보안

"수용 가능한 위험 수준, CISO가 먼저 알아야" 위험 수용 6단계 제안

Mary K. Pratt  | CSO 2022.03.25
사이버 보안 및 위험 전문가 데이비드 윌킨슨은 위험 수용 논의를 나중으로 미루고 위험 수용범위나 내성이 없다고 말하는 경영진이 있다는 이야기를 들었다.

윌킨슨은 “하지만 모든 기업은 일정 수준의 위험 수용 능력이 있어야 한다”라고 말했다. 위험 수용을 하지 못하는 기업은 기능하지도 못할 것이다.

동시에 위험 수용 능력에 관해 생산적인 대화를 하지 못하는 CISO가 많다는 지표도 있다.

가트너의 조사에 따르면 CISO 중 66%만이 기업의 위험 수용범위를 정의하기 위해 비즈니스 의사결정자와 협업하는 최고의 성과자로 확인되었다. (가트너가 ‘하위 성과자’로 확인한 CISO의 비율은 37%에 불과했다.)

그러나 보안 컨설턴트 크랭크 킴은 CISO일수록 더더욱 이런 대화를 유도해야 한다고 말했다. 위험을 이해하고 기업이 안전하게 수용할 수 있는 위험 수준을 확인하는 것은 사이버 보안 전략에 필요한 정보가 되기 때문이다.
 
ⓒ Getty Images Bank

이때의 의제에는 기업이 피하고 싶어하는 위험, 전가하고 싶은 위험, 완화해야 하는 위험이 포함되어야 한다.

킴은 “감수할 수 있는 위험과 없는 위험을 알아야 한다”라고 말했다. 그는 보안 컨설팅 겸 CISO 자문 기업 씽크섹(ThinkSec)의 설립자이자 SANS 회원 겸 SANS CL(Cybersecurity Leadership)과 SANS CS(Cloud Security) 교육 과정의 책임자다.

보안 전문가들이 CISO가 위험을 적절히 수용할 수 있게 도와주는 핵심 요소에 대해 조언했다.
 

기업에 가장 중요한 것이 무엇인지 파악하라

CISO는 기업이 수용할 의향이 있는 위험에 관한 정보에 기초해 어떤 위험이 어떤 우려를 발생시키는지 파악해야 한다. MITRE 인제뉴어티(Engenuity)의 설립자 존 베이커는 기업의 기술, 데이터, 프로세스뿐 아니라 보호하려는 비즈니스 기능과 결과를 제대로 파악해야 한다고 말했다.

베이커는 “기초를 이해하는 것은 시스템, 처리되는 정보의 종류, 기업에 미치는 영향을 이해하는 것이다. 그리고 위협 영역, 기업 단위에서 관심을 갖는 위협, 위험 관리 컨트롤을 이해하는 것이 중요하다”라고 설명했다.

이런 관점을 지닌 CISO는 기업이 수행하고 거래하는 능력에 있어 어떤 위험이 가장 큰 위협인지 확인할 수 있는 가장 좋은 입장에 있다. 따라서 기업이 견딜 수 있는 위험과 견딜 수 없는 위험에 관한 더욱 생산적인 대화를 나눌 수 있다.

킴은 “기업에 가장 중요한 것이 무엇인지 감각적으로 알 수 있으며, 사이버 위험의 위치와 그 영향에 관한 대화를 나눌 수 있다”라고 말했다.
 

비즈니스 렌즈로 위험을 분석하고 전달하라

킴은 CISO가 몇 년 동안 들어온 교훈을 다시 강조했다. 사이버 위험을 비즈니스 맥락에 적용해야 한다는 것이다. 킴은 “비즈니스 운영을 저해할 문제를 파악하라”라고 경고했다.

모든 사이버 위협의 위험이 항상 같은 것은 아니다. 사이버 보안 교육 및 인증 협회 (ISC)²의 CISO 존 프랑스는 각각의 사이버 위협은 피해 정도가 다르다고 말했다.

예를 들어, 의료 장비 지원 등 생명과 신체를 다루는 업무에 필수적인 시스템은 같은 공격이 자판기를 대상으로 실행되었을 때보다 위험하지 않다.

마찬가지로 CISO는 기업 기술뿐 아니라 비즈니스 기능에 대한 사이버 위협의 영향도 파악하고 순위를 매기며 전달해야 한다. 그래야 다른 임원이 기업 고려사항(비용, 임무, 준법감시 요건 등)에 따라 회피, 전가, 완화, 수용할 위험을 설명할 수 있다.

