2020.01.16

디지털 트랜스포메이션에서 보안 부서의 역할 확대와 미래

Stacy Collett | CSO
2년 전, 새로운 프로세스와 제품 개발에 속도가 붙으면서 디지털 트랜스포메이션에도 박차가 가해졌다. IT 부서와 운영 부서가 시장화 속도를 높이기 위해 애자일과 DevOps 같은 이니셔티브를 서둘러 추진하면서, 기업에서는 보안 고려사항이 뒷전으로 물러나는 경우가 많았다. 당시 가트너는 2020년경 보안 부서가 디지털 위험을 관리하지 못한 결과로 주요 서비스에 문제가 발생하는 디지털 기업이 60%에 달할 것이라고 예측했다.

디지털 프로젝트가 가장 큰 원인이라고 딱 집어 이야기하기 어렵기는 했지만, 이후 예상된 것처럼 대형 보안 사고가 연달아 터졌다. IDC의 보안 조사 담당 부사장 피트 린드스트롬은 “떠들썩했던 보안 침해 사고와 디지털 트랜스포메이션 간 직접적인 상관관계와는 별도로, 이런 사고를 겪은 기업 경영진은 위험과 위험 최소화 솔루션을 재고하게 되었다”고 분석했다.

마쉬 앤 맥레넌(Marsh & McLennan)이 임원 1,500명을 조사한 결과에 따르면, 전 세계적으로 2020년 가장 중요하게 취급할 위험 관리 활동 중 하나로 사이버 공격과 위협을 꼽은 임원의 비율이 62%에 달한다. 전반적으로 보안이 디지털 트랜스포메이션에서 차지하는 역할이 디자인 프로세스의 조기 단계에 참여, 인식 제고 모두에 있어 강화되었다. 그러나 CISO들은 여전히 생태계 내 광범위한 프로젝트에 대한 가시성을 확보하는 데 어려움을 겪고 있는 실정이다.
 

보안 도전과제 : 보조 맞추기

최근 알티미터 조사에 따르면, 사이버보안은 IT 의사결정자가 디지털 트랜스포메이션에서 가장 중요하게 고려하는 사항이다. 또 투자 우선 순위의 경우에도 클라우드 다음에 해당된다(각각 37%와 35%가 이렇게 대답). 비즈니스과 고객, 핵심 자산을 보호할 수 없는 경우, 혁신적인 기술에 투자를 해도 소용이 없다. 그런데 발전 속도와 복잡성이 정말 규모가 큰 보안 조직과 운영 부서도 도전 과제에 부딪힌 실정이다.

MIT의 제조 및 생산 연구소 소속 연구원이자 이그제큐티브 디렉터인 아벨 산체즈는 “우리가 직면한 전투는 의사결정 사이클보다 더 빨리 움직이는 것이다. 이보다 더 느리게 움직이면 리더십의 관점에서 관련성이 없어져버린다”라고 강조했다. 보안에도 개발과 마찬가지로 민첩성, 유연성, 빠른 의사결정이 필요하다는 의미이다.
글로벌 에너지 솔루션 회사인 슈나이더 일렉트릭은 트랜스포메이션의 중심에 사이버보안이 위치해 있다. 글로벌 CISO 크리스토퍼 블라소는 전사적인 가시성 확보에 어려움을 겪었다. R&D부터 공급사슬, 서비스에 이르기까지 다양한 활동, 인수 등으로 인한 복잡성으로 어려움이 커졌기 때문이다. IT와 운영 기술(OT)이 통합되면서 새로운 연결성, 데이터 소스, 잠재적인 취약점이 구현되거나 생겨났다. 이들 취약점은 반드시 보호되어야 한다. 블라소는 회사의 보안과 파트너, 업체 생태계를 연결해야만 했다.

또 “소유 의식(책임감)이 적절한 수준이 아니었다. 그래서 전사적으로 새로운 거버넌스를 고안해 체계화하기 시작했다. 부서 규모를 키우고 싶지는 않았다. ‘누군가 다른 사람이 고칠 것’이라는 생각을 갖게 되는 것을 꺼렸기 때문이다. 보안 책임자는 모든 구성원”이라고 설명했다.

