2016.08.10

해킹당한 기업들, "사이버보안 보다 혁신을 더 우선시한다"...KPMG

Clint Boulton | CIO
KPMG의 새로운 조사에 따르면, 응답한 경영진 10명 가운데 8명은 지난 2년간 자사가 사이버 공격을 받았다고 한다. 하지만 조사 대상 기업 내 403명의 CIO, CISO, CTO들 가운데 절반 이하만이 지난해 정보보안에 투자했다고 답했다.


Credit: Getty Images Bank

KPMG의 미국 사이버 프랙티스 리더 그렉 벨은 "아직도 사이버보안에 대해 수동적이거나 대응적인 접근방식을 취하는 기업들이 있다. 사실 사이버보안은 기업 전반에 걸쳐 가장 최우선의 비즈니스 문제로 다뤄지고 실행돼야 하는 문제다"고 말했다.

벨은 지난 7월 <소비자 손실 바로미터(Consumer Loss Barometer)>라는 보고서를 발행한 후, CIO와 인터뷰를 진행했다.

해킹당한 기업들에게서 사이버보안이 투자 순위에서 밀렸다는 얘기를 들으면 모두들 비논리적이라고 생각할 것이다. 하지만 대부분의 CIO가 리스크 최소화보다는 혁신을 우선시하라는 지시를 받고 있는 것이 오늘의 현실이다.

디지털 변혁(digital transformations) 중에 있는 기업들은 자신의 포켓몬 고를 찾기 위해 경주 중이다. 비즈니스 성장에 목숨을 거는 CEO들은 위험을 줄이기 위해 속도를 늦추기 아주 싫어한다. 그 결과, 사이버보안은 그 중요성만큼 대접받지 못하고 있다.

감독 결여가 리스크를 초래한다
사이버보안에 대한 저투자는 기업 이메일 침투와 사이버범죄자가 기업 네트워크를 납치해 풀어주는데 돈을 요구하는 랜섬웨어 등 부상하는 위협으로부터 지키기 위한 인력과 보호조치에 더 적은 돈을 쓰게 됨을 의미한다.

6월 조사에서 보안업체 맬웨어바이츠(Malwarebytes)는 미국 기업의 41%가 지난 12개월동안 1건에서 5건의 랜섬웨어 공격에 직면했음을 밝혔다. 이런 공격들은 기업 브랜드에 치명적인 영향을 주고 궁극적으로 회사 재정을 악화시킨다.

벨은 CIO가 그들의 예산을 어떻게 사용하는 지에 대한 감독 결여를 지적했다. 비즈니스 성장을 위해 기술에 투자하는 임무를 받은 CIO들은 신규 디지털 인재를 채용하고 비즈니스 성장과 혁신 주도를 위한 새로운 솔루션을 이행하는데 초점을 맞추고 있다.

하지만 대부분의 사이버보안 팀은 기술적, 사업적 프로세스 변화의 속도를 따라잡지 못한다. 보안팀은 변하지 않는 인프라를 선호하는데 이는 기본적인 리스크를 낮추고 특정성을 잡아낼 수 있게 해주기 때문이다.

벨은 "빠르게 이동해야 하는 니즈는 너무 중요해 기업들은 더 민첩해지고 더 새롭고 더욱 파괴적인 기술들을 받아들이고 이 기술들이 제품과 서비스를 혼합해 더욱 고부가가치 서비스를 추가할 필요가 있다"고 말했다. 하지만 "문제는 대부분의 사이버보안 팀이 이런 가치를 부합시키지 못한다는 데 있다. 이는 지난 몇년간 우리 고객사 대부분이 고생해 온 문제다"고 토로했다.

벨은 사이버보안이 전통적으로 IT 인프라와 부합되어 왔지만 기업들에게 이를 혁신과 연결하라고 제안하고 있다.

벨은 "이상적으로 CIO, 최고 디지털 책임자(CDO), CISO 파트너들은 새로운 제품이 출시된 후 무언가 덧붙여지는 대신 새로운 보호 단계 작업을 하게 될 것이다. KPMG가 이 모델을 일부 고객들에게 시도해봤고 이는 성공적인 결과를 달성했다"고 말했다.

일부 분야는 다른 곳보다 더욱 보안 중심적이다
자동차, 은행, IT, 유통 분야의 기업 고객들을 대상으로 조사한 벨은 흥미로운 사실을 공개했다. 유통업계 사이버보안 중역들의 89%가 지난 24개월간 침투를 보고했으며, 자동차업계는 85%, 은행과 IT 업체들은 76%였다.

