사이버 보안과 혁신은 얼핏 상호 배타적인 것으로 보인다. 보안을 강화하기 위한 전략은 위험 감소를 목표로 하는 반면에 혁신 노력은 위험 감수에
하지만 오늘날 기업들은 데이터와 다른 IT 자산을 보호하는 조치를 취하면서 혁신적인 이니셔티브를 추진하고자 한다다. 보안 요건을 엄격히 하고 시스템과 데이터를 보호하며 규제 준수성을 유지하면서도 새로운 수익, 향상된 고객 경험, 새로운 시장 기회를 달성할 수 있는 길을 마련하려는 것이다.
이는 불가피한 선택이기도 하다. 오늘날의 비즈니스 환경에서 성공하기 위해 놓칠 수 없는 조건들이기 때문이다. 그리고 현실적인 접근법 중 하나는 클라우드, 모바일 기술, 인공지능, 데이터 분석, IoT 등의 혁신적인 기술을 최대한 안전한 방법으로 도입하고 활용하는 것이다.
이를 위해 오늘날의 기업들은 경쟁에서 앞서고 새로운 기술을 실험하며 생산에 개념 증명을 도입하면서 이런 이니셔티브가 안전하게 보장될 수 있는 방법을 찾아야 한다. 어쨌든, 목표는 혁신적이면서 안전한 동시에 합리적이어야 한다는 것이다. 오늘날 기업들이 혁신과 보안의 균형을 유지하기 위해 이용하는 방법들을 살펴본다.
데이터를 보호하면서 새로운 온라인 서비스 배치하기
교육 기관은 학생 개인정보 보호 법안인 ‘가족 교육권리 및 개인정보보호법’(FERPA)을 준수해야 한다.
펜실베니아 인디애나 대학교(IUP)의 CIO 빌 밸린트는 “오래전부터 컴플라이언스가 우선순위이긴 했지만 전통적인 구내 학생정보시스템과 데이터는 일반적으로 시스템적으로 외부 접근이 제한되어 있다. 따라서 외부 세계에서 침입하는 상황에 대한 우려가 거의 없었다”라고 전했다.
하지만 이러한 시스템에 대한 웹 기반 액세스가 등장하면서 대규모 보안 침입 및 데이터 노출 가능성으로 인해 FERPA 컴플라이언스 우려가 새롭게 대두됐다고 그는 덧붙였다.
밸린트는 “고등교육에 서비스 측면이 강조되면서 이 문제가 확대됐다. 입학 및 학생 성취도 목표를 달성하려는 기관들은 최근 몇 년 사이에 고객 관계 관리와 데이터 분석 솔루션 등의 분야에서 클라우드 기반의 신속한 서비스로 돌아섰다”라고 말했다.
IUP 또한 예외가 아니다. 이 대학은 클라우드로 이용할 수 있는 이러한 기술을 통해 최적화되고 개인화된 금융지원 패키지와 맞춤형 학업 분석을 지원하고자 했다. 혁신적인 서비스를 제공함으로써 우수한 학생을 유치하고 유지할 수 있기 때문이다.
밸린트는 “하지만 시중의 많은 벤더들은 일반적으로 학생에 대한 많은 민감한 학업 또는 재무 데이터를 벤더가 제어하는 클라우드 애플리케이션으로 가져와야 한다고 요구한다. 이런 활동으로 인해 기관의 보안 통제력이 어느 정도 상실된다”라고 지적했다.
결국 학교로서는 민감한 데이터가 전송 및 보관 시 보호될 것이라는 벤더의 계약서상 약속을 그저 신뢰해야 하는 경우가 나타나곤 했다는 설명이다.
민감한 데이터가 노출되지 않도록 하기위해 IUP는 먼저 클라우드 기반 서비스의 보안 및 프라이버시 영향을 검토했다. 이어 툴의 기능에 필수적인 데이터만 공유하기로 결정했다.
밸린트는 “예를 들어, 툴이 학업 성취도에 중점을 두고 있는 벤더와 성적 정보를 공유해야 할 수 있다. 하지만 사회보장번호까지 공유할 이유는 없다. 공유해서도 안 된다”라고 말했다.
이 외에도 IUP는 공식적인 계약과 서비스 수준 합의를 통해 모든 클라우드 벤더가 데이터 프라이버시 및 보안에 대한 산업 표준을 준수하도록 요구하고 있다. 밸린트는 “자체적으로 클라우드 서비스급의 전문지식을 획득할 수 있는 고등교육 기관은 거의 없다. 그러나 그들이 제공하는 서비스는 점차 여러 기관의 생존에 필수적으로 작용하고 있다. 해당 업계는 민감한 기밀 데이터를 보호하는 우수 사례를 지속적으로 발전시켜야 한다”라고 말했다.
새로운 모바일 앱에 보안 구축하기
2019년 말, 콜로라도 주 정부는 주민들의 편의성을 도모하기 위해 ‘myColorado’ 모바일 앱 내의 디지털 ID 출시를 발표했다. 이 앱은 주민들에게 디지털 신원 및 정부서비스와 연결할 수 있는 혁신적이고 안전하며 편리한 모바일 솔루션을 제공하기 위해 고안됐다.
