디지털 트랜스포메이션 보안: 사용자 경험을 중심으로 한 새로운 보안 정책의 필요성. 디지털 트랜스포메이션을 위한 핵심 기술: RPA부터 클라우드까지의 세 번째 디지털 트랜스포메이션(4차 산업혁명, DT, DX, 디지털 전환) 시대에 맞는 새로운 보안 규정의 중요성을 탐구합니다. 사용자 경험을 중심으로 한 보안 정책의 변화와 글로벌 트렌드를 비교 분석합니다.
공인 인증서의 변화와 사용자 경험
우리나라 IT 환경에서 보안하면 떠 오르는 것이 바로 공인 인증서이다. 꽤 오랜 기간 동안 여러 규제로 선택의 여지 없이 사용해왔고, 불필요한 프로그램을 개인 PC에 강제로 설치하게 해 많은 이용자들로부터 불만을 사기도 했다. 공인 인증서를 이용하여 인터넷 뱅킹을 한다거나 공공기관 웹 페이지를 이용할 때면 인증서 및 각종 보안 프로그램을 설치하고 재부팅 하는 등 꽤 번거로웠던 것이 사실이다. 결국 최근에서야 일부 규제가 변경되면서 기존의 공인 인증서 대신 사용성이 훨씬 개선된 공인 인증서를 사용할 수 있게 되었다.
기존 인증서만 쓸 수 있던 시기, 외국의 인터넷 서비스를 이용해본 사람들이라면 전혀 불편함 없이 금융이나 결재 서비스를 이용할 수 있었던 것에 놀라움을 금치 못했다. 분명 같은 인터넷 뱅킹인데, 어디에서는 여러 개의 프로그램을 설치해야 이용 가능했고 어디에서는 그냥 클릭 몇 번으로 포털 서비스 사용하듯 물 흐르듯 편안하게 이용이 가능했다.
무슨 차이일까? 바로 사용자 경험과 기술 사이에서 사용자들을 기본적으로 문제를 발생시킬 수 있는 대상으로 보고 사전에 막을 것인지, 아니면 문제가 생기기 전까지는 편안하게 쓰게 하다가 문제가 생겼을 때 그에 따른 보상을 요구할 것인지, 이같은 관점의 차이가 그 같은 차이를 만들었다고 할 수 있다.
국내외 보안 정책의 차이와 그 영향
보안 문제에서도 국내 기업과 해외 기업의 인식 차이를 유사하게 보여준다. 일정 규모 이상의 직원 수를 보유한 기업, 특히 국내 대기업 계열사들은 이미 사내 보안 프로그램이 적용되어 있고, 보안이라는 이유로 문서를 캡처하거나 자유롭게 외부로 유출하지 못하게 되어있다. 기업의 중요 정보에 대한 유출을 방지하려는 목적이 있기 때문에 충분히 이해가 되는 사항이다. 그러나 이러한 보안 정책들이 변하는 환경을 제대로 반영하고 있느냐 하면, 그렇지 못하다고 답할 수 밖에 없다. 기업의 문서 보안의 핵심은 조직 내 문서 유통의 문제가 아니라 문서가 외부로 나갈 때 DRM 등을 통해 외부에서 해당 문서를 보지 못하게 막는 것이 핵심이다.
그러나 우리나라 기업들의 보안 체계는 무조건 막고 보자는 방향으로 흘러왔다. 이는 이메일에서도 마찬가지다. 심지어 이메일을 자동으로 삭제하는 기업도 적지 않다. 그러나 이렇게 삭제하는 메일들을 별도로 보관 하는지는 의문이다. 기계적으로 삭제했다가 중요한 소송이 발생해 해당 메일을 복구해야 한다면, 이에 대한 대안을 가지고 있는지도 모르겠다. 이처럼 직원들은 보안이라는 이유로 인해 상당한 생산성 저하를 경험하고 있다.