이런 격차가 그리 큰 것은 아니지만 벨은 이 조사에서 금융 서비스와 IT 업체와 유통과 자동차 제조업체들 같은 산업 간의 '사이버 의식 성숙도 커브'를 발견했다.

이는 유통업체들이 모바일과 개인화된 쇼핑에 집중하고 자동차 제조업체들은 자동화 주행 보조 기술에 점점 더 의존하는 커넥티드 자동차에 집중하기 때문에 주목할만한 부분이다.

벨은 은행과 IT업체들이 비교적 사이버 태세 강화에 있어서는 잘하는 편으로 66%의 은행과 62%의 IT업체들이 정보 보안에 투자했다고 보고했다고 한다. 이는 유통업체(45%)와 자동차 제조업체(32%)에 비하면 높은 수준이다.

조사에 응한 기업 가운데 69%는 CISO 등 사이버보안 리더가 있다고 응답했다. 하지만 금융 서비스와 IT업체들이 사이버보안에 쏟는 집중도와 유통업체와 자동차 제조업체가 쏟는 집중도에는 격차가 있었다.

예를 들어 은행과 IT업체들의 85%는 CISO나 비슷한 직위가 사이버 리더를 담당하고 있다고 답했지만 리테일은 58%, 자동차는 45%만 사이버 리더가 있다고 답했다.

중역 채용 업체 러셀 레이놀즈 어소시에이츠(Russell Reynolds Associates)의 사이버보안 프랙티스 리더 맷 코민스는 "일부 기업들은 평균적인 CISO를 채용하거나 보안 리더 채용을 완전히 중단했는데, 이 기업들이 사이버범죄자들이 가하는 위협을 부정하고 있기 때문"이라고 말했다.

코민스는 "이런 생각은 사이버범죄자들이 그들의 데이터가 훔칠만한 가치가 있다고 생각하지 않을 것이라는 착각에서 기인한 것"이라고 말했다. 코민스는 이들의 생각을 바꾸기 위해 노력하고 있다. 하지만 코민스는 "CISO를 찾는 회사에 가면 '우리를 누가 공격하겠어, 우리는 타겟도 아니고 소니도 아닌데?'라는 말을 듣는다"며, "이는 제대로 된 이야기는 아닌 듯 하다"고 말했다. editor@itworld.co.kr


2016.08.10

해킹당한 기업들, "사이버보안 보다 혁신을 더 우선시한다"...KPMG

Clint Boulton | CIO
KPMG의 새로운 조사에 따르면, 응답한 경영진 10명 가운데 8명은 지난 2년간 자사가 사이버 공격을 받았다고 한다. 하지만 조사 대상 기업 내 403명의 CIO, CISO, CTO들 가운데 절반 이하만이 지난해 정보보안에 투자했다고 답했다.


Credit: Getty Images Bank

KPMG의 미국 사이버 프랙티스 리더 그렉 벨은 "아직도 사이버보안에 대해 수동적이거나 대응적인 접근방식을 취하는 기업들이 있다. 사실 사이버보안은 기업 전반에 걸쳐 가장 최우선의 비즈니스 문제로 다뤄지고 실행돼야 하는 문제다"고 말했다.

벨은 지난 7월 <소비자 손실 바로미터(Consumer Loss Barometer)>라는 보고서를 발행한 후, CIO와 인터뷰를 진행했다.

해킹당한 기업들에게서 사이버보안이 투자 순위에서 밀렸다는 얘기를 들으면 모두들 비논리적이라고 생각할 것이다. 하지만 대부분의 CIO가 리스크 최소화보다는 혁신을 우선시하라는 지시를 받고 있는 것이 오늘의 현실이다.

디지털 변혁(digital transformations) 중에 있는 기업들은 자신의 포켓몬 고를 찾기 위해 경주 중이다. 비즈니스 성장에 목숨을 거는 CEO들은 위험을 줄이기 위해 속도를 늦추기 아주 싫어한다. 그 결과, 사이버보안은 그 중요성만큼 대접받지 못하고 있다.

감독 결여가 리스크를 초래한다
사이버보안에 대한 저투자는 기업 이메일 침투와 사이버범죄자가 기업 네트워크를 납치해 풀어주는데 돈을 요구하는 랜섬웨어 등 부상하는 위협으로부터 지키기 위한 인력과 보호조치에 더 적은 돈을 쓰게 됨을 의미한다.

6월 조사에서 보안업체 맬웨어바이츠(Malwarebytes)는 미국 기업의 41%가 지난 12개월동안 1건에서 5건의 랜섬웨어 공격에 직면했음을 밝혔다. 이런 공격들은 기업 브랜드에 치명적인 영향을 주고 궁극적으로 회사 재정을 악화시킨다.

