"보안은 프로세스"…아서 코비엘로 EMC RSA 사장

"글로벌 경제가 침체된 현 상황에서 단순히 보안 투자를 늘리는 것이 능사는 아닙니다. 보안 투자에 상응하는 효과를 누리는 것이 중요합니다."

아서 코비엘로 EMC RSA 정보보안사업부 사장은 11일 삼성동 그랜드 인터컨티넨탈에서 개최된 기자간담회를 통해 기업은 정보중심적이고, 체계화된 프로세스안에서 리스크 관리를 해야한다고 강조했다.

아서 코비엘로 사장은 "포춘 1000대 기업중 주요 기업 리스크 담당자 10명에게 물어보면, 그들의 고민은 한결같다"며 "기업 전사적인 차원의 보안체계 부재와 현업인력과 보안담당자간 커뮤니케이션 부족 문제가 심각하다"고 지적했다.

특히 대부분의 기업이 어느 정도의 보안 수준을 유지해야 하는지 파악하지 못하고 있으며, 리스크 관점에서 보안 투자를 하는 것이 아닌 단편적인 보안 시스템 구축에 혈안이 돼있다는 설명이다.

리스크 관리 차원에서 보안 정책을 수립하고, 프로세스화 하면 리스크 발생시 빠른 대응이 가능하지만, 현재 대다수의 기업이 관련 프로세스가 전무해 사고 발생시 매번 프로세스를 재수정하기 때문에 비용과 시간이 낭비되고 있다고 꼬집었다.

최근 IDC 자료에 따르면, 기업은 2001년 IT 총 투자 비용중 단 1.5%만 보안에 투자했다. 하지만 2006년에는 3.0%로 증가했으며, 2009년 5.0%로 지속 증가 추세를 보이고 있다.

아서 코비엘로 사장은 앞으로 보안 투자 비용은 더욱 증가할 것이며, 기업은 이제 투자 대비 효과에 집중하게 될 것이라고 전망했다.

"데이터 유출로 인한 피해가 가시화되고 있는 요즘 기업에게 있어 가장 중요한 것은 '정보' 자체를 보호하는 것입니다. 하지만 여전히 기업은 방화벽, 안티 바이러스 등 주변 보안 시스템 구축에만 관심을 쏟고 있으며, 정보 자체를 관리하는 데는 소홀한 게 현실입니다."

그는 전방위적 정보관리 프로세스를 갖추기 위해서는 업체간 에코시스템 구축이 무엇보다 중요하다고 강조했다. 기업의 인프라 스트럭처 환경이 복잡해지면서, 한 기업이 정보관리를 책임지기에는 무리가 따른다는 것.

"업체, 정부, 기업간 수평적인 에코시스템을 구축해 관련 정보를 공유하고, 협력을 공고히 해야 포괄적인 정보관리가 가능합니다. 업계 표준을 마련하고, 표준화 기구가 재빨리 움직여 변화에 적극 대응하는 것이야말로 정보 자체를 보호할 수 있는 지름길입니다."