콜로라도 주의 CISO 데보라 블라이스는 “그 목적은 중앙의 모바일 플랫폼을 통해 주민들을 서비스에 연결하여 주민들이 운전면허증 갱신 등의 민원을 더 쉽게 처리할 수 있도록 하는 것이다. 이를 통해 정부기관을 방문할 일이 없어지면서 주민의 시간과 교통 비용을 절감하고 궁극적으로 고객 만족도를 달성하는데 도움이 된다”라고 설명했다.
해당 앱을 10월 공개 출시한 이후 3만 명의 주민들이 다운로드했다. 주 정부는 대중의 신뢰를 얻고 유지하는 것이 주민들에게 제공되는 제품 또는 서비스의 광범위한 도입에 무엇보다도 중요하다고 판단했다. 블라이스는 이를 위해 애플리케이션 배치 시 보안을 필수적인 요소로 확보해야 했다고 전했다.
myColorado의 개인 정보는 해당 앱을 통해 프라이버시 및 보안을 위한 다중 인증 및 데이터 암호화를 통해 보호된다. 또한 myColorado는 사용자의 신원을 확보하기 위해 여러 수준에서 사용자 인증, 검증, 페더레이션을 도입했다고 블라이스가 말했다.
블라이스는 “myColorado가 하나의 아이디어였을 때부터 보안 설계자가 앱 디자인팀에서 중요한 역할을 담당했다. 프로젝트 개시 시점부터 사용자를 주 시스템 내부의 적절한 정보에 연결하기 위해 모바일 사용자의 신원을 검증해야 했다”라고 말했다.
기타 고려사항으로는 무단 액세스를 방지하기 위해 사용자 정보에 대한 적절한 인증을 통한 지속적인 액세스 확보와 결제를 안전하게 처리할 결제서비스 제공자 선택이 있다.
개발팀은 모바일 앱과 백엔드 서버에 악용하여 민감한 데이터가 노출될 수 있는 취약성이 없는지 확인하기 위해 시험을 실시했다. 개발자들이 민감한 데이터에 액세스하지 못하도록 하기 위해 개발 단계 중에도 추가적인 예방 조치를 실시했다고 블라이스가 말했다.
myColorado의 성공적인 보안 기능 배치의 핵심 요소는 설계 및 개발과 마찬가지로 반복적인 과정을 통해 모든 보안 요건을 합의하여 앱에 통합했다는 점이라고 블라이스가 강조했다.
그녀는 “보안 설계자를 혁신팀에 능동적이고 동등하게 참여시킴으로써 중요한 보안 기준을 개발 사이클 종료 후의 확인사항으로써 확인하는 대신에 처음부터 내장할 수 있었다”라고 말했다.
IT 혁신에 대해 실험적인 접근방식 취하기
직원 표창 및 보상서비스 솔루션을 제공하는 O.C. 태너(O.C. Tanner)는 인공지능, 3D 프린터, 데브옵스 등의 더욱 새로운 기술 또는 방법론을 활용하는 프로젝트를 시작하고 있다. 그 과정에서 데이터와 시스템을 보호하고 프라이버시를 유지하면서 혁신을 제한하지 않기 위해 여러 사례를 참조하고 있다.
회사에 따르면 특히 중요한 것은 새로운 IT 이니셔티브를 신중하고 과학적인 실험으로 취급하는 것이다. O.C.태너는 규모가 작고 해당 기업의 기존 프로세스와 툴을 사용하는 기술 시범 운영을 실시하며 조직 외부의 독립체들로부터 이런 노력을 분리시킨다.
수석 부사장 겸 CIO 니엘 니콜라이슨은 “우리의 실험 중 하나가 취약성이 있거나 생성하는 경우 기존의 프로세스가 취약성을 찾아내야 한다. 하지만 그렇지 않은 경우 취약성으로 인해 나머지가 위험에 처하지 않게 된다”라고 말했다.
때로는 취약성으로 인해 해당 문제를 해결 또는 우회할 수 있는 방법을 찾아야 할 수 있다. 심각한 경우에는 계획을 취소하기도 한다. 니콜라이슨은 “우리가 새로운 기술을 실험하다가 문제를 발견하고 스타트업 제공자와 협력하여 문제를 해결한 적이 있다”라고 말했다.
니콜라이슨은 “실험이 기술 및 실험에 따라 다른 일정 증명 지점을 통과하게 되면 실험의 생산 가치에 대한 우리의 기준이 확대되어 요건이 더욱 엄격해진다. 생산 환경에 도입되기 전에 우리의 기준을 충족해야 하며, 이런 기준에는 보안과 프라이버시가 포함된다”라고 말했다.
한 예로 O.C.태너는 고객들에게 직원 이직률의 원인 중 일부에 대한 통찰을 제공할 수 있는 충분한 데이터를 확보했다는 판단을 내린 적이 있다. 이를 입증하기 위해서는 고객이 보호하는 고객 직원 데이터를 이용하여 클라우드 기반 인공지능/머신 러닝 알고리즘을 개발해야 했다.
