각 영역 별로, 그리고 전반적으로 기업의 사이버보안 상태에 대한 정보를 가장 효과적으로 전달할 방법을 찾아야 했다. 이사회가 가능한 빨리 사이버보안 상황을 인식해야 했기 때문이다. 필자는 한 분기 내에 사이버보안에 대한 접근법을 규정하는 활동을 주도하는 책임을 맡았다. 한 분기가 지나면, 결과와 상관없이 외부 감사자가 이사회에 브리핑을 할 예정이었다. 부담이 되었지만, 타당하고 필요한 일이었다.
사이버보안에 대한 확고한 접근법을 갖고 있는 평판 높은 대형 사이버 전문 서비스 업체 임원 일부와 접촉해 대화를 나눴다. 그러나 모든 회사가 처음의 노력과 지속적인 유지를 크게 강조한다는 판단이 들었다. 우리가 전달하려 하는 명확한 ‘대시보드’적 관점을 제공하는 기업은 단 한곳도 없었다. 몇 주가 흘렀지만, 효과가 없을 것이라고 생각했던 부분들에 대한 이해만 높였을 뿐 다른 성과는 없었다.
견고한 사이버보안에 대한 접근법, ‘시간 차원’의 렌즈를 통해
다행히 12월 중순, 시대를 거스르는 명작인 ‘크리스마스 캐롤’을 다시 한 번 더 보면서 아이디어가 떠올랐다. 이제는 누구나 알게 된 사실이지만, 무언가를 가장 효과적으로 전달하는 방법은 ‘명확한 스토리’이다. 디킨스가 정말 잘했던 일이다. 찰스 디킨스는 과거의 크리스마스 유령을 현재에 활용하는 지혜를 발휘했다. 그리고 이런 방법이 필자에게 와 닿았다. 또 개인적인 경험을 바탕으로 이것이 우리가 전달해야 하는 관점이라는 확신을 굳혔다.- 과거: 중요한 사건과 관련해 경험하고 터득한 것이 무엇인가? 이에 대해 학습한 것, 했던 일이 무엇인가?
- 현재: 우리가 직면한 위험은 뉴스에서 접한 위협과의 상관관계는 무엇인가? 이에 대해 무엇을 하고 있는가?
- 미래: 비즈니스 계획과 변화하는 위협 지형을 토대로 했을 때 미래에 걱정해야 할 것들은 무엇인가? 이는 앞으로의 계획에 어떤 영향을 주는가?
중요한 비즈니스 영향 지표와 이니셔티브를 중심으로(이사회 회의와 연계되는 부분이 좋음) 지속적으로 상태를 업데이트해야 한다. 그래야 관련된 과거, 현재, 미래의 관점을 토대로 적절히 초점을 맞춰 집중할 수 있다. 실제 발생한 사고나 인지된 위협에 근거해 즉각적으로 통지 및 행동하는 것도 좋다. 이는 향후 보안 상태 업데이트에 포함된다. 이는 우리가 과거 했던 일에 대해 시간 관점을 제공하지만, 체계적인 사이버보안 태세에 필요한 참조점은 다루지 않고 있다.
사이버보안 위험을 판단하는 근거로 사용하는 것
레인 캐피털(Rain Capital)의 제너럴 매니징 파트너이자 이사인 첸시 왕 박사는 ‘평가 프레임워크’에 기반하지 않기 때문에 ‘우리는 얼마나 안전할까?’라는 질문을 물어서는 안된다고 조언했다. 이는 개인의 관점에 토대를 둔 의견에 불과할 것이기 때문이다. 보안 현황를 이해하기 위해서는 기업 위협 지표와 함께, 사이버보안 위험을 평가하는 근거 가운데 일부를 이해해야 한다.왕 박사는 “사이버보안 위험은 비즈니스가 직면한 다른 위험과 연결해 이야기해야 한다. 모두 중요한 위험들이다. 이런 위험들이 이사회가 관심을 가져야 하는 위험인지 여부를 평가하면서 유사한 위험 프레임워크를 사용해야 하며, 6개월 정도의 간격으로 평가해야 한다”고 말했다.
필자는 우리가 살고 있는 집을 안전하게 만들려 하는 일들을 비유해 이야기를 많이 하곤 한다. 모든 유리창에 센서를, 모든 방에 연기와 열, 이산화탄소, 동작 감지 센서, 카메라를 설치할 수 있다. 또한 모든 문에 여러 개의 잠금 장치를 설치할 수도 있다. 매일 24시간 모니터링을 하고, 주택보험에 가입할 수 있다.
하지만 이렇게 해도 도둑이나 강도를 당하지 않는다는 보장이 없다. 화재나 홍수 피해가 없다는 보장도 없다. 보험이 피해 비용을 줄여주겠지만, 일상에 장기간 방해가 초래되며, 일부 값진 것들 중에는 대체가 불가능한 것도 있을 수 있다. 그러나 어느 정도의 보험이 필요할지(보호해야 하는 것들을 토대로), 얼마나 빈틈없이 해야 할지 결정한다.
