로 선임이 되고 있습니다.

그래서 이러한 보안전문가를 육성해내기 위해 정보보안 전문교육의 증가 및 기업에서 채용하는 인원이 늘어나고 있는 추세입니다.

구성

Chapter 1: 기술리더? 비즈니스 리더!

Chapter 2: 지금 우리에게 필요한 것은?

Chapter 3: 공격 관점에서 방어 관점으로

Chapter 4: 연습은 실전처럼 - 실전은 없는 게 좋다

Chapter 5: 멀리하고 싶지만 가까이 있는 당신

Chapter 6: 노력하는 자가 이긴다

파트별로 나누어 봤을때 1장은 정보보호의 목적과 종류, 정보보호책임자에 대해 설명하고 있고 2장은 정보보호 거버넌스에 대해, 3장은 관리 체계와 중요 자산 보호에 대해, 4장은 정보보안 위기관리에 대해, 5장은 정보보호에 관한 법규와 그에 관한 규제 대응에 대해, 6장은 핵심 역량과 생활의 지혜에 대해 설명하고 있습니다.

개인적인 생각으로 학습은 정보보호책임자나 정보보안 담당자로 취업을 희망하시거나 취업한지 얼마 되시지 않는 이제 막 정보보안 분야를 시작하시는 초보자이신 분들께서는 1장부터 시작하시면 좋을것 같고 어느정도 경험이 있으신 분들(정보보호책임자 또는 정보보안 담당자 2년차~)부터는 1장은 자신이 해왔던 직무의 목적과 업무에 대해 다시 한번 숙지한다는 느낌으로 보시고 2장부터 차례대로 학습하시거나 이 책의 특성인 원하시는 주제를 선택하여 학습하는 방식으로 하셔도 좋을것 같습니다.

그리고 개인적으로 약간의 단점이 어쩌면 욕심일수도 있는게 정보보안 이슈 실제사례 및 대응방안, 보안 솔루션에 관한 내용이 좀더 많이 담겨있으면 더 좋았지 않았을까라는 아쉬움이 있습니다.

저의 리뷰를 읽어주셔서 감사합니다. 다음에는 좀더 유용하고 좋은 책을 소개하면서 더 나은 리뷰를 통해 여러분께 책을 소개시켜드릴 수 있도록 더 노력하겠습니다.

"한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다."

ydk***l2022-02-23

우리회사 정보보안 궁금해요! 잘되고 있나요!!!

leeseok8***l2022-02-23

[책 리뷰] 팀장부터 CEO까지 알아야 할 기업 정보보안 가이드

이 리뷰는 한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다.

기업에서 서비스를 하면서 가장 중요하면서도 효율적인 이유 때문에 간과하는 부분중에 하나가 정보보안적인 요소이다. 물론 최근에는 시큐어 코딩을 주로 다루고 있고 많은 서비스에서 보안을 중요하게 여기면서 조금은 달라졌을 지도 모른다. 이 책에서는 이런 보안적인 요소를 한국의 법에 맞게 해석하고 행동해야 하는지 다루고 있다.

특히나 최근에 작성자의 경우 회사에서 ISMS 인증을 받으면서 이것저것 수행했던 것들이 하나의 책으로 요약되어 있는 것 같아서 신기하기도 했다. 컨설팅을 받기 전에 이 책을 한번 훝어봤으면 컨설팅시에 많은 시너지를 낼 수 있었을 것 같았다.

책 자체는 이전에 읽었던 핸즈온 실습이 아니라 실제로 기업에서 어떻게 정보보호 조직을 꾸려야 하는지, 정보보호를 위한 인프라는 어떤 식으로 구축해야 하는지, 정보보호 법은 어떤 것들이 존재하는지, 위기관리나 이에대한 대응은 어떤 식으로 처리해야 하는지에 대해 실무적이면서도 이론적인 부분에 대해서 알려준다. 즉, 직접적인 실습은 없지만 실제로 정보보호 조직을 만들고 정보보호 시스템을 구축함에 있어서 어떤 방식으로 해야 하는지에 대해서 설명해 주는 책이다.