슈나이더는 2가지 방식으로 접근했다. 디지털 사이버보안 실무 분야를 만들고, 각 실무 분야와 전사적으로 사이버 전문가(디지털 위험 관리자 및 지역 CISO)를 배치하는 방법으로 사이버 리더 공동체를 만들었다. 이들 직원을 훈련하고, 사이버 위험에 집중하도록 만들었다. 블라소는 이를 통해 디지털 공감에 대한 ‘통제감’을 갖게 되었다. 그는 “사이버 리더는 모든 디지털 실무 고위 리더와 내게 보고한다”고 말했다.
 

트랜스포메이션의 대상이 되어야 하는 보안 부서

보안 부서가 여전히 극복해야 하는 도전과제들은 디지털 트랜스포메이션의 속도에 보조를 맞춰 보안을 강화하는 방법, 내부에서 진행되는 모든 새로운 디지털 프로세스와 외부에서 개발되거나 창출되는 제품, 인터넷 기회에도 보안을 구현하는 방법이다. 해결책의 대부분은 IT와 보안 부서의 문화로 귀결된다. 이와 관련, 산체즈는 ‘보안 부서도 트랜스포메이션의 대상이 되어야 한다”라고 강조했다. 그는 쉬운 일은 아니라고 경고했다. 많은 직원이 비즈니스 부서와 상호작용을 할 수 있는 새로운 스킬을 학습하려는 의지를 가져야 하기 때문이다.

산체즈에 따르면, 일부는 조직 재편을 통해 성과를 달성할 수 있다. 예를 들어, 많은 실무 분야에서 테스터가 사라지고 있는 추세이다. 이제 소프트웨어 엔지니어들이 테스트를 처리하고 있기 때문이다. 그는 “이런 산물을 안전하게 만드는 방법을 가장 잘 아는 사람은 그것을 만든 사람들”이라고 말했다. 이 논리는 다른 개발 영역에도 적용될 수 있다. 

그는 “다양한 재능이 필요할 수도, 또는 가지고 있는 재능을 바꿔야 할 수도 있다. 많은 사람들을 잃을 수도 있다. 그러나 변할 필요가 있다. 혁신을 도입하고, 혁신을 실천할 수 있는 사람들이 필요하다. 세상이 정말 빨리 움직이고 변하고 있기 때문이다”라고 말했다.

디지털 트랜스포메이션 서비스를 제공하고 있는 글로벌 컨설팅 및 관리형 보안 서비스 공급업체인 NTT산하 ‘시큐리티 포 아메리카의 CEO인 매트 핸들러에 따르면, 전반적으로 보안 부서에 대한 접근성이 높아지고, 비즈니스의 일부가 되면서 관계가 강화되는 좋은 현상이 발생하고 있다.

핸들러는 “보안 부서가 보안 부서는 ‘아니오’라고 말하는 부서가 될 수 없다는 점을 깨닫고 있다. 민첩하고 유연해야 한다. 또한 방해자나 차단자가 아닌 조력자로 인식되어야 한다. 이런 변화는 지난해가 되어서야 발생했다”라고 말했다.

핸들러에 따르면 CISO도 변해야 한다. 애플리케이션이나 새 기술을 전개하는 부서의 협력자, 내부 조언자 역할을 수행해야 한다. 그는 “‘아니오’라고 말하는 대신 ‘가능한 빨리 안전하게 처리할 수 있는 방법을 알아봅시다’라고 말해야 한다. 이것 만으로 CISO 입장에서 많은 것이 변한다”라고 강조했다.
 

