2016.12.27

"회사 이사진들, 사이버공격에 대한 준비가 되지 않았다"…가트너 분석가

Matt Hamblen | Computerworld
한 분석가가 "CEO들이나 이사회 이사들이 CIO에게 모든 걸 맡기지 말고 좀더 사이버보안에 대한 준비를 할 필요가 있다"고 경고했다.



규모에 상관없이 모든 기업에 대한 대규모 사이버공격은 거의 매주 발생한다. 야후는 12월 14일 10억 건 이상의 고객 데이터 유출을 발표했다. 이런 공격으로 인한 초래하는 엄청난 피해 규모에도 불구하고 기업의 이사, 특히 이사회에서는 자신들의 기업을 방어하기 위한 필수적인 조치를 논의하지 않는다.

이런 공격에 대응하는 것은 적절한 사이버 방어 툴과 서비스를 찾는 문제뿐만 아니라 최고 수준의 명망높은 기업 이사회에서 가질 수 있는 경영진의 인식과 보안 통찰력을 가져야 한다는 의미다.

가트너 분석가 아비바 리탄은 "미국과 모든 규모의 기업이나 정부 기관은 다양한 공격자들로부터 공격받고 있지만, 일반적으로 이런 위협을 관리하고 방지할 준비가 되어있지 않다"고 말했다.

리탄은 "다른 조직보다 우수한 보안을 실행하는 일부 조직조차도 이사회나 CEO, 최고경영진들이 주도하는 것이 아니라 대부분 CIO, CISO, 또는 비즈니스 부서장이 이끌어 간다"고 덧붙였다.

리탄은 "국가 차원의 대응과 사이버 보호 계획이 필요하다. 그러나 연방 정부가 실제 이를 추진하기에는 너무 분열되어 있고 정치화되어 있다"고 비판했다.

또한 "전력망을 포함한 국가 인프라스트럭처에 대한 위협은 엄청나게 심각한 상황"이라며, "고위 경영진, 기업 이사회 그리고 고위 관계자들이 실행에 협력하지 않는 한 이 위협 주체는 계속 승리할 것이며, 전문가들은 새벽에 일어나야 하는 상황을 몇번이나 맞게 될 지 모른다"고 우려했다.

리탄이 우려하는 바는 기업 거버넌스 커뮤니티에서도 어느 정도 인지하고 있는 것처럼 보인다. 미국 기업 이사 협회(National Association of Corporate Directors, NACD)가 600명의 기업 이사와 전문가들을 대상으로 설문조사를 실시한 결과, 19%만이 자신의 이사회가 보안 위험에 대한 이해 수준이 높은 수준을 갖고 있다고 응답했다. 이는 1년 전 실시한 설문 조사에서 나온 결과(11%)보다는 향상된 수치다. 또한 이 설문조사에서는 59%의 응답자가 사이버 리스크를 감독하는 것이 어렵다고 했다.

1만 7,000명의 회원을 보유하고 있는 NACD는 사이버공격의 체계적인 위험에 대해 기업 이사진들을 교육시키는 사이버 리스크 감시 프로그램을 만들기 위해 보안업체인 리지 글로벌(Ridge Global)과 카네기 멜론 대학과 함께 협력하고 있다.

리탄은 "이런 교육더 중요하지만 사이버 공격을 보고하도록 조직에게 요구하는 주나 연방 법의 지원이 필요하다. 또한 이 법은 고객과 파트너들이 비밀번호를 변경하고 민감한 데이터를 보호하기 위한 다른 작업을 수행할 수 있도록 한다"고 말했다.

리탄은 "정보 공개 요구는 향후 공격을 막는 보안을 강화하는데 아주 큰 동기가 된다"며, "뉴스에 자사의 이름이 거론되는 것을 아무도 원하지 않는다. 이는 사실 기업 이사진들이 우려하는 사안이다"고 설명했다.

대부분의 미국 주에서는 개인정보 침해 통지법을 갖고 있다. 그러나 미국 전체 규정은 없다. 미 캘리포니아는 2003년에 처음으로 이 법을 제정했으며, 다른 주들도 이를 따르고 있다.

미국 연방 차원에서 다수의 상원 의원들이 통지 법안을 지지했지만, 의회 의결을 통과한 법안은 없다. 버락 오바마 대통령은 2015년에 이 법안을 제안한 바 있다. 1월에 취임식을 하는 차기 대통령 도널드 트럼프 체제 하에 연방 개인정보 침해 통지법안이 얼마나 효력이 있을 지 의문이다.

지난 9월 야후가 2014년 별도의 해킹 사고를 발표했을 때, 미국 상원의원 마크 워너는 단일 데이터 위반 통지 표준을 만들기 위한 초당적 법안을 재발의하고
양당 상원의원으로 구성된 사이버보안 코커스(Senate Cybersecurity Caucus)를 공동 설립했다.

당시 워너는 "획일적인 개인정보 유출 통지 기준을 만들기 위한 의회의 조치는 이미 오래 전에 끝났다"고 말했다.

J 골드 어소시에이츠 분석가 잭 골드는 국가적인 침해 통지 법안이 과연 효과가 있을 지에 대해 의문을 던졌다. 골드는 "많은 주에서 공개 법안이 있고 공개에 필요한 일부 정부 규정이 있지만 기업이 해킹에 대해 거짓말을 하거나 공개하지 않는다면 어떤 효과가 있을지 의문이 든다"고 말했다. editor@itworld.co.kr  


2016.12.27

"회사 이사진들, 사이버공격에 대한 준비가 되지 않았다"…가트너 분석가

Matt Hamblen | Computerworld
한 분석가가 "CEO들이나 이사회 이사들이 CIO에게 모든 걸 맡기지 말고 좀더 사이버보안에 대한 준비를 할 필요가 있다"고 경고했다.