비즈니스 관점에서 판단했을 때에도 크게 다르지 않다. 타사의 사이버보안 사고로 인한 피해는 법적 계약으로 보호를 받을 수 있으며, 사이버 보험으로 금전적 피해를 커버할 수 있다. 그러나 이런 보호 체계가 있어도 기업 평판에 영향이 초래된다. 또 시정되기까지 지속적인 프로세스, 고객과 소비자, 비즈니스 관계에 영향이 초래될 것이다.
업종, 비즈니스 종류에 따라 비즈니스 위험, 필요한 보호 체계와 대책이 달라질 것이다. 개인 일상의 경우, 보호해야 할 자산(데이터, 시스템 액세스 등)을 결정해야 한다. 이런 자산이 침해당했을 때 발생할 영향을 결정해야 한다.
필자가 일했던 기업은 모두 미디어와 관련이 있기는 하지만, 여러 사업 부문으로 구성되어 있다. 서브스크립션 TV/온디맨드 비즈니스와 라이브 뉴스 비즈니스 부문, 광고 수익에 토대를 둔 방송 네트워크, TV 및 영화 제작사, 기업 모회사가 직면한 위험은 각기 다르다. 전사적으로 적용되는 표준 정보 보안 정책이 존재했지만, 관련된 정도는 사업 부문 별로 차이가 있었다.
자신이 근무하고 있는 회사에서 보호할 필요가 있는 자산은 무엇인가? 이 질문에 대답하기 위해서는 회사에 정말로 중요한 것에 대해 생각해야 한다. 다음이 여기에 포함될 수 있다.
- (내부, 또는 타사가 관리하는) 소비자 정보
- PII, PCI, GDPR, CCPA, HIPPA 등 규제 컴플라이언스(정부, 국내, 국제)
- 공급 사슬(디지털 및 기타)
- 브랜드 평판(소셜 미디어 영향, 대중이 이용하는 웹사이트, B2B 웹사이트)
- 지적 재산 보호(전략 및 계획)
- 임직원 정보(비밀인 써드파티 개인정보 포함)
- 공개하지 않는 재무, 계약관련 정보
이에 대해 파악하려면 모든 부서의 모든 비즈니스 리더, 또 외부 회계법인과 솔직하게 대화해야 한다. 보호해야 할 정보는 무엇인가? 정보가 위치한 장소는? 서드파티 관계는? 클라우드에서 기술부서 관여 밖에서 일어나는 일은? 비즈니스 리더들과 협력하고, 이들을 교육시키고, 참여시켜야 한다. 비즈니스 리더와 비즈니스를 지원하면서 신뢰를 구축할 수 있어야 한다. ‘위험 허용 수준(risk tolerance)’은 자신이 이들에게 도움이 되는 방향을 제시하는 비즈니스 의사결정에 해당된다.
이후 사이버보안 프레임워크와 기준을 현재 상태를 결정하는 근거로 적용해야 한다. 다음의 기준들을 고려할 수 있다. 그러나 필자는 요약된 수준에서 보안 상태에 대한 정보를 전달하는데 사용하는 방법을 제안한다. 현재와 미래 사이버보안 계획을 위한 잠재적인 비즈니스 영향, 재무적 영향에 대한 정보를 전달하는 방식으로 활용한다.
- CIS(Center for Internet Security, Inc)의 CSC(Critical Security Controls)
- NIST의 CSF(Cybersecurity Framework)
- SANS Top 20 Controls
- EU의 GDPR(General Data Protection Regulation)
- CCPA(California Consumer Protection Act)
- ISO(International Organization for Standardization) 27000 시리즈 및 IEC(International Electrotechnical Commission)
- NACD(National Association of Corporate Directors)
사이버보안 가이드라인
사이버보안 위험은 자금에 어떻게 영향을 받을까? 이를 다른 기업과 비교하는 방법은?크리스마스 캐롤을 계속 비유해 이야기하면, 사이버보안 태세에 대한 판단을 내리는데 정말 중요한 것은 재무 실사이다. 에베네저(Ebenezer, 스크루지 이름) CFO는 중요한 역할을 갖고 있었다(결말이 잘 풀렸기 때문에 나쁜 의미는 아님).
통상 지출에 대해 평가할 때 활용할 수 있는 업계 지침(가이드라인)이 존재한다. 금융서비스 부문 사이버보안 프로필을 예로 들 수 있다. 필자는 감사 업체, 핵심 사이버보안 업체와 함께, 이들이 갖고 있는 업계에 대한 전문성을 바탕으로 타당한 것들을 탐구할 것이다(소속 산업이나 기업 구조와의 관련성이 없을 수도 있지만).
그러나 이런 관점을 제외하고, 예산 지출은 상황에 어떤 영향을 줄까? CFO와 CEO, 이사회가 다음 2가지 질문을 물었을 때 어떻게 대답하겠는가?
- 사이버보안 프로그램에 더 많은 자금이 필요한가? 이를 통해 어떻게 위험을 줄일 것인가?
- 사이버보안 예산 10% 삭감을 요구받았다면, 이는 위험을 얼마나 증가시키는가?
