2019.09.05

'독이 되는' 기업의 보안 문화 5가지와 해결법

Stacy Collett | CSO
한 회사에서 기업 문화가 조직의 심장이자 영혼이라면 보안 문화는 회사 내 어디에나 존재하는 수호자다. 실제로 기업에서 보안 문화는 실행 정책과 절차 그 이상의 의미가 있다. 직원의 일상생활에 보안 인식과 행동이 자리 잡을 수 있도록 영향을 미치고 인도하는 일종의 '사회적' 운영체제라고 할 수 있다.
 
ⓒ Getty Images Bank

보안 팀 내부에서나 타 부서와의 관계에서 보안 문화가 무너지기 시작하면 사이버 업무 기강이 해이해지고 냉소주의와 책임 회피가 지배하는 환경이 만들어진다. 업계 리더가 말하는 불건전한 보안 문화의 5가지 특징과 기업이 원하는 보안 문화 구축 방법을 살펴보자.

불건전한 보안 문화의 5가지 특징
1. 책임 전가에 바쁘다
이번 가을에 발간 예정인 ISACA의 연례 사이버 보안 문화보고서 작성 과정에 참가했던 ISACA 이사장 겸 전 의장 롭 클라이드는 불건전한 환경에서는, 중대한 사건이 발생하면 그 즉시 누구 책임인지를 밝히는 것에 집착하는 특징이 있다고 지적했다. 기업 차원에서 희생양, 즉, 해고 대상을 찾는 것이다. 그는 “경영진의 평균 재임 기간이 3년이 채 안 된다면 문제가 있는 것이다”라고 말했다.

노미넷(Nominet)이 CISO 408명을 대상으로 실시한 2019년도 설문조사를 보면 CISO의 평균 재임 기간은 3년 미만이다. 2년 미만이라고 밝힌 응답자도 3분의 1에 가까운 30%였다. 클라이드는 “자칫하면 물갈이가 계속되는 기업이 될 수 있다”라고 말했다.

2. 냉소주의가 커진다
W리스크 그룹의 CEO이자 IT 전문직 여성을 위한 모조 메이커(MOJO Maker)의 창업자 캐런 워스텔은 불건전한 행동 중 가장 쉽게 눈에 띄는 것은 냉소주의라고 지적했다. 그는 “사람들이 경영진이나 인생에 대해 냉소적인 이야기를 하는 것이 들린다면 전반적인 적신호라고 봐야 한다. 압박감과 고충이 있다는 신호이자 책임져야 할 결과를 좌지우지할 힘이 없어 무력감을 느끼고 있다는 신호이기 때문이다. 그런 상황을 감당하고 방지할 방법이 없으면 사람의 관점은 부정적으로 변하기 시작한다”라고 말했다.

워스텔은 "이는 억지로 자리만 지키고 있거나 최소한의 일 이상은 하지 않으려는 현상 역시 보안에 좋지 않은 환경이라는 것을 의미한다. 이러한 현상이 지속되면 마무리가 제대로 되지 않고 세부적인 것에 대한 주의도 흐트러지게 된다"라고 덧붙였다.

3. 내부 취약성이 증가한다
보안 문화가 잘못되기 시작하면 내부 취약성이 증가하는 징후가 지표에서 분명히 드러나게 된다. ISC의 최고운영책임자 웨슬리 심슨은 “보안 사고 중 20%가 조직 내에서 직원 때문에 발생한다는 사실을 우리는 알고 있다. 조직 내 직원을 중심으로 한 취약성이 전월 대비 정상보다 늘었다면 적절한 보안 환경에 대해 직원이 정보가 없거나 신경을 쓰지 않는다는 뜻일 수 있다. 높아진 이직률 역시 업무에 대한 불만족을 나타낸다"라고 말했다.

4. 주로 “안된다”는 대답이 돌아온다
마쉬LLC의 사이버 위험 컨설팅 글로벌 책임자 케빈 리처드는 CISO팀의 입에서 “안된다”라는 대답이 먼저 나온다면 불건전한 환경이라고 진단했다. 사람들은 질책을 받으면 보안 부서를 피해갈 방법을 찾는다. 이로 인해 알 수 없는 보안 위험이 무수히 생겨난다. 그는 "내부 보안 팀을 상대하기 싫어서 프로젝트마다 15~20개 클라우드 환경을 실행한 사례가 있었다. 외부에 기본 정보를 줘버리고 직접 해버리기가 더 쉽다고 생각한 것이다”라고 말했다.

이어 "직원 대부분은 하도 귀에 못이 박이게 듣다 보니 다른 방식을 찾게 된다. 얼마나 많은 사람이 자사 내에서 ‘올바른 방법’으로 하기가 너무 어려워 스스로 해결하는 능력을 키웠는가? 그들은 회사에 위험을 가하거나 악의적인 의도가 있어서가 아니라 그저 맡은 일을 하려는 것일 뿐이다”라고 덧붙였다.