보안 강화 

CISO들은 몇 년 전부터 디자인 프로세스의 초기 단계에 보안 필요사항을 반영해야 한다고 주장했다. 그런데 이제 더 구성요소가 더욱 민첩해져서 이런 목표를 달성하기가 더 쉬워졌다. 린드스트롬은 “클라우드를 중심으로, 기본 탑재된 보안 기능을 활용할 수 있게 되었고 위험을 극복할 수 있다. 또한 네트워크와 호스트 기반 보안에서 애플리케이션, 데이터 계층 보안, 사물 인터넷 ID 관련 보안으로 이동하고 있다”라고 설명했다.

또한 투자자들은 틈새 보안 벤더 다수가 통합되면서, 2020년에는 머신 러닝을 활용하는 사이버보안 업체가 부상할 가능성이 있다고 예측하고 있다. 많은 보안 데이터를 보유한 업체는 알고리즘과 분석, 머신 러닝을 결합해 아주 빠른 속도로 위협을 파악해 대응할 수 있다. 머신의 성능은 이를 다루는 사람, 패턴 매칭에 사용되는 데이터가 결정한다. 하지만 어느 정도 시간이 소요될 것이다.

핸들러는 “CISO의 관점에서 보면, 가장 큰 성과는 아주 빠른 속도로 보안을 제공하고, 이러면서도 비즈니스가 중간 목표와 목표를 달성할 수 있도록 돕고, 프로세스 시작부터 보안을 강화하는 것이다. 그러나 이는 지금 당장이 아닌 미래에 가능한 일이다”라고 말했다.
 

미래

디지털 트랜스포메이션에서의 사이버보안과 관련, 산체즈는 중간 지점을 통과한 조직이 더 많다고 말했다. 자동화라는 과정을 거쳤으며, 이제 AI와 예측 모델링에 대해 조사하기 시작한 상태인 조직이다.

산체즈는 “우리는 제 궤도를 가고 있다. 그러나 앞으로 위기가 없을 것이라는 의미는 아니다. (디지털 트랜스포메이션 이전에)소프트웨어 개발 영역들이 통합되지 않은 것처럼 현재 보안도 통합되지 않은 상태이다. 이 모든 것들이 통합되어야 한다. 여기에는 시간이 필요하다”고 말했다. editor@itworld.co.kr 


2020.01.16

디지털 트랜스포메이션에서 보안 부서의 역할 확대와 미래

Stacy Collett | CSO
2년 전, 새로운 프로세스와 제품 개발에 속도가 붙으면서 디지털 트랜스포메이션에도 박차가 가해졌다. IT 부서와 운영 부서가 시장화 속도를 높이기 위해 애자일과 DevOps 같은 이니셔티브를 서둘러 추진하면서, 기업에서는 보안 고려사항이 뒷전으로 물러나는 경우가 많았다. 당시 가트너는 2020년경 보안 부서가 디지털 위험을 관리하지 못한 결과로 주요 서비스에 문제가 발생하는 디지털 기업이 60%에 달할 것이라고 예측했다.

디지털 프로젝트가 가장 큰 원인이라고 딱 집어 이야기하기 어렵기는 했지만, 이후 예상된 것처럼 대형 보안 사고가 연달아 터졌다. IDC의 보안 조사 담당 부사장 피트 린드스트롬은 “떠들썩했던 보안 침해 사고와 디지털 트랜스포메이션 간 직접적인 상관관계와는 별도로, 이런 사고를 겪은 기업 경영진은 위험과 위험 최소화 솔루션을 재고하게 되었다”고 분석했다.

마쉬 앤 맥레넌(Marsh & McLennan)이 임원 1,500명을 조사한 결과에 따르면, 전 세계적으로 2020년 가장 중요하게 취급할 위험 관리 활동 중 하나로 사이버 공격과 위협을 꼽은 임원의 비율이 62%에 달한다. 전반적으로 보안이 디지털 트랜스포메이션에서 차지하는 역할이 디자인 프로세스의 조기 단계에 참여, 인식 제고 모두에 있어 강화되었다. 그러나 CISO들은 여전히 생태계 내 광범위한 프로젝트에 대한 가시성을 확보하는 데 어려움을 겪고 있는 실정이다.
 