그렇다면 얼마나 지출해야 할까? 더 많은 리소스, 새로운 인공지능/머신러닝(AI/ML) 위협 방지 도구에 대한 요청을 승인해야 할까? 비즈니스 관점에서 위험에 대한 정보를 전달하려면 어떻게 해야 할까?
이와 관련, 잠재적인 위험에 미치는 영향 측면에서 적절한 예방 조치에 투자를 하는 것이 가치가 있는지 판단을 내리려고 시도하는 위험 기반 방법을 사용하는 것이 많이 수용되고 있는 베스트 프랙티스이다. 이는 4분면으로 구성되어 있다. 한 축에는 위험(낮음부터 높음), 다른 한 축에는 비용(낮음부터 높음)이 위치한 4분면이다. 이는 제한된 예산을 어디에 투입할지 평가하는데 도움을 준다.
필자가 IBM 이그제큐티브 컨퍼런스에서 학습한 내용에 따르면, 유감스럽게도 대부분의 사람은 미래의 불확실한 부분보다 현재의 확실한 부분을 토대로 의사결정을 내린다. 데이빗 록 박사가 현대 심리학에 발표한 ‘확실함에 대한 갈구...사람의 두뇌는 확실함을 원하며, 불확실함을 피한다’라는 논문도 이를 뒷받침한다. 이는 사람들이 확실함과 불확실함에 대처하는 방식을 하나의 법칙으로 제시하고 있다.
사람들은 본질적으로 불확실한 것들을 꺼린다. 이는 사람들이 덜 즉각적으로 부정적인 미래보다 잘 알고 있는 현재를 선호하는 이유에 대해 설명해준다. 당장 금전적 비용이 증가하는 것에 대해 저항을 하는 이유에 대해 설명을 해준다. 미래의 경우, 사이버보안 사고가 발생할지 여부, 그 시기, 그 재무적 영향에 대해 모르기 때문이다.
다음 해, 또는 몇 년 뒤에 추가 리소스를 다시 요청할지 여부에 대한 질문을 받은 CISO들이 아주 많다. CISO들은 이 질문에 제대로 대답할 수 없다. 대답에 영향을 줄 수 있는 내부, 외부 요소들이 있기 때문이다. 필자는 이런 CISO에게 요청의 근거를 설명하라고 조언한다.
예를 들어, 새로운 사업의 보안 프로필을 향상시키는데 필요한 인수 통합 비용과 같이 기업이 통제하는 이벤트인가? 그렇다면 이런 변화가 비즈니스 측면에서 정당화되어야 한다. 이는 비즈니스 의사결정이기 때문이다.
또는 새로운 사업 확대(소비자에게 직접적인 사업확대 등)로 사이버보안에 영향이 초래된 것인가? 또는 새로운 비즈니스 장소를 안전하게 만들기 위한 리소스인가? 비즈니스가 이런 결정의 ‘희생자’라는 생각을 갖게 만들어서는 안된다. 일정 수준 통제력을 갖고 있다는 생각을 갖게 만들어야 한다. 이를 위해서는 적절한 평가 프레임워크가 필요하다. 또 잠재적인 사이버보안 사건이 비즈니스에 어떤 영향을 줄지 이해해야 한다(예방적인 경감 대책에 드는 비용과 비교).
또, 어떤 형태이든 사이버보안 사고가 발생할 확률이 높기 때문에, 운영, 법과 규정, 공공(대중) 측면에서 사고 대응을 준비해야 한다. 특정한 사건, 비즈니스의 종류, 기술 체계, 서드파티 의존성 등이 여기에 영향을 준다. 또 사이버보안 이벤트의 종류도 영향을 줄 것이다. 여기에도 앞서 설명한 것과 유사한 위험 기반 방식이 적용되어야 한다.
사이버보안 자금의 절충안 찾기, 고위 임원의 책임
제대로 다루면, 사이버보안에 무한대의 자금이 필요한 것은 아니다. 절충을 하고, 힘든 결정을 내려야 한다. 이는 고위 임원이 수행해야 할 책임이다. 조직의 사이버보안 성숙도, 새로운 위협 관리를 목적으로 활용하는 프레임워크와 관련된 질문들에 대답할 준비를 해야 한다. 잠재적인 보안 사건(사고)가 비즈니스 자산에 미치는 영향 측면에서, 다른 비즈니스 위험을 다루는 방법과 유사하게 사이버보안에 접근해야 한다.CFO 및 CHRO(또는 COO), 최고 법무 책임자, 내부 및 외부 감사 담당자와 협력해 이에 대한 근거, 정당성을 제공하는데 도움을 줘야 한다. CIO, CTO, CISO는 비즈니스 측면에서 잠재적인 위험, 이를 경감하는 비용을 간결하면서도 정확히 설명할 수 있어야 한다. 일부 임원들은 재무, 법, 정치적 이유에서 사이버보안 문제를 인정하기 싫어하지만, 이는 현실을 회피하는 것이다.
CIO, CTO, CISO는 비즈니스 측면에서 이해되는 관점으로 이에 대한 정보를 책임있게 전달할 책임을 갖고 있다. 또 회사 전체의 문제이기 때문에 관련 이해당사자의 지원을 획득할 책임이 있다. editor@itworld.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.