글로벌 칼럼 | 사이버보안 자금, 얼마나 되어야 충분할까

필자는 본사의 재무, HR, 법무, 시설 보안, 내부 감사 부문의 고위급 임원과 외부 감사자가 참여하는 정보 위험 위원회에서 기술 부문을 대표한 적이 있었다. 외부 감사자는 위원회가 이사회에 잠재적인 보안 위협에 대해 설명해야 한다고 말했다. 그런데 일정한 대응을 하기 전에 위협에 대해 말할 경우, 생산성 없는 우려와 야단법석을 초래할 문제가 있었다.
 

각 영역 별로, 그리고 전반적으로 기업의 사이버보안 상태에 대한 정보를 가장 효과적으로 전달할 방법을 찾아야 했다. 이사회가 가능한 빨리 사이버보안 상황을 인식해야 했기 때문이다. 필자는 한 분기 내에 사이버보안에 대한 접근법을 규정하는 활동을 주도하는 책임을 맡았다. 한 분기가 지나면, 결과와 상관없이 외부 감사자가 이사회에 브리핑을 할 예정이었다. 부담이 되었지만, 타당하고 필요한 일이었다.

사이버보안에 대한 확고한 접근법을 갖고 있는 평판 높은 대형 사이버 전문 서비스 업체 임원 일부와 접촉해 대화를 나눴다. 그러나 모든 회사가 처음의 노력과 지속적인 유지를 크게 강조한다는 판단이 들었다. 우리가 전달하려 하는 명확한 ‘대시보드’적 관점을 제공하는 기업은 단 한곳도 없었다. 몇 주가 흘렀지만, 효과가 없을 것이라고 생각했던 부분들에 대한 이해만 높였을 뿐 다른 성과는 없었다.  

견고한 사이버보안에 대한 접근법, ‘시간 차원’의 렌즈를 통해 

다행히 12월 중순, 시대를 거스르는 명작인 ‘크리스마스 캐롤’을 다시 한 번 더 보면서 아이디어가 떠올랐다. 이제는 누구나 알게 된 사실이지만, 무언가를 가장 효과적으로 전달하는 방법은 ‘명확한 스토리’이다. 디킨스가 정말 잘했던 일이다. 찰스 디킨스는 과거의 크리스마스 유령을 현재에 활용하는 지혜를 발휘했다. 그리고 이런 방법이 필자에게 와 닿았다. 또 개인적인 경험을 바탕으로 이것이 우리가 전달해야 하는 관점이라는 확신을 굳혔다.

- 과거: 중요한 사건과 관련해 경험하고 터득한 것이 무엇인가? 이에 대해 학습한 것, 했던 일이 무엇인가?
- 현재: 우리가 직면한 위험은 뉴스에서 접한 위협과의 상관관계는 무엇인가? 이에 대해 무엇을 하고 있는가?
- 미래: 비즈니스 계획과 변화하는 위협 지형을 토대로 했을 때 미래에 걱정해야 할 것들은 무엇인가? 이는 앞으로의 계획에 어떤 영향을 주는가?

중요한 비즈니스 영향 지표와 이니셔티브를 중심으로(이사회 회의와 연계되는 부분이 좋음) 지속적으로 상태를 업데이트해야 한다. 그래야 관련된 과거, 현재, 미래의 관점을 토대로 적절히 초점을 맞춰 집중할 수 있다. 실제 발생한 사고나 인지된 위협에 근거해 즉각적으로 통지 및 행동하는 것도 좋다. 이는 향후 보안 상태 업데이트에 포함된다. 이는 우리가 과거 했던 일에 대해 시간 관점을 제공하지만, 체계적인 사이버보안 태세에 필요한 참조점은 다루지 않고 있다.

사이버보안 위험을 판단하는 근거로 사용하는 것

레인 캐피털(Rain Capital)의 제너럴 매니징 파트너이자 이사인 첸시 왕 박사는 ‘평가 프레임워크’에 기반하지 않기 때문에 ‘우리는 얼마나 안전할까?’라는 질문을 물어서는 안된다고 조언했다. 이는 개인의 관점에 토대를 둔 의견에 불과할 것이기 때문이다. 보안 현황를 이해하기 위해서는 기업 위협 지표와 함께, 사이버보안 위험을 평가하는 근거 가운데 일부를 이해해야 한다.