5. 보안 조직이 고립돼 있다
보안 조직이 지나치게 배타적이고 고립된 공간에서 보안에 집중돼 있다면, 전사적으로 더 광범위하게 관계와 네트워크를 발전시킬 힘이 나지 않는다고 딜로이트 앤 투쉬LLP 대표 에밀리 모스버그는 지적했다. 그는 딜로이트 사이버의 고문 겸 실행 서비스 리더 역할을 담당하고 있다.

모스버그는 “그러면 보안 부서와 타 부서 간에 경계가 생겨서 사고가 제한된다. 전사적으로 압박이 몰려오면서 권한을 잃는 것에 대한 두려움과 보안 조직의 운명에 대한 걱정이 생기곤 한다. 그래서 배타적이고 정보를 통제하려는 경향으로 이어진다. 그러나 배타적인 습성으로 인해 불건전한 환경이 조성된다. 마치 사이버팀이 타 부서와 대립하고 있는 모양새다”라고 말했다.

원하는 보안 문화를 구축하는 방법
제대로 문화를 바꿔 정착시키려면 몇 년이 걸릴 수 있다. 그러나 다음과 같은 몇 단계를 지금 밟으면 엇나간 사이버보안 문화를 정상 궤도로 복귀시킬 수 있다.

1. 보안팀이 새로운 관점을 취할 수 있도록 지원한다
워스텔에 다르면, 보안팀 내부에서 임원이 배워야 할 것은, 불가능해 보이거나 도저히 끝나지 않을 것처럼 보이는 상황에서 “이를 개선하기 위해 어떤 창의적인 일을 할 수 있을지 다른 각도에서 바라보는 방법”이다. 그는 “통제 범위 내에 있는 것에 집중하라. 어떻게 하면 개인에게 부담을 전부 지우지 않는 다른 관점으로 새롭게 바라볼 수 있을지 고민해야 한다"라고 말했다.

2. “된다”라고 말할 방법을 모색한다
보안 임원은 보안 지침 내에서 각 팀이 업무를 더 잘할 방법을 모색해 적극적으로 지원해야 한다. 직원이 그러한 제안이 왜 회사를 더욱 안전하게 만드는지 이해한다면 따를 가능성이 높다고 리처드는 지적했다. 영상 회의 서비스를 예로 들어보자. 시중에는 12~15종의 영상 회의 서비스가 있는데, 왜 굳이 회사에서 선정한 서비스를 고집해야 할까? 그는 “일반적인 사용자에게는 해로운 것이 없어 보이지만 프로젝트 데이터나 기밀 정보를 공유할 때 만일 부적절하게 유출되거나 규제가 심한 회사에서 이런 일이 발생하면 큰 문제가 될 수 있다. 어떤 서비스를 사용하느냐에 따라 발생하는 결과에 대해 사용자가 전부 다 이해하지 못할 수 있다. 그러나 이런 것을 고려해 교육과 선택지를 제공하는 것이 CISO의 역할이다"라고 말했다.

3. 사이버보안 문화 관리 계획을 수립한다
ISACA가 업무 및 기술 전문가 4,800명을 대상으로 실시한 설문조사에 따르면, 2018년을 기준으로 보안 목표와 교육, 직원 개인 책임에 관해 규정한 사이버보안 문화 관리 계획이나 정책이 없는 조직이 전체의 42%였다. 클라이드는 그러한 계획이나 정책을 수립하는 것이 사이버보안 문화로 가는 첫걸음이라고 지적했다.

4. 사이버보안 교육 및 도구 전용 예산을 확보한다
현재의 사이버보안 문화와 원하는 사이버보안 문화 사이에 간극이 큰 기업은 연간 사이버보안 예산 중 19%만 교육과 도구에 투자한다. 반면, 사이버보안 문화가 바람직한 상태에 있다는 기업의 투자 비율은 두 배가 넘는(43%) 것으로 나타났다. 클라이드는 “문화를 개선할 최고의 방법은 직원에게 투자하는 것이다. 기존의 직원에게 투자하는 대신 (사이버보안 문제를 해결할) 직원을 늘리려는 유혹을 이겨내야 한다”라고 말했다.