첫 장에서는 모든 정보보호 조직의 기초인 CISO 의 임명과 책임에 대한 이야기를 하고 있다. 그러면서 CPO 와 비교하면서 그 외에 다른 보안관련 책임자들에 대해서 이야기해준다. 그 이후에는 정보보호 거버넌스에 대해서 이야기하며 정보보호 팀은 어떻게 꾸려야 하며, 정보보호를 위해 다른 팀과는 어떤 역할을 나눠가져야하는지에 대해서 이야기해주면서 이러한 정보보호 체계가 없을 시 어떤 손해를 볼 수 있는지에 대해서 설명해준다.

개인적으로 가장 흥미로웠던 장은 다음장인 관리체계와 중요자산 보호 챕터였는데 아무래도 개발자(정보보호담당자)로써 실제로 수행하는 일이고 정보보호 체계를 위해 이것저것 솔루션을 알아보고 구축하고 했었던 일이였기 때문이다. 즉, 이 챕터에서는 정보보호를 위해 어떤 문화를 만들어야 하는지, 어떤 정보보호 시스템을 구축해야 하는지 등에 대해서 설명한다.

다음 챕터는 위기관리인데 정보보호 업무를 하면 모의실습 훈련등을 하고, 실제로 위기시에 어떻게 대응해야 하는지를 알려준다. 즉, 위기시에는 어떤 프로세스를 진행해야 하는지, 어떤 프로세스를 정립해야 하는지에 대해서 설명해준다. 이 다음 챕터도 나름 흥미로웠는데 정보보안에 대한 법률에 대해서 나열해주고 실제 사례를 예시로 들면서 어떻게 법을 지켜야 하는지 설명해준다. 마지막 챕터는 간단하게 역량에 대해서 설명하는 부분이다.

이 책의 가장 큰 특징이라면 실무자가 아니더라도 쉽게 책을 읽어나갈 수 있다는 점에 있다. 그리고 한국 정보보안에 맞게 쓰여져 있기 때문에 실제로 정보보호 팀을 꾸려야 하는 조직이라면 한번쯤 읽어보는 것도 좋을 듯 싶다.

bdg9***l2022-02-22

[리뷰] 팀장부터 CEO까지 알아야 할 기업 정보보안 가이드

kangba***l2022-02-22

[도서리뷰] 팀장부터 CEO까지 알아야 할 기업 정보보안 가이드

hunte***l2022-02-22

팀장부터 CEO까지 알아야 할 기업 정보보안 가이드

중소기업에서 기획 업무를 하고 있는데, 신입사원이 들어오면 회사소개 및 업무에 관련하여 기본적인 교육하고 있습니다. 교육중에는 정보보안 및 법규에 관련된 내용도 있어 아주 기본적인 문서보안, 시건장치, 컴퓨터 보안관련하여 교안을 만들어 진행했었습니다. 그런데 회사가 성장하고 회사의 기밀, 비밀 정보등이 문서 이외에 디지털화된 자료로 온라인 매체 및 플랫폼으로 빠르게 전달, 공유가 되다보니깐 신입/신규사원에 대한 정보보안 교육이 필요하게 되는 것 같아서 이책을 보게 되었습니다. 상장사이기도 하고 최근에는 오프라인 유통에서 온라인마케팅을 통한 자사몰 유입에 대한 고객정보 등이 있어 기본의 관리방법이외에 새로운 방식에 맞는 회사 내부규정도 만들어야 하는데요. 이 책에서는 최근 정부법규와 이에 연동되는 정보보호에 대한 개념과 활용에 대한 좋은 사례들이 나와있어 한권의 정보보안 교과서와 같은 책이 되는 것 같습니다.

