Credit: Getty Images Bank
그러나 위험 관리가 오늘날 비즈니스 운영의 필수 요소라는 인식은 여전히 부족하다. 실리콘 리퍼블릭(Silicon Republic)에서 인용한 PwC 연구에 따르면, 아일랜드 기업의 40%는 위험 관리를 전혀 하지 않고 있다.
지난해 여름에 발행된 가트너의 IT 위험 관리 보고서는 갈수록 커지는 위험 관리 분야의 복잡성에 대처하기 위해 시장을 감사, 공급업체 위험 관리, 운영 위험을 비롯한 7개 영역으로 분할했다. 가트너는 서비스나우(ServiceNow), 델/RSA 아처 등을 포함한 10개 공급업체에 대한 매직 쿼드런트도 발표했다. 이 보고서에 따르면 IT 구매자들이 폭넓은 조건과 워크플로우에 걸쳐 배포가 가능한 종합적인 솔루션을 원하면서 시장도 빠르게 발전하고 있다.
변화의 속도가 워낙 빨라서 불과 1년 전에 나온 보고서도 일정 부분은 지금 시점에 맞지 않는다. 변화된 부분을 살펴보고, 프로세서를 개선하고 조직 구조를 변경하고 비즈니스에 대한 미래의 사이버 위험을 이해하고 대처하기 위해 준비하는 방법을 알아보자.
보안은 이제 모두의 관심사
정보 보안은 이제 엔터프라이즈 전체의 관심사이며, 더 이상 IT 부서만의 영역이 아니다. KPMG의 보안 서비스 부문 책임자인 찰스 자코는 "18개월 전까지 대부분의 기업은 사이버 위험을 온전히 IT 부서의 영역으로 여겼다"고 말했다.
위험 관리 업체 서비스나우의 부사장이자 보안 비즈니스 사업부 총괄 관리자인 숀 콘버리는 "위험 관리는 오늘날의 기업 관점에서 궁극적인 교차 직무(cross-functional) 영역이라고 할 수 있다. 즉, 모든 것을 IT 부서 내부에서 처리했던 시대에 비해 훨씬 더 복잡해졌다"고 말했다.
기업이 더 많은 비즈니스 서비스와 제품을 온라인으로 전환하면서 그 영향도 전사적인 규모로 퍼지고 있다. 콘버리는 "이제 서비스는 조직의 여러 부분에 의해 관리된다. 이는 데이터 사일로의 종말과 위험의 복잡성 증대를 의미한다"고 말했다.
게다가 악성코드 위협이 더 복잡해지고 더 집중화되고 탐지하기가 더 어려워지고 있으며, 데이터 유출은 기업의 모든 사용자에게 영향을 미치면서 고객과 파트너 관계를 해치고 상장 기업의 주가를 떨어트리고 있다.
갈수록 더 엄격해지는 정부의 기업 규제
위험에 따르는 비용이 높아지고 데이터 유출이 발생할 경우 결과적인 비용도 더 커지게 된다. 기업은 대중의 비난과 평판 손실 외에 큰 벌금까지 물어야 할 수 있다. 그렇다고 수년 전의 관행과 같이 오직 규정 준수만을 위해 위험을 관리해야 한다는 의미는 아니다. 위험 관리는 기업의 전체적인 운영 DNA에 포함되어야 한다.
사이버 위험 평가, 고유한 기술 역량 필요
전체적인 비즈니스 위험 관리는 전 세계 모든 비즈니스 스쿨의 강의 과목이지만 사이버 위험을 이해하기 위해서는 고유한 기술과 경험의 조합이 필요하다. 위험 분석 업체 리스크 베이스드 시큐리티(Risk Based Security)의 부사장 잉가 고디진은 "여러 분야에 걸친 작업"이라며, "IT 보안 관리자가 허용되는 위험 수준에 대한 전략적 의사 결정의 책임을 단독으로 지도록 해서는 안 된다. 조직은 충분한 보안을 위해 해야 할 일을 파악하고 이를 위한 프로세스를 이해하는 데 많은 시간과 생각을 투자해야 한다"고 말했다.
위험 평가 관련 전문가인 데이비드 프라우드는 "전후 맥락이 없는 보안에는 비즈니스 혜택이 없다"고 말했다. 어려운 점은 이 맥락을 파악할 줄 아는 인력을 찾는 것이다. 프라우드는 위험 평가가 프로젝트를 시작할 때가 아닌 끝날 때하는 경우가 많다는 점을 지적하면서 "위험 평가는 극히 협소한 분야로 취급되면서 지금까지 비즈니스에 진정한 가치를 더하는 과정으로 인정받지 못했다"고 말했다.