5. 회사와의 관계를 새롭게 한다
수동적이지 않고 적극적인 보안 문화를 구축하려면 보안 임원이 타 부서와의 관계에서 더 개방적이고 네트워크화되고 투명해야 한다. 모스버그는 "그래야만 맡은 임무를 더 수월하게 완수할 수 있다”라고 말했다. ciokr@idg.co.kr


2019.09.05

'독이 되는' 기업의 보안 문화 5가지와 해결법

Stacy Collett | CSO
한 회사에서 기업 문화가 조직의 심장이자 영혼이라면 보안 문화는 회사 내 어디에나 존재하는 수호자다. 실제로 기업에서 보안 문화는 실행 정책과 절차 그 이상의 의미가 있다. 직원의 일상생활에 보안 인식과 행동이 자리 잡을 수 있도록 영향을 미치고 인도하는 일종의 '사회적' 운영체제라고 할 수 있다.
 
ⓒ Getty Images Bank

보안 팀 내부에서나 타 부서와의 관계에서 보안 문화가 무너지기 시작하면 사이버 업무 기강이 해이해지고 냉소주의와 책임 회피가 지배하는 환경이 만들어진다. 업계 리더가 말하는 불건전한 보안 문화의 5가지 특징과 기업이 원하는 보안 문화 구축 방법을 살펴보자.

불건전한 보안 문화의 5가지 특징
1. 책임 전가에 바쁘다
이번 가을에 발간 예정인 ISACA의 연례 사이버 보안 문화보고서 작성 과정에 참가했던 ISACA 이사장 겸 전 의장 롭 클라이드는 불건전한 환경에서는, 중대한 사건이 발생하면 그 즉시 누구 책임인지를 밝히는 것에 집착하는 특징이 있다고 지적했다. 기업 차원에서 희생양, 즉, 해고 대상을 찾는 것이다. 그는 “경영진의 평균 재임 기간이 3년이 채 안 된다면 문제가 있는 것이다”라고 말했다.

노미넷(Nominet)이 CISO 408명을 대상으로 실시한 2019년도 설문조사를 보면 CISO의 평균 재임 기간은 3년 미만이다. 2년 미만이라고 밝힌 응답자도 3분의 1에 가까운 30%였다. 클라이드는 “자칫하면 물갈이가 계속되는 기업이 될 수 있다”라고 말했다.

2. 냉소주의가 커진다
W리스크 그룹의 CEO이자 IT 전문직 여성을 위한 모조 메이커(MOJO Maker)의 창업자 캐런 워스텔은 불건전한 행동 중 가장 쉽게 눈에 띄는 것은 냉소주의라고 지적했다. 그는 “사람들이 경영진이나 인생에 대해 냉소적인 이야기를 하는 것이 들린다면 전반적인 적신호라고 봐야 한다. 압박감과 고충이 있다는 신호이자 책임져야 할 결과를 좌지우지할 힘이 없어 무력감을 느끼고 있다는 신호이기 때문이다. 그런 상황을 감당하고 방지할 방법이 없으면 사람의 관점은 부정적으로 변하기 시작한다”라고 말했다.

워스텔은 "이는 억지로 자리만 지키고 있거나 최소한의 일 이상은 하지 않으려는 현상 역시 보안에 좋지 않은 환경이라는 것을 의미한다. 이러한 현상이 지속되면 마무리가 제대로 되지 않고 세부적인 것에 대한 주의도 흐트러지게 된다"라고 덧붙였다.

3. 내부 취약성이 증가한다
보안 문화가 잘못되기 시작하면 내부 취약성이 증가하는 징후가 지표에서 분명히 드러나게 된다. ISC의 최고운영책임자 웨슬리 심슨은 “보안 사고 중 20%가 조직 내에서 직원 때문에 발생한다는 사실을 우리는 알고 있다. 조직 내 직원을 중심으로 한 취약성이 전월 대비 정상보다 늘었다면 적절한 보안 환경에 대해 직원이 정보가 없거나 신경을 쓰지 않는다는 뜻일 수 있다. 높아진 이직률 역시 업무에 대한 불만족을 나타낸다"라고 말했다.

4. 주로 “안된다”는 대답이 돌아온다
마쉬LLC의 사이버 위험 컨설팅 글로벌 책임자 케빈 리처드는 CISO팀의 입에서 “안된다”라는 대답이 먼저 나온다면 불건전한 환경이라고 진단했다. 사람들은 질책을 받으면 보안 부서를 피해갈 방법을 찾는다. 이로 인해 알 수 없는 보안 위험이 무수히 생겨난다. 그는 "내부 보안 팀을 상대하기 싫어서 프로젝트마다 15~20개 클라우드 환경을 실행한 사례가 있었다. 외부에 기본 정보를 줘버리고 직접 해버리기가 더 쉽다고 생각한 것이다”라고 말했다.

이어 "직원 대부분은 하도 귀에 못이 박이게 듣다 보니 다른 방식을 찾게 된다. 얼마나 많은 사람이 자사 내에서 ‘올바른 방법’으로 하기가 너무 어려워 스스로 해결하는 능력을 키웠는가? 그들은 회사에 위험을 가하거나 악의적인 의도가 있어서가 아니라 그저 맡은 일을 하려는 것일 뿐이다”라고 덧붙였다.

