메일보안과 관련된 다양한 이슈를 확인해 보세요!

보안 동향

메일보안과 관련된 다양한 이슈를 빠르고 정확하게 전달해드립니다.

글로벌 칼럼 | 사이버보안 대응 전략, "사이버 탄력성을 측정하라"

필자 역시 에퀴팩스(Equifax) 유출 사건의 1억 4,300만 피해자 가운데 한 명이다. 미국 인구조사국의 최근 자료를 바탕으로 계산해 보면 이 숫자는 미국 성인 전체의 거의 60%에 해당한다. 가장 안타까운 점은 적시에 패치하는 일상적인 작업을 누락한 대가로 이처럼 큰 재해가 발생하고 CISO, CIO, CEO들이 일자리를 잃었다는 사실이다.

분명히 짚고 넘어가면 사이버 탄력성(cyber resilience)에 대한 책임은 이사회에 있으며 경영진이 감당해야 하는 막중한 임무다. 최근 ISACA와 MIT가 함께 실시한 연구에서도 CEO와 이사회가 기업의 디지털 기술 이니셔티브를 이끌고 있음이 명확히 나타났다.

사이버보안에 대한 강력한 관리는 이제 조직의 전체적인 정보 기술 거버넌스에서 핵심적인 요소이지만 아직 넘어야 할 가파른 언덕이 남아 있다.

ISACA가 새로 발표한 연구 보고서인 <기술 거버넌스 개선이 비즈니스 향상에 기여(Better Tech Governance is Better for Business)>'에 따르면, 공격 표면이 확대되고 위협 환경이 매일 변경되고 있음에도 불구하고 조직의 경영진과 이사회가 조직의 디지털 자산을 보호하기 위해 할 수 있는 모든 조치를 취하고 있다고 생각하는 경영진은 절반이 조금 넘는 정도이며, 내년 사이버 보안을 대대적으로 확대하는 데 자금을 투자할 의향이 있는 이사회 구성원은 절반이 채 되지 않는 것으로 나타났다.

각종 미디어와 연구보고서에서는 기업 운영 현황에 대한 관리 감독을 더 강화하기 위해 이사와 고위 경영진의 기술적 역량을 높여야 할 필요성이 제기되고 있다. 또한 재해를 피하기 위한 수단 측면에서만 볼 것이 아니라, 빠르게 변화하고 갈수록 복잡해지는 기술 환경과 규제 및 규정 준수 환경에서 번영하기 위해 필요한 혁신의 실현 요소로서 사이버 보안과 위험 관리에 대한 투자를 이사회와 경영진이 더 늘려야 한다는 목소리도 높다.

해답은 간단하다. 적절한 질문을 할 수 있는 주제 전문가를 이사회의 일원으로 채용하는 것이다. 다만 첫 단계로는 좋지만 충분하지는 않다. 기업이 사이버 탄력성을 구축할 수 있도록 기업의 역량을 정량적, 정성적으로 측정할 수 있는 능력이 필요하다. 



모든 배를 띄우는 방법, 사이버 탄력성
유력 글로벌 결제 기업의 한 CISO는 최근 같은 회사 이사에게서 받은 질문과 답을 공유했다. 이사는 "우리는 안전한가요?"라고 물었고 CISO는 "그런 것 같습니다"라고 대답했다. 그 대답에 대해 이사는 "그런 것 같다는 건 무슨 뜻이요?"라고 되물었다고 한다.

이 이야기를 듣고 필자는 ISACA와 CMMI 인스티튜트(CMMI Institute) 자회사가 사이버보안 공격으로부터 스스로를 보호하고 방어하는 조직의 현재 역량에 대한 전체적인 시야를 제공하는 위험 기반의 전사적 자기 평가를 개발해야 할 필요성을 확신하게 됐다.

평가가 완료되면 규모, 지리적 위치 또는 업종이 비슷한 다른 조직과의 비교 자료와 함께 기업의 현재 상태를 보여주는 보고서가 제공된다. 평가 결과를 이사회나 경영진이 사용해 현재 상태를 파악하고 로드맵과 함께 사용해 사이버 탄력성을 개선하고, 이를 위험 관리에 기반하며 비즈니스에 초점을 둔 추가적인 투자의 근거로 사용할 수 있다.

업계와 정부의 지원, 그리고 전문가 커뮤니티의 이해당사자들이 함께 이 평가를 "범용적 합의 모델(universal consensus model)"로 발전시켜 각 산업 분야에서의 진척 상황을 측정할 수 있다. 이런 툴이 없으면 기술적 지식이 풍부한 이사회 구성원을 찾는 데 애를 먹고 있는 많은 조직은 계속해서 불완전하거나 잘못된 정보를 사용해 효과적인 보안 프로그램을 구축하고 유지하는 데 필요한 장비와 교육, 인력에 대한 투자를 결정하게 된다.

안정적인 사이버보안과 위험 관리 측면에서 오늘날 경영진이 짊어지는 부담은 상당히 크다. 이런 핵심적인 기업의 우려 사항을 앞장서 이끌고 관리하는 일은 결코 쉽지 않다.

사이버보안이 기술적 고려 사항이던 시절은 지났다. 지금, 그리고 앞으로의 사이버보안은 전략적 비즈니스 위험이며 적절히 관리할 경우 기업 역량을 강화해 효과적이고 안전한 혁신을 가능하게 해준다. 지금이야말로 사이버 탄력성을 측정해 이를 통해 모든 배를 띄우는 밀물을 일으킬 수 있는 이 새로운 역량이 필요할 때다.