대기업이나 중견기업에서는 정보보안 관련하여 전공자나 법관련 인원이 있어 쉽게 대응할 수 있겠지만 멀티업무를 해야하는 스타트업, 벤처기업, 중소기업에서는 따라 정보보호책임자를 둘 수가 없습니다. 대략 기획, 총무, 재무 쪽에서 겸임, 겸직을 해야하는데 이런 정보보안같은 사고는 한번 터지면 아주 큰 분쟁이나 사건사건로 이어지기 때문에 제대로 트렌드와 정보관련 플로우, 법규를 읽고 대응하지 않으면 아주 곤란한 상황이 벌어지는 것 같습니다. 참고로 얼마전 회사 홍보팀의 영상을 담아두었던 서버에 랜섬웨어 공격이 있어서 복구가 힘들어 큰 비용을 들인 영상들을 삭제하는 일이 있었는데요. 관련 기관이나 업체에 큰 돈을 주고 범인을 잡거나 복구하는데 비용을 중소기업에서는 쓸 수가 없었네요. 결국 원인은 찾았는데 회사 홍보 담당자가 주말에 원격소프트웨어를 통해 회사컴퓨터를 컨트롤하다가 유입이 된 것으로 알려져서 기술적인 문제도 그렇지만 정보보안 관련하여 회사 내부 규칙을 정비하는 것도 중요하다고 생각했습니다.

요즘엔 여러 온라인 교육이 있지만, 많은 시간을 들여야 하고 해당하는 영상을 꼭 필요한 부분만 찾아보기가 어려운데 이 책은 목차와 깔끔하게 설명된 내용을 통해서 바로바로 찾아볼 수 있는 매뉴얼과 같은 구성으로 되어 있습니다. 책 초반부에는 정보보호의 목적부터 정보보호 책임자의 업무에 대하여 비교적 자세하게 서술되어 있고, 기업에서 매우 중요한 정보보호에 왜 투자해야하는지 정보보호를 위한 조직, 협업, 투자규모와 성과 측정에 대한 부분도 나와있습니다. 그리고, 본격적으로 정보보호에 대한 중심을 어디에 두어야하는지 나오는데요. 책에서는 아마도 돌다리도 두들겨보고 가야한다는 방어적인 관점에서 정보보호 업무를 이야기합니다. 저도 회사에서 기획업무를 하다가 가장 중요한 두가지는 CEO의 의지와 기업문화에 대한 것입니다. 이것이 잘 조화되면 회사는 어떤 상황에서든지 똘똘뭉쳐 모든 업무에 성과를 내는 조직으로 바뀌는데요. 정보보호도 동일한 관점에서 이야기합니다. 정보보호에 대한 CEO의 투자결정 및 회사 내의 정보보안 문화의 형성이 가장 중요하다고 하네요. 책의 후반부에서는 법규에 대해서 나옵니다. 법이라는 것은 잘몰라서 피해를 당연히 감수하게 되는 것이 많은데요. 정보보호에 있어서 미리 선제적으로 대응을 하고 변화되는 법규를 틈틈히 잘 익혀두어야 한다고 이야기하고 있습니다 . 오랜기간 정보보호에 대한 전문가인 저자의 경험과 노하우를 잘 알 수있는 좋은 교과서와 같은 책인 것 같아 업무에 더 활용이 높을 것 같습니다.

이 서평은 한빛미디어 <나는 리뷰어다> 활동을 위해 책을 제공박아 작성된 서평입니다.

todayon***l2022-02-21

팀장부터 CEO까지 알아야 할 기업 정보보안 가이드 - 강은성 지음

h211***l2022-02-21

보안팀의 입장을 이해해 보고 싶을 때 좋은 책

이 책은 한 마디로, __ 입니다.

기업 정보보안에 필요한 관리적 보안 체계를 갖추기 위한 가이드북 입니다.

이 책은 __ 인/한 사람들에게 추천하고 싶습니다.

이 책은 정보보호책임자를 대상으로 작성된 책입니다. 하지만 보안팀이나, 외국계의 경우
Information Security Audit을 담당하는 담당자(국내기업은 체계를 잘 모름)에게도 추천하고 싶습니다.
특히 담당자가 정보보안에 대한 경험이 없는 경우, 이걸 '왜' 해야 하는지에 대한 설명이 자세히 나와 있어
더더욱 추천드리고 싶습니다. 번외로, 정보보안기사 시험을 공부하시는 분들께도 추천드리고 싶은데요,
시험범위와 많이 겹칩니다d^^b 시험까지 시간이 많이 남았다면 한 번쯤 읽어보셔도 좋을 것 같습니다.

이 책을 통해 __ (한) 정보를 얻어가실 수 있습니다.