왕 박사는 “사이버보안 위험은 비즈니스가 직면한 다른 위험과 연결해 이야기해야 한다. 모두 중요한 위험들이다. 이런 위험들이 이사회가 관심을 가져야 하는 위험인지 여부를 평가하면서 유사한 위험 프레임워크를 사용해야 하며, 6개월 정도의 간격으로 평가해야 한다”고 말했다.

필자는 우리가 살고 있는 집을 안전하게 만들려 하는 일들을 비유해 이야기를 많이 하곤 한다. 모든 유리창에 센서를, 모든 방에 연기와 열, 이산화탄소, 동작 감지 센서, 카메라를 설치할 수 있다. 또한 모든 문에 여러 개의 잠금 장치를 설치할 수도 있다. 매일 24시간 모니터링을 하고, 주택보험에 가입할 수 있다. 

하지만 이렇게 해도 도둑이나 강도를 당하지 않는다는 보장이 없다. 화재나 홍수 피해가 없다는 보장도 없다. 보험이 피해 비용을 줄여주겠지만, 일상에 장기간 방해가 초래되며, 일부 값진 것들 중에는 대체가 불가능한 것도 있을 수 있다. 그러나 어느 정도의 보험이 필요할지(보호해야 하는 것들을 토대로), 얼마나 빈틈없이 해야 할지 결정한다.

비즈니스 관점에서 판단했을 때에도 크게 다르지 않다. 타사의 사이버보안 사고로 인한 피해는 법적 계약으로 보호를 받을 수 있으며, 사이버 보험으로 금전적 피해를 커버할 수 있다. 그러나 이런 보호 체계가 있어도 기업 평판에 영향이 초래된다. 또 시정되기까지 지속적인 프로세스, 고객과 소비자, 비즈니스 관계에 영향이 초래될 것이다.

업종, 비즈니스 종류에 따라 비즈니스 위험, 필요한 보호 체계와 대책이 달라질 것이다. 개인 일상의 경우, 보호해야 할 자산(데이터, 시스템 액세스 등)을 결정해야 한다. 이런 자산이 침해당했을 때 발생할 영향을 결정해야 한다.

필자가 일했던 기업은 모두 미디어와 관련이 있기는 하지만, 여러 사업 부문으로 구성되어 있다. 서브스크립션 TV/온디맨드 비즈니스와 라이브 뉴스 비즈니스 부문, 광고 수익에 토대를 둔 방송 네트워크, TV 및 영화 제작사, 기업 모회사가 직면한 위험은 각기 다르다. 전사적으로 적용되는 표준 정보 보안 정책이 존재했지만, 관련된 정도는 사업 부문 별로 차이가 있었다.

자신이 근무하고 있는 회사에서 보호할 필요가 있는 자산은 무엇인가? 이 질문에 대답하기 위해서는 회사에 정말로 중요한 것에 대해 생각해야 한다. 다음이 여기에 포함될 수 있다. 

- (내부, 또는 타사가 관리하는) 소비자 정보
- PII, PCI, GDPR, CCPA, HIPPA 등 규제 컴플라이언스(정부, 국내, 국제)
- 공급 사슬(디지털 및 기타)
- 브랜드 평판(소셜 미디어 영향, 대중이 이용하는 웹사이트, B2B 웹사이트)
- 지적 재산 보호(전략 및 계획)
- 임직원 정보(비밀인 써드파티 개인정보 포함)
- 공개하지 않는 재무, 계약관련 정보

이에 대해 파악하려면 모든 부서의 모든 비즈니스 리더, 또 외부 회계법인과 솔직하게 대화해야 한다. 보호해야 할 정보는 무엇인가? 정보가 위치한 장소는? 서드파티 관계는? 클라우드에서 기술부서 관여 밖에서 일어나는 일은? 비즈니스 리더들과 협력하고, 이들을 교육시키고, 참여시켜야 한다. 비즈니스 리더와 비즈니스를 지원하면서 신뢰를 구축할 수 있어야 한다. ‘위험 허용 수준(risk tolerance)’은 자신이 이들에게 도움이 되는 방향을 제시하는 비즈니스 의사결정에 해당된다. 