보안의 진화: 사용자 중심 접근 방식
최근에는 기업들의 보안 활동도 변화를 맞고 있다. 바로 앞서 설명한 다양한 디지털 도구들로 대표되는 SaaS 서비스 도입을 하면서부터다. SaaS 서비스는 자사의 서버가 아닌 서비스 제공자들의 서버를 빌려서 이용하는 형태이다. 규모가 큰 기업에서 SaaS 서비스를 도입할 때 가장 먼저 부딪히는 문제가 바로 기존 보안 레벨 차이에 따른 혼란이다. SaaS형 서비스의 장점은 언제 어디서든 인증을 거치면 내가 작성하고 있던 문서 또는 공동 작업하던 파일로의 접근이 가능하다는 점이다.
그런데 이를 기존의 보안 정책으로 해석하게 되면 문서를 일정 기간 보관하고 있다가 삭제해 버린다거나, 회사의 지정된 PC가 아닌 다른 곳에서의 접속은 불가능해지는 일이 발생한다. 이는 공공기관 서비스의 관점에서 직원들을 어떻게 바라보느냐와 동일하다. 우리의 경우 직원들을 잠재적인 보안 위험 대상자라 보고 여러 사용 기능을 제약하는 방향으로 보안을 적용한다. 그래서 특정 기간이 지나면 자료를 삭제하거나 접속에 제약을 두는 정책을 취한다. 그러나 글로벌 기업의 경우 개인의 사용성을 최대한 편하게 열어놓되 문제가 생겼을 때 상당한 손해 배상이 따를 수 있다는 것을 별도의 교육을 통해 알리는 방식을 취한다.
지금처럼 재택근무가 많은 경우, 회사는 직원들 각자가 어떤 PC를 사용하던 어느 위치에서 자주 접속 하는지를 쉽게 파악한다. 회사와 집 주소는 이미 알고 있고, 접속하는 IP 주소만으로도 정상적인 접근인지 아닌지를 파악할 수가 있다. 그러다 집과 회사가 아닌 완전히 다른 위치에서의 접속이 모니터링되면 보안 솔루션에서 이상 감지를 알려주고, 이를 추적하거나 바로 그 권한을 끊어버리는 활동을 보안팀에서 담당한다. 이처럼 처음부터 접속이 불가능하게끔 막는 것이 아니라, 이상 감지가 확인될 때 접속을 못하게 조치함으로써 직원들은 자주 접속하는 곳에서는 막힘없는 업무를 보장받게 된다. 이 작은 차이가 실제 업무에 있어 엄청난 생산성 차이를 만든다.
디지털 트랜스포메이션 보안 규정과 그 필요성
DX의 여정에서 직원들의 디지털 역량을 향상하고자 시작하는 일들이 겉만 번지르르하고 실제 성과를 만들지 못하게 된 데에는 이러한 디테일의 차이가 결정적일 때가 있다. 앞서 문서 보안을 이야기했지만 우리나라 기업에서 문서 보안을 의미 그대로 제대로 적용하는 기업이 과연 얼마나 될까? A팀에서 작성하였고, 이에 대한 접근 권한은 A팀 구성원과 회사 CEO 및 임원들로 한정되어 있는 대외비 문서가 있다고 하자.
만일 A팀 팀원이 B팀으로 내부 이동을 하였다고 할 때 해당 팀원이 이전에 작성한 대외비 문서에 접근이 바로 차단되는가를 살펴보자. 아마 대부분은 개인 PC에 별도의 파일을 갖고 있을 것이다. 이런 기본 상황도 해결하지 못하면서 공인 인증서 같은 기업 보안 프로그램을 설치한 것으로 기업 보안을 잘하고 있다고 생각하면 안 된다. DX로 기업의 일하는 문화를 바꿔보고자 한다면 기존의 보안 규정도 원점에서 다시 한번 살펴보아야 한다. 분명 변화가 필요한 요소를 발견할 수 있을 것이다.