이 책의 독자께서는, 기업 정보보안 전반에 걸친 이론적, 정책적 개념을 습득하실 수 있겠습니다.
특히 정보보안에 대한 이해가 전혀 없으신 분들이라고 해도,
정보 보호의 목적이나 보호의 대상에서부터 시작해서 침해사고 발생 시의 대응 방법,
거기에 관련 판례들까지도 모아 두고 있어 정보보안 개괄을 가져가기 좋은 도서입니다.

총평

읽으면서 이거... 교재... 아니 교과서 같은데?! 라는 느낌이 들어 저자 소개를 살펴 보니 역시 교수님이 작성하셨군요!
굉장히 교과서적인 책입니다. 정보 소개의 흐름이
정보 보호를 왜 해야 하는지? 어떤 것들을 보호해야 하는지?
기업의 정보보안을 위해 누가 어떤 역할을 맡아야 하는지? 각 역할은 어떤 업무를 수행해야 하는지?
이 사람들이 모여 정보보호 체계를 만들어 내려면 어디서부터 시작해야 하는지?
그 과정에서 이슈가 발생하는 경우 어떻게 처리해야 하는지?
관련된 법규는 어떤 것들이 있는지? 침해사고 및 법적 분쟁이 발생했을 때의 과거 법리 해석은 어떻게 되었는지?
이런 식으로 되어 있어서, 읽다 보면 생기는 궁금증을 다음 챕터에서 해결해 주고 있습니다.
체계적으로 구성되어 있다는 이야기입니다.
지금 회사는 외부감사를 받고 있기도 하고, ISMS 감사도 받고 있는데
저같은 비보안 엔지니어들은 취약점으로 지적받는 것들에 대해 '왜...?' 라는 의문을 갖기 쉽습니다.
요 책은 그런 '왜..? 왜 이렇게까지..? 이건 또 왜..?' 에 대한 의문을 해결해주는 데 도움이 되겠습니다^^

이 서평은 한빛미디어 <나는 리뷰어다> 활동을 위해 책을 제공받아 작성된 서평입니다.

siv***l2022-02-20

정보보안담당자 이해하기

이 책을 선택한 이유는 책에 그 내용이 잘 나와 있다.

대화하는 상대방이 나와는 다른 유형의 인간임을 인정하고 상대방의 논리체계와 이해관계를 이해하려고 노력해야 타 부서와 소통을 시작할 수 있다.

p.426

물론 책에서는 정보보안책임자가 다른 부서와의 소통을 위한 제안 이었으나,

반대로 개발자 입장에서 정보보안실무자 또는 책임자와의 의사 소통을 위해서는 그들의 언어를 이해할 수 있기 때눈에 이 책을 선택해서 읽게 되었다.

ISMS 심사나 방화벽 정책 신청, 모의 해킹 결과 보고 때에나 이야기 하고, 문제점을 해결하기 위해 단편적인 작업을 했는데 좀 더 전체적인 업무을 알면 좋을 것 같다고 생각했다.

책은 대학 전공서 같은 느낌에 저자의 보안 정책에 대한 주장이 포함되어 있었고,

규제에 대한 내용이 많다 보니, 법 조문과 그것은 해석에 대해 많은 부분을 차지하고 있다.

물론, 법 전공서 같지는 않지만 법 조문이 워낙 실생활의 언어와는 동떨어져 있어 책을 읽기가 편하지는 않다.

제가 기대했던 것은 좀 더 실무쪽이 었는데, 타겟이 '정보보안책임자'이다 보니 생각보다는 점 더 거시적인 관점에서 쓰여있어서 내가 그 입장이 되기 전까지는 필요할까 싶기도 하다.

보안담당자와 개발자가 보통은 적으로 만나는 적이 많은 것 같다.

책에서도 개발자를 '자유로운 영혼', '효율과 편리를 최고의 가치로 알고 일하는' 이라는 수식어로 표현하고 있는데,

개발자 입장에서도 일하는 데 방해하는 역할로 생각하기 쉬운 것 같다.

각자 추구하는 방향이 다르다 보니 어쩔 수 없겠으나, 이 책을 통해 보안담당자의 입장을 어느 정도 이해할 수 있게 된게 성과인 것 같다.

