위험 평가를 수행하는 방법, "프로세스 재고하기"

지난 2년 동안 세상은 많이 바뀌었고 사이버보안 위험을 평가하기 위한 규칙도 많은 부분이 바뀌었다. 더 대담한 디지털 비즈니스로의 침투, 더 넓은 범위의 위험, 더 커진 사이버 위협이 결합하면서 위험 관리의 세계도 더 복잡해졌으며 그 중요성도 더 커졌다.


Credit: Getty Images Bank

그러나 위험 관리가 오늘날 비즈니스 운영의 필수 요소라는 인식은 여전히 부족하다. 실리콘 리퍼블릭(Silicon Republic)에서 인용한 PwC 연구에 따르면, 아일랜드 기업의 40%는 위험 관리를 전혀 하지 않고 있다.

지난해 여름에 발행된 가트너의 IT 위험 관리 보고서는 갈수록 커지는 위험 관리 분야의 복잡성에 대처하기 위해 시장을 감사, 공급업체 위험 관리, 운영 위험을 비롯한 7개 영역으로 분할했다. 가트너는 서비스나우(ServiceNow), 델/RSA 아처 등을 포함한 10개 공급업체에 대한 매직 쿼드런트도 발표했다. 이 보고서에 따르면 IT 구매자들이 폭넓은 조건과 워크플로우에 걸쳐 배포가 가능한 종합적인 솔루션을 원하면서 시장도 빠르게 발전하고 있다.

변화의 속도가 워낙 빨라서 불과 1년 전에 나온 보고서도 일정 부분은 지금 시점에 맞지 않는다. 변화된 부분을 살펴보고, 프로세서를 개선하고 조직 구조를 변경하고 비즈니스에 대한 미래의 사이버 위험을 이해하고 대처하기 위해 준비하는 방법을 알아보자.

보안은 이제 모두의 관심사
정보 보안은 이제 엔터프라이즈 전체의 관심사이며, 더 이상 IT 부서만의 영역이 아니다. KPMG의 보안 서비스 부문 책임자인 찰스 자코는 "18개월 전까지 대부분의 기업은 사이버 위험을 온전히 IT 부서의 영역으로 여겼다"고 말했다.

위험 관리 업체 서비스나우의 부사장이자 보안 비즈니스 사업부 총괄 관리자인 숀 콘버리는 "위험 관리는 오늘날의 기업 관점에서 궁극적인 교차 직무(cross-functional) 영역이라고 할 수 있다. 즉, 모든 것을 IT 부서 내부에서 처리했던 시대에 비해 훨씬 더 복잡해졌다"고 말했다.

기업이 더 많은 비즈니스 서비스와 제품을 온라인으로 전환하면서 그 영향도 전사적인 규모로 퍼지고 있다. 콘버리는 "이제 서비스는 조직의 여러 부분에 의해 관리된다. 이는 데이터 사일로의 종말과 위험의 복잡성 증대를 의미한다"고 말했다.

게다가 악성코드 위협이 더 복잡해지고 더 집중화되고 탐지하기가 더 어려워지고 있으며, 데이터 유출은 기업의 모든 사용자에게 영향을 미치면서 고객과 파트너 관계를 해치고 상장 기업의 주가를 떨어트리고 있다.

갈수록 더 엄격해지는 정부의 기업 규제
위험에 따르는 비용이 높아지고 데이터 유출이 발생할 경우 결과적인 비용도 더 커지게 된다. 기업은 대중의 비난과 평판 손실 외에 큰 벌금까지 물어야 할 수 있다. 그렇다고 수년 전의 관행과 같이 오직 규정 준수만을 위해 위험을 관리해야 한다는 의미는 아니다. 위험 관리는 기업의 전체적인 운영 DNA에 포함되어야 한다.

사이버 위험 평가, 고유한 기술 역량 필요
전체적인 비즈니스 위험 관리는 전 세계 모든 비즈니스 스쿨의 강의 과목이지만 사이버 위험을 이해하기 위해서는 고유한 기술과 경험의 조합이 필요하다. 위험 분석 업체 리스크 베이스드 시큐리티(Risk Based Security)의 부사장 잉가 고디진은 "여러 분야에 걸친 작업"이라며, "IT 보안 관리자가 허용되는 위험 수준에 대한 전략적 의사 결정의 책임을 단독으로 지도록 해서는 안 된다. 조직은 충분한 보안을 위해 해야 할 일을 파악하고 이를 위한 프로세스를 이해하는 데 많은 시간과 생각을 투자해야 한다"고 말했다.

위험 평가 관련 전문가인 데이비드 프라우드는 "전후 맥락이 없는 보안에는 비즈니스 혜택이 없다"고 말했다. 어려운 점은 이 맥락을 파악할 줄 아는 인력을 찾는 것이다. 프라우드는 위험 평가가 프로젝트를 시작할 때가 아닌 끝날 때하는 경우가 많다는 점을 지적하면서 "위험 평가는 극히 협소한 분야로 취급되면서 지금까지 비즈니스에 진정한 가치를 더하는 과정으로 인정받지 못했다"고 말했다.