5. 보안 조직이 고립돼 있다
보안 조직이 지나치게 배타적이고 고립된 공간에서 보안에 집중돼 있다면, 전사적으로 더 광범위하게 관계와 네트워크를 발전시킬 힘이 나지 않는다고 딜로이트 앤 투쉬LLP 대표 에밀리 모스버그는 지적했다. 그는 딜로이트 사이버의 고문 겸 실행 서비스 리더 역할을 담당하고 있다.

모스버그는 “그러면 보안 부서와 타 부서 간에 경계가 생겨서 사고가 제한된다. 전사적으로 압박이 몰려오면서 권한을 잃는 것에 대한 두려움과 보안 조직의 운명에 대한 걱정이 생기곤 한다. 그래서 배타적이고 정보를 통제하려는 경향으로 이어진다. 그러나 배타적인 습성으로 인해 불건전한 환경이 조성된다. 마치 사이버팀이 타 부서와 대립하고 있는 모양새다”라고 말했다.

원하는 보안 문화를 구축하는 방법
제대로 문화를 바꿔 정착시키려면 몇 년이 걸릴 수 있다. 그러나 다음과 같은 몇 단계를 지금 밟으면 엇나간 사이버보안 문화를 정상 궤도로 복귀시킬 수 있다.

1. 보안팀이 새로운 관점을 취할 수 있도록 지원한다
워스텔에 다르면, 보안팀 내부에서 임원이 배워야 할 것은, 불가능해 보이거나 도저히 끝나지 않을 것처럼 보이는 상황에서 “이를 개선하기 위해 어떤 창의적인 일을 할 수 있을지 다른 각도에서 바라보는 방법”이다. 그는 “통제 범위 내에 있는 것에 집중하라. 어떻게 하면 개인에게 부담을 전부 지우지 않는 다른 관점으로 새롭게 바라볼 수 있을지 고민해야 한다"라고 말했다.

2. “된다”라고 말할 방법을 모색한다
보안 임원은 보안 지침 내에서 각 팀이 업무를 더 잘할 방법을 모색해 적극적으로 지원해야 한다. 직원이 그러한 제안이 왜 회사를 더욱 안전하게 만드는지 이해한다면 따를 가능성이 높다고 리처드는 지적했다. 영상 회의 서비스를 예로 들어보자. 시중에는 12~15종의 영상 회의 서비스가 있는데, 왜 굳이 회사에서 선정한 서비스를 고집해야 할까? 그는 “일반적인 사용자에게는 해로운 것이 없어 보이지만 프로젝트 데이터나 기밀 정보를 공유할 때 만일 부적절하게 유출되거나 규제가 심한 회사에서 이런 일이 발생하면 큰 문제가 될 수 있다. 어떤 서비스를 사용하느냐에 따라 발생하는 결과에 대해 사용자가 전부 다 이해하지 못할 수 있다. 그러나 이런 것을 고려해 교육과 선택지를 제공하는 것이 CISO의 역할이다"라고 말했다.

3. 사이버보안 문화 관리 계획을 수립한다
ISACA가 업무 및 기술 전문가 4,800명을 대상으로 실시한 설문조사에 따르면, 2018년을 기준으로 보안 목표와 교육, 직원 개인 책임에 관해 규정한 사이버보안 문화 관리 계획이나 정책이 없는 조직이 전체의 42%였다. 클라이드는 그러한 계획이나 정책을 수립하는 것이 사이버보안 문화로 가는 첫걸음이라고 지적했다.

4. 사이버보안 교육 및 도구 전용 예산을 확보한다
현재의 사이버보안 문화와 원하는 사이버보안 문화 사이에 간극이 큰 기업은 연간 사이버보안 예산 중 19%만 교육과 도구에 투자한다. 반면, 사이버보안 문화가 바람직한 상태에 있다는 기업의 투자 비율은 두 배가 넘는(43%) 것으로 나타났다. 클라이드는 “문화를 개선할 최고의 방법은 직원에게 투자하는 것이다. 기존의 직원에게 투자하는 대신 (사이버보안 문제를 해결할) 직원을 늘리려는 유혹을 이겨내야 한다”라고 말했다.

5. 회사와의 관계를 새롭게 한다
수동적이지 않고 적극적인 보안 문화를 구축하려면 보안 임원이 타 부서와의 관계에서 더 개방적이고 네트워크화되고 투명해야 한다. 모스버그는 "그래야만 맡은 임무를 더 수월하게 완수할 수 있다”라고 말했다. ciokr@idg.co.kr


X