보안 도전과제 : 보조 맞추기

최근 알티미터 조사에 따르면, 사이버보안은 IT 의사결정자가 디지털 트랜스포메이션에서 가장 중요하게 고려하는 사항이다. 또 투자 우선 순위의 경우에도 클라우드 다음에 해당된다(각각 37%와 35%가 이렇게 대답). 비즈니스과 고객, 핵심 자산을 보호할 수 없는 경우, 혁신적인 기술에 투자를 해도 소용이 없다. 그런데 발전 속도와 복잡성이 정말 규모가 큰 보안 조직과 운영 부서도 도전 과제에 부딪힌 실정이다.

MIT의 제조 및 생산 연구소 소속 연구원이자 이그제큐티브 디렉터인 아벨 산체즈는 “우리가 직면한 전투는 의사결정 사이클보다 더 빨리 움직이는 것이다. 이보다 더 느리게 움직이면 리더십의 관점에서 관련성이 없어져버린다”라고 강조했다. 보안에도 개발과 마찬가지로 민첩성, 유연성, 빠른 의사결정이 필요하다는 의미이다.
글로벌 에너지 솔루션 회사인 슈나이더 일렉트릭은 트랜스포메이션의 중심에 사이버보안이 위치해 있다. 글로벌 CISO 크리스토퍼 블라소는 전사적인 가시성 확보에 어려움을 겪었다. R&D부터 공급사슬, 서비스에 이르기까지 다양한 활동, 인수 등으로 인한 복잡성으로 어려움이 커졌기 때문이다. IT와 운영 기술(OT)이 통합되면서 새로운 연결성, 데이터 소스, 잠재적인 취약점이 구현되거나 생겨났다. 이들 취약점은 반드시 보호되어야 한다. 블라소는 회사의 보안과 파트너, 업체 생태계를 연결해야만 했다.

또 “소유 의식(책임감)이 적절한 수준이 아니었다. 그래서 전사적으로 새로운 거버넌스를 고안해 체계화하기 시작했다. 부서 규모를 키우고 싶지는 않았다. ‘누군가 다른 사람이 고칠 것’이라는 생각을 갖게 되는 것을 꺼렸기 때문이다. 보안 책임자는 모든 구성원”이라고 설명했다.

슈나이더는 2가지 방식으로 접근했다. 디지털 사이버보안 실무 분야를 만들고, 각 실무 분야와 전사적으로 사이버 전문가(디지털 위험 관리자 및 지역 CISO)를 배치하는 방법으로 사이버 리더 공동체를 만들었다. 이들 직원을 훈련하고, 사이버 위험에 집중하도록 만들었다. 블라소는 이를 통해 디지털 공감에 대한 ‘통제감’을 갖게 되었다. 그는 “사이버 리더는 모든 디지털 실무 고위 리더와 내게 보고한다”고 말했다.
 

트랜스포메이션의 대상이 되어야 하는 보안 부서

보안 부서가 여전히 극복해야 하는 도전과제들은 디지털 트랜스포메이션의 속도에 보조를 맞춰 보안을 강화하는 방법, 내부에서 진행되는 모든 새로운 디지털 프로세스와 외부에서 개발되거나 창출되는 제품, 인터넷 기회에도 보안을 구현하는 방법이다. 해결책의 대부분은 IT와 보안 부서의 문화로 귀결된다. 이와 관련, 산체즈는 ‘보안 부서도 트랜스포메이션의 대상이 되어야 한다”라고 강조했다. 그는 쉬운 일은 아니라고 경고했다. 많은 직원이 비즈니스 부서와 상호작용을 할 수 있는 새로운 스킬을 학습하려는 의지를 가져야 하기 때문이다.

산체즈에 따르면, 일부는 조직 재편을 통해 성과를 달성할 수 있다. 예를 들어, 많은 실무 분야에서 테스터가 사라지고 있는 추세이다. 이제 소프트웨어 엔지니어들이 테스트를 처리하고 있기 때문이다. 그는 “이런 산물을 안전하게 만드는 방법을 가장 잘 아는 사람은 그것을 만든 사람들”이라고 말했다. 이 논리는 다른 개발 영역에도 적용될 수 있다. 