이후 사이버보안 프레임워크와 기준을 현재 상태를 결정하는 근거로 적용해야 한다. 다음의 기준들을 고려할 수 있다. 그러나 필자는 요약된 수준에서 보안 상태에 대한 정보를 전달하는데 사용하는 방법을 제안한다. 현재와 미래 사이버보안 계획을 위한 잠재적인 비즈니스 영향, 재무적 영향에 대한 정보를 전달하는 방식으로 활용한다.

- CIS(Center for Internet Security, Inc)의 CSC(Critical Security Controls)
- NIST의 CSF(Cybersecurity Framework)
- SANS Top 20 Controls
- EU의 GDPR(General Data Protection Regulation)
- CCPA(California Consumer Protection Act)
- ISO(International Organization for Standardization) 27000 시리즈 및 IEC(International Electrotechnical Commission)
- NACD(National Association of Corporate Directors) 

사이버보안 가이드라인

사이버보안 위험은 자금에 어떻게 영향을 받을까? 이를 다른 기업과 비교하는 방법은?

크리스마스 캐롤을 계속 비유해 이야기하면, 사이버보안 태세에 대한 판단을 내리는데 정말 중요한 것은 재무 실사이다. 에베네저(Ebenezer, 스크루지 이름) CFO는 중요한 역할을 갖고 있었다(결말이 잘 풀렸기 때문에 나쁜 의미는 아님).

통상 지출에 대해 평가할 때 활용할 수 있는 업계 지침(가이드라인)이 존재한다. 금융서비스 부문 사이버보안 프로필을 예로 들 수 있다. 필자는 감사 업체, 핵심 사이버보안 업체와 함께, 이들이 갖고 있는 업계에 대한 전문성을 바탕으로 타당한 것들을 탐구할 것이다(소속 산업이나 기업 구조와의 관련성이 없을 수도 있지만).

그러나 이런 관점을 제외하고, 예산 지출은 상황에 어떤 영향을 줄까? CFO와 CEO, 이사회가 다음 2가지 질문을 물었을 때 어떻게 대답하겠는가? 

- 사이버보안 프로그램에 더 많은 자금이 필요한가? 이를 통해 어떻게 위험을 줄일 것인가?
- 사이버보안 예산 10% 삭감을 요구받았다면, 이는 위험을 얼마나 증가시키는가?

그렇다면 얼마나 지출해야 할까? 더 많은 리소스, 새로운 인공지능/머신러닝(AI/ML) 위협 방지 도구에 대한 요청을 승인해야 할까? 비즈니스 관점에서 위험에 대한 정보를 전달하려면 어떻게 해야 할까? 

이와 관련, 잠재적인 위험에 미치는 영향 측면에서 적절한 예방 조치에 투자를 하는 것이 가치가 있는지 판단을 내리려고 시도하는 위험 기반 방법을 사용하는 것이 많이 수용되고 있는 베스트 프랙티스이다. 이는 4분면으로 구성되어 있다. 한 축에는 위험(낮음부터 높음), 다른 한 축에는 비용(낮음부터 높음)이 위치한 4분면이다. 이는 제한된 예산을 어디에 투입할지 평가하는데 도움을 준다.

필자가 IBM 이그제큐티브 컨퍼런스에서 학습한 내용에 따르면, 유감스럽게도 대부분의 사람은 미래의 불확실한 부분보다 현재의 확실한 부분을 토대로 의사결정을 내린다. 데이빗 록 박사가 현대 심리학에 발표한 ‘확실함에 대한 갈구...사람의 두뇌는 확실함을 원하며, 불확실함을 피한다’라는 논문도 이를 뒷받침한다. 이는 사람들이 확실함과 불확실함에 대처하는 방식을 하나의 법칙으로 제시하고 있다. 

