한빛미디어 <나는 리뷰어다> 활동을 위해서 책을 제공받아 작성된 서평입니다.
지금껏 서비스를 개발할 때 보안은 거의 제일 마지막이 생각을 해왔던 것 같다. 이 전 프로젝트에서도 개발이 완료된 이 후에 사내 보안팀과 보안 검수를 진행했었는데 상당히 애를 먹었던 경험이 있다. 근 1년간을 보안팀과 협업을 했는데 서로 언성을 높이기도 하고 시간 허비도 꽤 많았었다. 이 책 “팀장부터 CEO까지 알아야 할 기업 정보보안 가이드"를 읽고나니 부족했던 부분들이 상당히 많이 보였다.
먼저 나도 그렇고 보안팀도 그렇고 서로의 KPI와 팀 역할에 대해서만 생각했던 경향이 있었다. 그래서 나는 보안 검수를 통과하기 위한 방법만을 두고 고민을 했고, 보안팀에서는 사내 거버넌스와 컴플라이언스 등을 고려해서 면밀히 다방면으로 검토를 했던 것 같다. 한가지 예로 우리 팀에서 관리하는 서버들은 망분리가 되어 외부와의 연결이 차단되어 있었기 내부 서버들끼리 HTTP로 통신하도록 구현이 되어 있었다. 하지만 보안팀에서는 HTTPS 통신을 권고 했기 때문에 보완 작업을 해야했고, 납득할 만한 이유를 제시하지 않고 정책이라는 얘기만 들었기 때문에 내심 불만을 가지고 있었다.
지금에 와서 생각해보니 이러한 사내 보안 정책은 다수의 사람이 협의해서 결정한 사안들이고 C레벨의 임원들까지도 관여가 되어있는 부분이다보니 변경하기가 굉장히 힘들었을 것이고, 완벽한 보안은 없기 때문에 우리가 안전하다고 생각하는 부분도 어떤 경로로든 취약점이 발생할 수 있다. 이와 같은 이유로 보안팀에서는 조금 비효율적이더라도 보안을 강화할 수 있다면 뭐든 시도해 볼 수 있는 것이었다.
그리고 책에서는 협업하는 부서와 같이 밥을 먹는 것이 굉장히 중요한 부분이라고 하는데 생각해보니 보안팀 실무자와는 밥은 커녕 차 한잔 마셔본 적이 없던 것 같다. 조금 더 친밀한 관계를 유지했으면 보안 검수의 과정이 더 순탄하지 않았을까 하는 아쉬움이 들었다.
책을 읽으며 좋았던 점은 평소에 궁금해서 구글링 해봐도 찾기 어려웠던 정보를 이해하기 쉽게 설명해준다는 점이었다. 또한 여러 보안 담당자와 얘기를 나누다보면 온프레미스에서 클라우드로 넘어가는 시점에 보안 거버넌스를 구축하는 것에 상당한 어려움을 느끼고 있는데 이 책에서 모든 걸 알려주진 않지만 어떻게 접근하면 좋을지 방향을 잡아줄 수 있을 것이라 생각한다. 경험에서 우러나오는 조언들이 많이 담겨져 있기 때문에 팀장, CEO 뿐만 아니라 실무자들에게도 꼭 추천하고 싶은 책이다.
'Work > 책 정리' 카테고리의 다른 글
[리뷰] Go 언어를 활용한 네트워크 프로그래밍 (0) | 2022.02.01 |
---|---|
[리뷰] 개발자에서 아키텍트로 (0) | 2021.12.25 |
[리뷰] 그림으로 이해하는 AWS 구조와 기술 (1) | 2021.11.07 |
[리뷰] 쿠버네티스 모범 사례 (0) | 2021.10.24 |
[리뷰] 풀스택 서버리스 (0) | 2021.07.25 |
댓글