그는 “다양한 재능이 필요할 수도, 또는 가지고 있는 재능을 바꿔야 할 수도 있다. 많은 사람들을 잃을 수도 있다. 그러나 변할 필요가 있다. 혁신을 도입하고, 혁신을 실천할 수 있는 사람들이 필요하다. 세상이 정말 빨리 움직이고 변하고 있기 때문이다”라고 말했다.

디지털 트랜스포메이션 서비스를 제공하고 있는 글로벌 컨설팅 및 관리형 보안 서비스 공급업체인 NTT산하 ‘시큐리티 포 아메리카의 CEO인 매트 핸들러에 따르면, 전반적으로 보안 부서에 대한 접근성이 높아지고, 비즈니스의 일부가 되면서 관계가 강화되는 좋은 현상이 발생하고 있다.

핸들러는 “보안 부서가 보안 부서는 ‘아니오’라고 말하는 부서가 될 수 없다는 점을 깨닫고 있다. 민첩하고 유연해야 한다. 또한 방해자나 차단자가 아닌 조력자로 인식되어야 한다. 이런 변화는 지난해가 되어서야 발생했다”라고 말했다.

핸들러에 따르면 CISO도 변해야 한다. 애플리케이션이나 새 기술을 전개하는 부서의 협력자, 내부 조언자 역할을 수행해야 한다. 그는 “‘아니오’라고 말하는 대신 ‘가능한 빨리 안전하게 처리할 수 있는 방법을 알아봅시다’라고 말해야 한다. 이것 만으로 CISO 입장에서 많은 것이 변한다”라고 강조했다.
 

보안 강화 

CISO들은 몇 년 전부터 디자인 프로세스의 초기 단계에 보안 필요사항을 반영해야 한다고 주장했다. 그런데 이제 더 구성요소가 더욱 민첩해져서 이런 목표를 달성하기가 더 쉬워졌다. 린드스트롬은 “클라우드를 중심으로, 기본 탑재된 보안 기능을 활용할 수 있게 되었고 위험을 극복할 수 있다. 또한 네트워크와 호스트 기반 보안에서 애플리케이션, 데이터 계층 보안, 사물 인터넷 ID 관련 보안으로 이동하고 있다”라고 설명했다.

또한 투자자들은 틈새 보안 벤더 다수가 통합되면서, 2020년에는 머신 러닝을 활용하는 사이버보안 업체가 부상할 가능성이 있다고 예측하고 있다. 많은 보안 데이터를 보유한 업체는 알고리즘과 분석, 머신 러닝을 결합해 아주 빠른 속도로 위협을 파악해 대응할 수 있다. 머신의 성능은 이를 다루는 사람, 패턴 매칭에 사용되는 데이터가 결정한다. 하지만 어느 정도 시간이 소요될 것이다.

핸들러는 “CISO의 관점에서 보면, 가장 큰 성과는 아주 빠른 속도로 보안을 제공하고, 이러면서도 비즈니스가 중간 목표와 목표를 달성할 수 있도록 돕고, 프로세스 시작부터 보안을 강화하는 것이다. 그러나 이는 지금 당장이 아닌 미래에 가능한 일이다”라고 말했다.
 

미래

디지털 트랜스포메이션에서의 사이버보안과 관련, 산체즈는 중간 지점을 통과한 조직이 더 많다고 말했다. 자동화라는 과정을 거쳤으며, 이제 AI와 예측 모델링에 대해 조사하기 시작한 상태인 조직이다.

산체즈는 “우리는 제 궤도를 가고 있다. 그러나 앞으로 위기가 없을 것이라는 의미는 아니다. (디지털 트랜스포메이션 이전에)소프트웨어 개발 영역들이 통합되지 않은 것처럼 현재 보안도 통합되지 않은 상태이다. 이 모든 것들이 통합되어야 한다. 여기에는 시간이 필요하다”고 말했다. editor@itworld.co.kr 


X