씨앤앰케이블방송 김용덕 전무(CISO)의 보안정책 수립의 원칙: 통제가 되지 않는 보안은 하지 않는다.
아래는 제가 씨앤앰 케이블방송 김용덕 전무(CISO)와 팔로알토네트웍스 차세대방화벽 구현사례관련 토크를 나눈 중에 나온 대화입니다.
(토크 다시보기 영상)
[고우성].. 그 보안에 가장 보안정책을 수립 함에 있어서 원칙이랄까, 그게 뭡니까, 철학까지는 아니지만,
[발표자] 원칙같으면, 통제가 되지 않는 보안은 하지 않습니다. 무슨이야기 냐면,
보안을 위해 보안을 하는게 아니고 비즈니스를 수행하다 보니까, 보안이 필요한 영역이 생긴거구요. 그 부분을 보안을 적용하는데 비즈니스가 우선이고 보안인데 보안을 적용하다 보니까 비즈니스가 되지를 않으면, 저희가 이번 솔루션도 말씀드리지만, 비즈니스를 원활하게 하면서 보안의 역량을 높일 수 있는 방안을 간구하는 거거든요. 근데 굉장히 직원들이 일하는데 불편하게만 하고 실질적인 보안효과는 떨어지는 부분들은 저는 적용은 안 합니다.
될 때까지 그 부분을 제가 할 수 있울 방안을 찾을 수 있을 때까지는 아에 적용을 하지 않습니다.
[고우성]기술자체만 멋지고 새로운 거라 하는 건 아니군요. 저는 무조건 새로운것만 좋아하시는 분인줄 알았는데 그게 아니군요.?
[발표자]예를 들어서 망분리 같은 경우도 그렇고 팔로알토 같은 경우는 조금 빨리 적용한 케이스구요.제가 솔루션을 한 번보고, 적용할 때꺼자는 길게는 한 1년 6개월 동안 검토 하게 되고 굉장히 뻘리 검토하는 스타일 입니다.
[고우성]상무님께서는 현재, 그 케이블 방송의 우리 비즈니스가 뭔지, 우리비즈니스는 무엇이 필요한지, 항상 알고 계시겠네요. 그렇지 않으면 그런것이 쉽지 않을 텐데요.
[발표자]그러고 현재 뿐만이 아니고, 방송통신 비즈니스가 어떻게 요즘에 나오는 iot라던지, 핀테크라던지 파괴적인 기술, 트렌드에서 어떤 비즈니스 모델로 발전할 것이다 하는 부분도 꼭 100퍼센트 맞지는 않겠지만, 바라보면서 같이 보안도 고민하고 있습니다.
[고우성]자 지금 여기 많은 시청자분들, 거의 제가 보기에는 it 부분에서 상무님 보다 후배들이 많을 텐데, 아무래도 기술하게 되면, 거기에만 몰입이 되고 함몰되거든요. 우리회사가 속해 있는 분야에 비즈니스는 어떻게 흘러가는지 이런것들은 상당히 쉽지 않거든요. 그런것들 좀, 요즘 그런 감도 중요하잖아요. 비즈니스와 자꾸 융합이 되니까…
그런걸 하기 위해서 후배들한테 한 마다 해주신다면.. 팁같은 걸 좀 말씀해 주시죠.
[발표자]마지막 장표 보변서 설명 드릴께요/.장표를 우연히 아까, 초기에 첫동영상, 오바마대통령이 말씀하신 것도 같은 맥락이라고 생각이 되는데요. 보면, 첫번째 위에 있는 부분이 솔루션 자체하고 통합영역을 말씀을 드리는 거구요, 두번째 좌측이 비즈니스 파트너인데, 저희같은 경우는 팔로알토를 도입할떼 씨스게이트라는 파트너와 같이 작업을 했습니다. 고객사 자체 역량이라면 저희 씨앤앰의 역량인데요.
지금 보안인력이라던지 보안인력을 양성해야 한다. 아니면 보안인력을 강화해야 야 한다.
