기업의 보안담당자들에게 가장 까다로운 업무를 골라보라고 한다면, 반드시 언급될 것 중 하나가 자산을 조사하는 일일 것이다. 어느 조직이건, 그 규모가 커질수록 자산을 관리한다는 건 난이도가 기하급수로 증가하는 일이다.
어느 조직도 자산을 구매하거나 폐기하거나, 변경을 할 때 반드시 보안담당자를 거치도록 하지는 않는 탓도 있을 것이고, 이유는 다양하다. 그러다 보니, 사업에 투입되어 진단을 수행하다 보면, 자산이 실시간으로 늘어나는 것을 보는 경우가 허다하다.
그런데 그걸 컨설턴트 입장에서 다 수용할 수는 없다. 기술진단 인력만 있다고 가정하더라도, 그 인원이 기술 진단만 하다 끝나는 것은 아니기 때문이다. 예외·통제사항도 구성해야 할 것이고, 담당자 인터뷰 일정도 끝내야 하고, 진단 결과 보고서도 써야 하고, 위험평가도 수행할 것이고, 보호대책 및 마스터플랜 수립에도 일정 기여를 해야 할 것이기 때문이다. 그런데 여기서 자산 변동이 생기게 되면, 여러 문서에서 수정이 일어나야 하고, 그러다 보면 높은 확률로 업무가 꼬이고 산출물의 신뢰도는 점점 낮아질 수밖에 없다.
즉, 컨설턴트 입장에서는 컨설팅의 퀄리티를 위해 갱신 마감일을 최대한 사업 극초반에 마무리하는 것이 좋다는 것이다.
하지만 기업 담당자는 그렇지 않다. 갱신 작업을 사실상 컨설팅에게 넘길 수록 업무 부담이 완화될 것이고, 마감일을 늦출수록 가장 최신상태를 반영할 확률도 높다. 갱신 마감일이 너무 이르면 아직 반영되지 않은 신규장비나 소프트웨어 변경이 누락될 위험이 있을 것이다. 더군다나 담당자는 컨설턴트는 잘 모를 수 있는 내부 사항을 고려해야 한다. 다른 주요 일정과의 충돌, 타 프로젝트 운영, 인증심사 및 감사 준비 관련 등의 사항 말이다.
즉, 담당자 입장에서는 마감일이 늦을수록 최종적이고 확정된 자료로 진단을 수행해 효율성과 정확성을 높일 수 있다는 것이다.
그리고 양측의 입장이 그렇다 하더라도, 갱신 마감일이 사업의 50% 시점을 넘어서는 안된다는 게 나의 판단이다.
1. 일련의 업무에 큰 지장을 받아 산출물 자체의 신뢰도가 떨어질 가능성이 있다.
2. 갱신을 너무 늦추면, 이미 도입되었지만 실제로 등록되지 않은 신규 장비·SW가 많아질 수 있고, 반대로 폐기된 자산이 여전히 목록에 남아 오히려 진짜 최신의 정보를 반영하려는 본래의 의도가 훼손될 수 있다.
3. 늦은 시점에 진단을 시작하면, 탐지된 취약점에 대한 긴급 조치가 예산·인력 부족으로 지연될 가능성이 높다.
이제 그리고 다음으로 고려할 것이 있다. 바로 전체 기반시설 대상 자산의 수다. 규모나 민간/공공 구분에 따라 기반시설 자산의 수는 천차만별이다. 고작 30대 정도에 불과한 곳이 있는가 하면, 수천, 수만 대에 이르는 곳도 있다. 30대인 곳과, 3만 대인 곳 모두 같은 시점으로 정한다는 건 분명 합리적이지 않은 일이다.
자산대수가 수만 대에 이르는 곳은 사실상 자산 식별이 불가능한 곳이다. 단 한번도 자산을 100% 정확하게 식별한 적이 없다는 말이 맞을 것이다. 보통 수만 대에 이르는 곳은 여러 지역에 있는 곳에서의 자산들을 더한 값일 텐데, 당장 내가 있는 회사의 자산도 식별하기 어려운데 어떻게 먼 지역에 떨어져 있는 지사의 자산을 식별한단 말인가. 그렇기에 자산 대수가 많은 곳일 수록 변동이 클 수밖에 없고, 특히나 자산이 많은 상황에서 변동이 자주 일어날 경우 컨설팅 인력은 높은 확률로 실수를 할 수밖에 없다. 그 컨설턴트의 실력이 문제가 아니라, 사람이기에 그런 상황일수록 실수를 할 수밖에 없다는 것이다.
결국 자산대수가 많을 수록 자산대수 확정일은 앞으로 땡기는 것이 서로에게 유리한 판단일 것이다. 그리고 수천 대가 넘어가는 곳은 자산확정 마감일을 전체 사업 기간의 10%로 하는 것도 충분히 좋은 선택이라고 생각한다. 아무리 방어적으로 잡아도 20%로 해야할 것이다. 그러나 자산 대수가 수십 대에 불과하다면, 40%로 해도 무방할 것이다. 이에 따른 예시는 다음과 같다.
물론 나는 아래의 예시보다 더욱 엄격하게 앞으로 땡기길 희망하지만 말이다.
| 자산 대수 | 자산확정 마감일 |
| 10,000 이상 | 사업 전체 기간의 5% |
| 1,000 ~ 9,999 | 사업 전체 기간의 10% |
| 300 ~ 999 | 사업 전체 기간의 20% |
| 100 ~ 299 | 사업 전체 기간의 30% |
| 99 미만 | 사업 전체 기간의 40% |
'기타' 카테고리의 다른 글
| 2025 개인정보 처리방침 주요 개정사항 (2) | 2025.07.31 |
|---|---|
| 기반시설 보호대책을 작성하며 (1) | 2025.07.17 |
| 사내 임직원의 생성형 AI 플랫폼을 통한 기밀 유출 방지 방안 (3) | 2025.06.30 |
| 보안컨설팅 기술인력의 기준 별도 제정안 (1) | 2025.06.19 |
| 개인정보를 AI로 판단하기 (1) | 2025.05.21 |