벨은 CIO가 그들의 예산을 어떻게 사용하는 지에 대한 감독 결여를 지적했다. 비즈니스 성장을 위해 기술에 투자하는 임무를 받은 CIO들은 신규 디지털 인재를 채용하고 비즈니스 성장과 혁신 주도를 위한 새로운 솔루션을 이행하는데 초점을 맞추고 있다.

하지만 대부분의 사이버보안 팀은 기술적, 사업적 프로세스 변화의 속도를 따라잡지 못한다. 보안팀은 변하지 않는 인프라를 선호하는데 이는 기본적인 리스크를 낮추고 특정성을 잡아낼 수 있게 해주기 때문이다.

벨은 "빠르게 이동해야 하는 니즈는 너무 중요해 기업들은 더 민첩해지고 더 새롭고 더욱 파괴적인 기술들을 받아들이고 이 기술들이 제품과 서비스를 혼합해 더욱 고부가가치 서비스를 추가할 필요가 있다"고 말했다. 하지만 "문제는 대부분의 사이버보안 팀이 이런 가치를 부합시키지 못한다는 데 있다. 이는 지난 몇년간 우리 고객사 대부분이 고생해 온 문제다"고 토로했다.

벨은 사이버보안이 전통적으로 IT 인프라와 부합되어 왔지만 기업들에게 이를 혁신과 연결하라고 제안하고 있다.

벨은 "이상적으로 CIO, 최고 디지털 책임자(CDO), CISO 파트너들은 새로운 제품이 출시된 후 무언가 덧붙여지는 대신 새로운 보호 단계 작업을 하게 될 것이다. KPMG가 이 모델을 일부 고객들에게 시도해봤고 이는 성공적인 결과를 달성했다"고 말했다.

일부 분야는 다른 곳보다 더욱 보안 중심적이다
자동차, 은행, IT, 유통 분야의 기업 고객들을 대상으로 조사한 벨은 흥미로운 사실을 공개했다. 유통업계 사이버보안 중역들의 89%가 지난 24개월간 침투를 보고했으며, 자동차업계는 85%, 은행과 IT 업체들은 76%였다.

이런 격차가 그리 큰 것은 아니지만 벨은 이 조사에서 금융 서비스와 IT 업체와 유통과 자동차 제조업체들 같은 산업 간의 '사이버 의식 성숙도 커브'를 발견했다.

이는 유통업체들이 모바일과 개인화된 쇼핑에 집중하고 자동차 제조업체들은 자동화 주행 보조 기술에 점점 더 의존하는 커넥티드 자동차에 집중하기 때문에 주목할만한 부분이다.

벨은 은행과 IT업체들이 비교적 사이버 태세 강화에 있어서는 잘하는 편으로 66%의 은행과 62%의 IT업체들이 정보 보안에 투자했다고 보고했다고 한다. 이는 유통업체(45%)와 자동차 제조업체(32%)에 비하면 높은 수준이다.

조사에 응한 기업 가운데 69%는 CISO 등 사이버보안 리더가 있다고 응답했다. 하지만 금융 서비스와 IT업체들이 사이버보안에 쏟는 집중도와 유통업체와 자동차 제조업체가 쏟는 집중도에는 격차가 있었다.

예를 들어 은행과 IT업체들의 85%는 CISO나 비슷한 직위가 사이버 리더를 담당하고 있다고 답했지만 리테일은 58%, 자동차는 45%만 사이버 리더가 있다고 답했다.

중역 채용 업체 러셀 레이놀즈 어소시에이츠(Russell Reynolds Associates)의 사이버보안 프랙티스 리더 맷 코민스는 "일부 기업들은 평균적인 CISO를 채용하거나 보안 리더 채용을 완전히 중단했는데, 이 기업들이 사이버범죄자들이 가하는 위협을 부정하고 있기 때문"이라고 말했다.

코민스는 "이런 생각은 사이버범죄자들이 그들의 데이터가 훔칠만한 가치가 있다고 생각하지 않을 것이라는 착각에서 기인한 것"이라고 말했다. 코민스는 이들의 생각을 바꾸기 위해 노력하고 있다. 하지만 코민스는 "CISO를 찾는 회사에 가면 '우리를 누가 공격하겠어, 우리는 타겟도 아니고 소니도 아닌데?'라는 말을 듣는다"며, "이는 제대로 된 이야기는 아닌 듯 하다"고 말했다. editor@itworld.co.kr


X