대표님께서 보안인력에 대해 말씀하셨는데. 후배들의 어떻게 커리어 패스를 갖고 갈것인가 말씀을 하셨는데, 사실 기술적인 측면에서 어떤 솔루션의 내용을 잘 알고 하시는 분들은 이미 비즈니스 파트너사에 계십니다. 저희는 그걸 가지고 아까 말씀드렸다시피, 비즈니스를 다지치 않고 잘 비즈니스를 할 수 있으면서도 보안영역을 강화시키는, 코워크를 하려면 저희 비즈니스를 잘 알아야 합니다. 제가 보안인력을 채용해서 보안인력을 가져다 놓다해서 저희가 보안이 강화되는 것은 아닙니다.
콜레보레이션을 해야 하는 데, 콜라보 레이션 하려다 보니까 솔루션 자체가 뭐, 이런말 해서 좀 그렇지만, 솔루션 자체가 안좋은 것이면, 노력을 해도 할 수가 없는 겁니다. 솔루션 자체가 굉장히 좋은 솔루션의
[고우성]본질은 괜찮은 거죠
[발표자]솔루션이 좋다고 해서 역량이 강화되는 것은 아닙니다.
[고우성]상무님 말씀 들어보면, 각 파트마다 자신의 본질을 갖고 있어야 한다는 거죠. 상무님의 본질은 비즈니스 잘알고, .. 음…
[발표자]그 비즈니스에서 그 헛점이 뭐구나… 이런 비즈니스를 할때, 예를 들면, 우리는 지정영업이 아니고 방문판매라던지, 아웃바운드 티엠을 통해서 콜센터에 들어오는 비즈니스를 한다. 그러면 아웃바운드 티엠을 많이 하니까, 아웃바운드 티엠을 하는 사람으로 부터 저의 고객정보를 해야 겠다던지, 아니면 그분들의 녹취하는 부분들을 어떻게 보호하겠다던지, 하는 거기에 필요한 솔루션이 망분리로 적용을 하게 된거구요. 그다음에 에플리케이션이 왔다 갔다 하는데 있어서, 아 이런 어플리케이션을 식별하는 방화벽이 있으면, 자유롭게 예를 들어서 솔루션을 제공하고 일을 하게 해주면서도 보안은 허트하지 않겠다.
조금아까 BYOD들을 말씀하셨는데, 저희 파트너사 설치 as를 하는 기사분들이 약 700명 정도 되십니다. 요즘에 스마트폰을 가지고 작업들을 저희 옛날 pda라고 있죠? 지금 모바일 서비스 인데, 스마트폰을 갖고 다 현장업무를 하시는데, 저희는 스마트폰을 뭐를 하던지, 예를 들면 갤럭시를 쓰던지, 아니면, 아이폰을 쓰던지, 아니면 뭐 중국제 제품을 쓰던지, 뭐를 갖다 쓰더라도 그냥 바로 쓸수 있습니다. 그러니까 단말기 트랜스 패런씨를 보장하구요, 단지 그럼 보안을 어떻게 하느냐? 망분리를 통해 들어오고 otp를 발급해서 one time password를 통해서들어오게 되어 있는 겁니다. 그러니까, 비즈니스 역량을 높이면서 보안은 보안대로 강화하는 그런 체계 갖춘다는 겂니다.
[고우성]알겠습니다.
[발표자]러니까 마지막으로 말씀드리면, 후배들이 어떻게[ 했으면 좋겠다 기술적인 측면만 보는 거 보다는 비즈니스와 연계된 기술특성을 봐 주셔야 한다.
[고우성]왜냐면, 이미 우리 it에 종사하시는 분들은 기술을 알잖아요. 알고, 원래 비즈니스만 했던사람들은 기술 모르는 거고 그사람들이 기술을 아는 거 보다, 우리가 비즈니스를 아는게 훨신 더 쉬운거고. 그러면서 포지션이 생기는 거고 우리 나름대로..
등록