더 나은 위험 평가를 위한 프로세스 개선
IT 보안 관리 직원은 이제 전체적인 비즈니스와 보안 맥락 관점에서 위험을 더 정확히 파악해야 한다. 이를 위해서는 다른 이해관계자와 협력해서 위험을 적절히 우선순위화하고 위험 평가 및 모니터링에서 각자의 역할을 재정의해야 한다. 이는 다음과 같이 3단계로 진행된다.

- 1단계, 경영진 설득
이사회를 포함한 고위 경영진의 적극적인 동참이 필요하다. 프라우드는 모든 이해관계자가 동의할 수 있는 "위험 명부"를 작성하려면 비즈니스 자산을 프로세스에 매핑하기 위한 절차가 필요하다고 말했다. 자코는 "위험 관리를 CISO의 일상적인 운영 업무에서 분리해야 한다. 이 부분에 더 많은 견제와 균형이 필요하다"고 말했다. 프라우드는 "최고 위험 책임자(chief risk officer)"라는 새로운 직책을 제안했다. 최고 위험 책임자는 CEO 또는 CIO에게 직접 보고하고 이사회 회의에 상시 참석한다. 비즈니스의 주요 위험 지표를 파악하고 회사가 수용할 수 있는 임계치를 설정하는 것도 이 사람의 임무다.

위험 관리 서비스 제공업체인 시큐번트 시큐리티 서비스(Secuvant Security Services) CEO 라이언 레이튼은 "사이버 위험 관리를 다른 모든 비즈니스 위험 안에 포함해야 하며 CISO는 필요한 수준의 서비스와 보안을 제공할 방법을 알아내야 한다"면서, "많은 기업은 기술적인 관점에서 사이버보안에 대처하고 있는데, 위험 관리 우산 아래에 두고 경영진이 주도해야 한다"고 말했다.

애리조나 주 CISO인 마이크 레트먼은 새 위험 관리 툴 구매를 추진하면서 초기에 모든 주 정부 고위 관료를 설득해야 할 필요성을 체감했다. 레트먼은 "모두가 변화에 저항하지만, 이것이 중요한 이유를 설득하고 신뢰를 구축해 주 정부에서 자산을 보호할 수 있도록 돕고 내가 하는 일의 가치를 보여 수 있어야 한다"고 말했다. 레트먼은 위험 관리 시스템을 설치한 후 IT 네트워크에서만 2만 개 이상의 취약한 시스템을 찾았다면서 "온갖 종류의 구성 문제가 있었다"고 전했다.

- 2단계, 정기적인 취약점 평가 빈도 높이기
무엇이 포함되고 포함되지 않는지, 또는 어떻게 측정하는 지에 대한 이야기에서 벗어나 이제 일관적이고 전사적인 무언가를 구현해야 할 시점이다. 레이튼은 "사이버 기반 위험을 포함한 비즈니스 환경을 이해하는 것이 위험 관리에서 가장 효과적인 요소"라고 말했다. 즉, 비즈니스를 이끄는 동력이 무엇인지, 비즈니스에 가장 큰 영향을 미치는 위험이 무엇인지를 아는 것이다.

애리조나 주의 레트먼은 "취약점 평가는 무의미한 유행어에 불과하다"면서, "활동에 실제로 포함되는 것이 무엇인지를 파악해야 한다. 이상적으로는 평가를 더 세분화해 단순히 어느 디바이스가 패치되고 적절히 적용되었는 지를 보여주는 것이 아니라 디바이스의 구성이 수정되었는지 여부까지 알 수 있어야 한다. 위험 관리는 계획적이고 일관적이고 복잡한 활동이다. 헌신과 훈련이 필요하다"고 설명했다.

- 3단계, 개별적이 아닌 지속적인 위험 평가 수행
지금까지 많은 기업에서 위험 관리를 위한 주 소프트웨어 도구는 마이크로소프트 엑셀로 작성된, 수동으로 업데이트되고 비정기적으로 배포되는 프로젝트 목록이었다. 이 방법은 더 이상 통하지 않는다.

자코는 "대부분의 기업은 아직 필요한 수준에 한참 이르지 못했다"면서, "기업 고객의 대부분은 이제 막 시작한 단계다. 문제는 기업은 더 이상 매 분기마다 개별적인 프로덕션 릴리스를 실행하는 정적인 객체가 아니라는 것이다. 요즘 기업은 웹, 모바일과 같은 다양한 디바이스를 통해 고객과 더 빈번하게 교류한다. 매일, 심지어 매시간 소프트웨어가 업데이트된다. 2시간 전에 설치한 앱의 코드는 오늘 아침 프로덕션에 사용한 앱의 코드와 다르다. 이는 지속적으로 위험을 평가해야 함을 의미한다"고 말했다. editor@itworld.co.kr