니콜라이슨은 “작은 규모로 시작하기 위해 우리는 고객 데이터 중 일부를 익명화하고 클라우드 서비스로 초기 개념 증명을 수행했다. 결과는 우리가 진행해야 한다고 느낄 만큼 고무적이었다. 하지만 어떤 시점이 되면 우리는 익명화 되지 않은 실제 데이터를 사용해야 할 것이다”라고 말했다.
O.C.태너는 해당 실험을 확대하면서 사용 가능한 클라우드 인공지능 및 머신러닝 서비스의 보안 및 프라이버시 프로세스를 평가했다. 니콜라이슨은 “이와 함께 우리는 고객들이 우리의 클라이언트 제공자 보안/프라이버시 활동 평가에 참여할 수 있도록 협력했다. 그들도 우리와 마차가지로 우리의 선택을 신뢰할 수 있어야 했다”라고 말했다.
또 다른 예에는 해당 기업이 활용하고 있는 데브옵스와 툴링이 포함된다. 데브옵스 프로세스가 보안 표준을 준수하면서 신속한 배치가 가능하도록 하기 위해 O.C.태너는 새로운 서비스 및 기능 개발자들이 사전에 승인된 변경사항만 스스로 배치할 수 있도록 일정 유형의 자동화를 구축하고 싶었다.
니콜라이슨은 “이를 위해서는 우리에게 없는 기능이나 툴이 필요했다”라고 말했다. O.C.태너는 이런 툴을 찾았지만 초기 단계의 스타트업이 제공했기 때문에 어느 정도 위험이 있었다.
그는 “우리는 그들의 툴을 실험하여 기능을 평가했다. 실험에 성공하자 우리는 생산 가치 기준을 적용하기 시작했으며 그들의 제품의 보안 및 인증 공백도 확인했다”라고 말했다. 그리고 O.C.태너는 생산에 돌입하기에 앞서 해당 기업과 협력하여 문제를 해결했다.
고객 경험 우선순위화 및 데이터 보호
단체 보험 제공사인 WAEPA(Worldwide Assurance for Employees of Public Agencies)는 ‘연방직원 및 퇴직자에게 서비스를 제공하는 경쟁’에서 승리한다는 목표를 가지고 있다. WAEPA의 CIO 브랜든 존스은 “서비스와 디지털 툴이 발전하면서 우리는 모든 플랫폼과 사용자 경험의 접점을 바꾸고 개선해야 할 필요성을 인지했다”라고 말했다.
강력한 디지털 존재감은 이런 비전을 달성하기 위한 기초라고 존스가 말했다. 온라인 존재감을 높이기 위해 해당 조직은 우선 사용성 연구를 수행하여 고객들의 디지털 경험 실태를 분석하고 사용자 시험 및 사용자 인터뷰를 수행하며 해당 데이터를 종합하여 수집된 정보의 추세, 패턴, 공통점을 확인했다.
연구 및 조사에서 사용성 개선의 가능성이 발견되면서 WAEPA는 일련의 발견사항 및 권고사항을 정리할 수 있었다.
그리고 나서 WAEPA는 ‘고객 여정 지도화 프로젝트’를 시작하여 트랜잭션 중 고객 및 전망이 거치는 다양한 단계, 각 단계에서의 기대치, 각 단계에서의 문제점, 각 단계에서의 느낌을 확인했다.
존스는 “이런 연습을 통해 우리는 우리의 구성원들이 우리의 제품 및 서비스와 상호작용하기 위해 취하는 조치뿐 아니라 그들의 여정의 다른 부분과의 연계성, 개선 가능성, 조치를 결합하거나 분리해야 하는 영역 등을 확인할 수 있었다. 구성원들의 단계를 계통적으로 표시함으로써 우리는 이 연습을 하나의 진단 툴로 활용할 수 있었다”라고 말했다.
WAEPA는 사용성 연구 및 고객 여정 지도화로부터 얻은 발견사항을 활용하여 새로운 웹 사이트 및 구성원 포탈을 구축하기 시작했다.
새로운 사이트의 목적은 사용자에게 제품 및 애플리케이션 프로세스에 대해 더욱 잘 가르치고 사이트의 일관성 및 사용 편의성을 높이며 셀프 서비스 툴 및 정보를 제공하여 사용자들이 정보에 기초하여 의사를 결정하도록 돕고 경험을 ‘인간화’하여 온라인 사용자를 지원 및 안내하며 안심시키는 것이다.
그 과정에서 고객 데이터 보호는 무엇보다도 중요한 고려사항이었으며 새로운 웹 사이트와 지원 인프라에 보안이 적용됐다. 보안 전략에는 이중 방화벽 등의 툴 사용, VPN, 스팸 및 피싱 보호, 신원 및 액세스 관리가 포함된다.
이 외에도 다른 단계를 진행함으로써 WAEPA는 고객들을 위해 더 나은 고객 경험을 구축함과 동시에 높은 수준의 보안을 제공할 수 있었다고 존스는 전했다. dl-ciokorea@foundryco.com