사람들은 본질적으로 불확실한 것들을 꺼린다. 이는 사람들이 덜 즉각적으로 부정적인 미래보다 잘 알고 있는 현재를 선호하는 이유에 대해 설명해준다. 당장 금전적 비용이 증가하는 것에 대해 저항을 하는 이유에 대해 설명을 해준다. 미래의 경우, 사이버보안 사고가 발생할지 여부, 그 시기, 그 재무적 영향에 대해 모르기 때문이다.

다음 해, 또는 몇 년 뒤에 추가 리소스를 다시 요청할지 여부에 대한 질문을 받은 CISO들이 아주 많다. CISO들은 이 질문에 제대로 대답할 수 없다. 대답에 영향을 줄 수 있는 내부, 외부 요소들이 있기 때문이다. 필자는 이런 CISO에게 요청의 근거를 설명하라고 조언한다. 

예를 들어, 새로운 사업의 보안 프로필을 향상시키는데 필요한 인수 통합 비용과 같이 기업이 통제하는 이벤트인가? 그렇다면 이런 변화가 비즈니스 측면에서 정당화되어야 한다. 이는 비즈니스 의사결정이기 때문이다. 

또는 새로운 사업 확대(소비자에게 직접적인 사업확대 등)로 사이버보안에 영향이 초래된 것인가? 또는 새로운 비즈니스 장소를 안전하게 만들기 위한 리소스인가? 비즈니스가 이런 결정의 ‘희생자’라는 생각을 갖게 만들어서는 안된다. 일정 수준 통제력을 갖고 있다는 생각을 갖게 만들어야 한다. 이를 위해서는 적절한 평가 프레임워크가 필요하다. 또 잠재적인 사이버보안 사건이 비즈니스에 어떤 영향을 줄지 이해해야 한다(예방적인 경감 대책에 드는 비용과 비교).

또, 어떤 형태이든 사이버보안 사고가 발생할 확률이 높기 때문에, 운영, 법과 규정, 공공(대중) 측면에서 사고 대응을 준비해야 한다. 특정한 사건, 비즈니스의 종류, 기술 체계, 서드파티 의존성 등이 여기에 영향을 준다. 또 사이버보안 이벤트의 종류도 영향을 줄 것이다. 여기에도 앞서 설명한 것과 유사한 위험 기반 방식이 적용되어야 한다.

사이버보안 자금의 절충안 찾기, 고위 임원의 책임   

제대로 다루면, 사이버보안에 무한대의 자금이 필요한 것은 아니다. 절충을 하고, 힘든 결정을 내려야 한다. 이는 고위 임원이 수행해야 할 책임이다. 조직의 사이버보안 성숙도, 새로운 위협 관리를 목적으로 활용하는 프레임워크와 관련된 질문들에 대답할 준비를 해야 한다. 잠재적인 보안 사건(사고)가 비즈니스 자산에 미치는 영향 측면에서, 다른 비즈니스 위험을 다루는 방법과 유사하게 사이버보안에 접근해야 한다.

CFO 및 CHRO(또는 COO), 최고 법무 책임자, 내부 및 외부 감사 담당자와 협력해 이에 대한 근거, 정당성을 제공하는데 도움을 줘야 한다. CIO, CTO, CISO는 비즈니스 측면에서 잠재적인 위험, 이를 경감하는 비용을 간결하면서도 정확히 설명할 수 있어야 한다. 일부 임원들은 재무, 법, 정치적 이유에서 사이버보안 문제를 인정하기 싫어하지만, 이는 현실을 회피하는 것이다. 

CIO, CTO, CISO는 비즈니스 측면에서 이해되는 관점으로 이에 대한 정보를 책임있게 전달할 책임을 갖고 있다. 또 회사 전체의 문제이기 때문에 관련 이해당사자의 지원을 획득할 책임이 있다. editor@itworld.co.kr