규모에 상관없이 모든 기업에 대한 대규모 사이버공격은 거의 매주 발생한다. 야후는 12월 14일 10억 건 이상의 고객 데이터 유출을 발표했다. 이런 공격으로 인한 초래하는 엄청난 피해 규모에도 불구하고 기업의 이사, 특히 이사회에서는 자신들의 기업을 방어하기 위한 필수적인 조치를 논의하지 않는다.

이런 공격에 대응하는 것은 적절한 사이버 방어 툴과 서비스를 찾는 문제뿐만 아니라 최고 수준의 명망높은 기업 이사회에서 가질 수 있는 경영진의 인식과 보안 통찰력을 가져야 한다는 의미다.

가트너 분석가 아비바 리탄은 "미국과 모든 규모의 기업이나 정부 기관은 다양한 공격자들로부터 공격받고 있지만, 일반적으로 이런 위협을 관리하고 방지할 준비가 되어있지 않다"고 말했다.

리탄은 "다른 조직보다 우수한 보안을 실행하는 일부 조직조차도 이사회나 CEO, 최고경영진들이 주도하는 것이 아니라 대부분 CIO, CISO, 또는 비즈니스 부서장이 이끌어 간다"고 덧붙였다.

리탄은 "국가 차원의 대응과 사이버 보호 계획이 필요하다. 그러나 연방 정부가 실제 이를 추진하기에는 너무 분열되어 있고 정치화되어 있다"고 비판했다.

또한 "전력망을 포함한 국가 인프라스트럭처에 대한 위협은 엄청나게 심각한 상황"이라며, "고위 경영진, 기업 이사회 그리고 고위 관계자들이 실행에 협력하지 않는 한 이 위협 주체는 계속 승리할 것이며, 전문가들은 새벽에 일어나야 하는 상황을 몇번이나 맞게 될 지 모른다"고 우려했다.

리탄이 우려하는 바는 기업 거버넌스 커뮤니티에서도 어느 정도 인지하고 있는 것처럼 보인다. 미국 기업 이사 협회(National Association of Corporate Directors, NACD)가 600명의 기업 이사와 전문가들을 대상으로 설문조사를 실시한 결과, 19%만이 자신의 이사회가 보안 위험에 대한 이해 수준이 높은 수준을 갖고 있다고 응답했다. 이는 1년 전 실시한 설문 조사에서 나온 결과(11%)보다는 향상된 수치다. 또한 이 설문조사에서는 59%의 응답자가 사이버 리스크를 감독하는 것이 어렵다고 했다.

1만 7,000명의 회원을 보유하고 있는 NACD는 사이버공격의 체계적인 위험에 대해 기업 이사진들을 교육시키는 사이버 리스크 감시 프로그램을 만들기 위해 보안업체인 리지 글로벌(Ridge Global)과 카네기 멜론 대학과 함께 협력하고 있다.

리탄은 "이런 교육더 중요하지만 사이버 공격을 보고하도록 조직에게 요구하는 주나 연방 법의 지원이 필요하다. 또한 이 법은 고객과 파트너들이 비밀번호를 변경하고 민감한 데이터를 보호하기 위한 다른 작업을 수행할 수 있도록 한다"고 말했다.

리탄은 "정보 공개 요구는 향후 공격을 막는 보안을 강화하는데 아주 큰 동기가 된다"며, "뉴스에 자사의 이름이 거론되는 것을 아무도 원하지 않는다. 이는 사실 기업 이사진들이 우려하는 사안이다"고 설명했다.

대부분의 미국 주에서는 개인정보 침해 통지법을 갖고 있다. 그러나 미국 전체 규정은 없다. 미 캘리포니아는 2003년에 처음으로 이 법을 제정했으며, 다른 주들도 이를 따르고 있다.

미국 연방 차원에서 다수의 상원 의원들이 통지 법안을 지지했지만, 의회 의결을 통과한 법안은 없다. 버락 오바마 대통령은 2015년에 이 법안을 제안한 바 있다. 1월에 취임식을 하는 차기 대통령 도널드 트럼프 체제 하에 연방 개인정보 침해 통지법안이 얼마나 효력이 있을 지 의문이다.

지난 9월 야후가 2014년 별도의 해킹 사고를 발표했을 때, 미국 상원의원 마크 워너는 단일 데이터 위반 통지 표준을 만들기 위한 초당적 법안을 재발의하고
양당 상원의원으로 구성된 사이버보안 코커스(Senate Cybersecurity Caucus)를 공동 설립했다.

당시 워너는 "획일적인 개인정보 유출 통지 기준을 만들기 위한 의회의 조치는 이미 오래 전에 끝났다"고 말했다.

J 골드 어소시에이츠 분석가 잭 골드는 국가적인 침해 통지 법안이 과연 효과가 있을 지에 대해 의문을 던졌다. 골드는 "많은 주에서 공개 법안이 있고 공개에 필요한 일부 정부 규정이 있지만 기업이 해킹에 대해 거짓말을 하거나 공개하지 않는다면 어떤 효과가 있을지 의문이 든다"고 말했다. editor@itworld.co.kr  


X