더 나은 위험 평가를 위한 프로세스 개선
IT 보안 관리 직원은 이제 전체적인 비즈니스와 보안 맥락 관점에서 위험을 더 정확히 파악해야 한다. 이를 위해서는 다른 이해관계자와 협력해서 위험을 적절히 우선순위화하고 위험 평가 및 모니터링에서 각자의 역할을 재정의해야 한다. 이는 다음과 같이 3단계로 진행된다.
- 1단계, 경영진 설득
이사회를 포함한 고위 경영진의 적극적인 동참이 필요하다. 프라우드는 모든 이해관계자가 동의할 수 있는 "위험 명부"를 작성하려면 비즈니스 자산을 프로세스에 매핑하기 위한 절차가 필요하다고 말했다. 자코는 "위험 관리를 CISO의 일상적인 운영 업무에서 분리해야 한다. 이 부분에 더 많은 견제와 균형이 필요하다"고 말했다. 프라우드는 "최고 위험 책임자(chief risk officer)"라는 새로운 직책을 제안했다. 최고 위험 책임자는 CEO 또는 CIO에게 직접 보고하고 이사회 회의에 상시 참석한다. 비즈니스의 주요 위험 지표를 파악하고 회사가 수용할 수 있는 임계치를 설정하는 것도 이 사람의 임무다.
위험 관리 서비스 제공업체인 시큐번트 시큐리티 서비스(Secuvant Security Services) CEO 라이언 레이튼은 "사이버 위험 관리를 다른 모든 비즈니스 위험 안에 포함해야 하며 CISO는 필요한 수준의 서비스와 보안을 제공할 방법을 알아내야 한다"면서, "많은 기업은 기술적인 관점에서 사이버보안에 대처하고 있는데, 위험 관리 우산 아래에 두고 경영진이 주도해야 한다"고 말했다.
애리조나 주 CISO인 마이크 레트먼은 새 위험 관리 툴 구매를 추진하면서 초기에 모든 주 정부 고위 관료를 설득해야 할 필요성을 체감했다. 레트먼은 "모두가 변화에 저항하지만, 이것이 중요한 이유를 설득하고 신뢰를 구축해 주 정부에서 자산을 보호할 수 있도록 돕고 내가 하는 일의 가치를 보여 수 있어야 한다"고 말했다. 레트먼은 위험 관리 시스템을 설치한 후 IT 네트워크에서만 2만 개 이상의 취약한 시스템을 찾았다면서 "온갖 종류의 구성 문제가 있었다"고 전했다.
- 2단계, 정기적인 취약점 평가 빈도 높이기
무엇이 포함되고 포함되지 않는지, 또는 어떻게 측정하는 지에 대한 이야기에서 벗어나 이제 일관적이고 전사적인 무언가를 구현해야 할 시점이다. 레이튼은 "사이버 기반 위험을 포함한 비즈니스 환경을 이해하는 것이 위험 관리에서 가장 효과적인 요소"라고 말했다. 즉, 비즈니스를 이끄는 동력이 무엇인지, 비즈니스에 가장 큰 영향을 미치는 위험이 무엇인지를 아는 것이다.
애리조나 주의 레트먼은 "취약점 평가는 무의미한 유행어에 불과하다"면서, "활동에 실제로 포함되는 것이 무엇인지를 파악해야 한다. 이상적으로는 평가를 더 세분화해 단순히 어느 디바이스가 패치되고 적절히 적용되었는 지를 보여주는 것이 아니라 디바이스의 구성이 수정되었는지 여부까지 알 수 있어야 한다. 위험 관리는 계획적이고 일관적이고 복잡한 활동이다. 헌신과 훈련이 필요하다"고 설명했다.
- 3단계, 개별적이 아닌 지속적인 위험 평가 수행
지금까지 많은 기업에서 위험 관리를 위한 주 소프트웨어 도구는 마이크로소프트 엑셀로 작성된, 수동으로 업데이트되고 비정기적으로 배포되는 프로젝트 목록이었다. 이 방법은 더 이상 통하지 않는다.
자코는 "대부분의 기업은 아직 필요한 수준에 한참 이르지 못했다"면서, "기업 고객의 대부분은 이제 막 시작한 단계다. 문제는 기업은 더 이상 매 분기마다 개별적인 프로덕션 릴리스를 실행하는 정적인 객체가 아니라는 것이다. 요즘 기업은 웹, 모바일과 같은 다양한 디바이스를 통해 고객과 더 빈번하게 교류한다. 매일, 심지어 매시간 소프트웨어가 업데이트된다. 2시간 전에 설치한 앱의 코드는 오늘 아침 프로덕션에 사용한 앱의 코드와 다르다. 이는 지속적으로 위험을 평가해야 함을 의미한다"고 말했다. editor@itworld.co.kr
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.