한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다.

catcat1***l2022-02-13

정보보호 조직 필독서!

책 표지에 있는 것처럼 이 책은 정보보호 조직의 팀장부터 CEO까지 반드시 한 번 쯤은 읽어봐야 할 책이다.

정보보호 조직의 팀장뿐 아니라 유관부서 팀장이면 읽고, 정보보안에 관련하여 해당 조직에 대하여 협조해야 하는 이유를 생각해보는 계기를 만들어야 한다고 생각한다.

보안에 관련하여 아무것도 모르는 사람들도 이해하기 쉽게 모든 정보를 저자는 설명하고 있다.

정보보안, CPO, CISO 의 정의, CPO가 해야할 일, 거버넌스, 위기 관리 뿐만 아니라 정보보호와 관련된 규제 마지막으로 정보보호책임자의 역량까지 정보보호(정보보안)에 대한 모든것이 녹아져 있는 책이라고 생각한다.

1장에서는 정보보호가 무엇인지, 정보보호책임자와 그의 임무 등을 설명한다.

정보보호의 목적을 "조직과 사업의 지속적 성장에 기여" 하는 것이라고 한다. 저자는 정보보호와 관련된 모든 행위를 기술적인 면에 치중해있지 않고, CEO 관점에서 혹은 다른 부서에서에서도 정보보호의 중요성을 인식할 수 있도록 설득하는 방법을 설명하고 있다. 저자가 실제 CPO, CISO 로 재직하면서 경험한 일을 책에 담아 실제 업무에 도움이 많이 될 것같은 책이라고 생각되었다. 또한, 정보보호책임자의 임무를 "회사의 경영목표 달성을 위한 전사 정보보호 위험의 관리" 라고 정의하여 회사의 동떨어진 업무가 아닌 함께 경영목표를 위해 최선을 다하는 사람이라는 인식하게 하는것이 중요하다고 설명하고있다.

2장에서는 정보보호 거버넌스에 대하여 설명한다.

관리체계 기반 마련 > 위험 관리 > 관리체계 운영 > 관리체계 점검 및 개선 의 사이클에 따라 지속적이고 반복적으로 실행되어야 한다. 관리체계 기반 마련 활동 중에서도 제일 중요한건 CEO가 주도한 정보보호 체계 구축이다. 정보보호책임자 혼자 힘으로는 정보보호가 중요하다고 건의를 하더라도, CEO가 정보보호 중요성에 대하여 인식하고 지지하지 않으면 회사의 정보보호를 하기는 어렵다. CEO를 설득하는 방법에 대해서도 잘 설명하고 있어, 실제 정보보호 조직의 임직원들이 읽어보면 좋을 것 같다는 생각을 했다. 해당 장에서는 정보보호조직의 소속에 따른 강점과 고려사항, 정보보호 조직 자체에 대한 규모와 구성, 정보보호에 대한 투자규모와 투자성과 측정등을 설명하고있다.

3장은 관리 체계 수립, 정보보호 교육, 보안 문화 형성 등 실제 정보보호 활동에 대하여 설명하고 있다.

4장은 정보보안의 위기관리 즉, 실제 정보보호 사고 발생 시 대처 방법과 모의 훈련 등에 대해 설명한다.

5장은 정보보호 규제에 대하여 설명하고 있다. 정보보호책임자가 알아야할 개인정보보호법, 정보통신망법, 위치정보법 등 법과 관련된 내용을 설명한다.

마지막으로 6장에서는 정보보호책임자의 핵심 역량에 대해서 가볍에 다루고 있다.

이 책을 읽기 위해서 선행지식이나 전문지식이 많이 필요하지 않지만, 실무와 관련된 정보보호에 대하여 모든것을 담아내고 있어 책을 읽는데에 짧지 않는 시간이 소요되었다. 하지만, 그 시간을 소요해서 읽을만한 가치가 있다고 분명하게 말할 수 있는 책이다. 정보보호에 조금이라도 관심이 있다면, 혹은 현재 정보보호 조직에 대하여 작은 관심이 있다면 반드시 읽어야할 도서임에는 분명하다.

한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다.