프랑스는 “위험을 비즈니스 맥락에서 이해하지 못한다면 수용을 선택할 수 없다”라고 요약했다.
 

위험을 수용하기 위해 비즈니스와 협력하라

CISO가 사이버 위험을 비즈니스 맥락에 적용해야 하지만 기업이 회피, 전가, 완화, 수용할 위험을 결정해서는 안 된다.

보스턴 컬리지의 사이버 보안 및 위험 관리 겸임교수 윌킨슨은 “CISO는 위험 수준 설정을 돕는 역할이지 승인하는 사람이 되어서는 안 된다”라고 말했다.

윌킨슨에 따르면 위험에 영향을 받는 사업의 경영진이 승인을 수행해야 한다. 마찬가지로, CISO는 이런 동료들을 위험 관련 논의에 참여시키는 역할을 맡고, 경영진 각각이 자신의 영역에서 수용할 의향이 있는 사이버 위험 수준을 합의해야 한다.

윌킨슨은 “위험 수준은 권한 있는 위험위원회와 이사회를 거쳐 논의해야 한다. 그러나 이런 대화 과정이 없는 경우가 많다. CISO는 항상 비즈니스 참여라는 비법 소스가 빠져 있다고 말하지만, 이것은 절대적으로 중요한 요소”라고 덧붙였다.

또한 전문가는 기업이 논의를 연장해 위험 관리에 대한 접근방식을 분명히 표현하고 정량화해야 한다고 말했다.

킴 역시 위험 관리 프로그램이 성숙한 기업은 기업이 수용할 위험의 유형과 양을 설명하는 위험 수용범위 진술이 있어야 한다고 말했다. 위험을 정량화하고 순위를 매기면 위험이 수용 가능한 수준에서 조치가 필요한 수준으로 바뀔 때를 파악할 수 있다.

보안 임원 팸 니그로도 여기에 동의하며 CISO가 FAIR(Factor Analysis of Information Risk) 방법론을 활용하여 기업 내의 위험을 정량화하고 관리할 수 있다고 말했다.

니그로는 “예를 들어 20가지의 중요한 위험이 있을 때 매일 보안을 담당하지 않는 사람에게 의미를 설명하는 데 도움이 된다”라고 말했다. 
 

위험은 비즈니스가, 관리는 함께

위험 수용 설정은 비즈니스 활동이기 때문에 전문가는 위험에 영향을 받는 기능, 서비스, 제품 등을 담당하는 역할이나 팀이 관리와 책임을 지녀야 한다고 말한다. 

ISACA 협회인 OiT(One in Tech)의 이사인 저메인 M. 스탠리는 “위험 평가 및 위험 관리에 대한 경영진의 약속이 있어야 한다. 기업 경영진 내에 위험 수용 책임자에 대한 이해가 있어야 한다. 이들은 CISO가 아니라 사업부 경영진일 수도 있다. CISO는 기업의 보안을 책임진다. 비즈니스 임원 또는 GM 또는 사장이 영업 부문 또는 프로세스 또는 제품의 위험에 대해 걱정하고 책임을 져야 한다”라고 말했다.

그렇다고 해서 CISO가 이 작업에서 손을 뗄 수 있는 것은 아니라고 그와 다른 전문가들이 덧붙였다.

니그로는 “단지 ‘위험이 있으니 수용하라’라는 의미가 아니다. 위험을 멀리 던지고 남의 문제로 치부할 수는 없다. 이것은 협력관계이다. 보안은 기업에 서비스를 제공하고 보호하기 위해 협력하는 파트너가 되어야 한다”라고 말했다.
 

위험 관리를 지원하는 프레임워크와 도구를 도입하라

스탠리는 CISO와 동료 경영진이 FAIR 등의 위험 관리 방법론을 활용하여 비즈니스 활동 내 위험을 지휘, 관리, 추적해야 한다고 말했다.

그는 “자산에 대한 위험을 확인하고 평가할 때 낮은/중간/보통/높은 영향 등으로 판단해야 하고, 위험의 영향이 12~18개월 이내에 발생할 가능성이 있으므로 먼저 우선순위 설정 여부를 파악한다. 기업 경영진이 자원을 할당할 곳을 결정하고 비즈니스 예산과 전략에 반영하는 데 도움이 된다”라고 말했다.

스탠리는 “그래서 위험 관리 방법론이 위험 평가에 가장 기초가 되는 것”이라고 덧붙였다. 또한 기업 위험 관리 기술 또는 거버넌스, 위험, 준법감시(GRC) 도구뿐 아니라 위험 레지스터의 사용도 권고했다. 위험이 발생할 때, 혹은 시장 및 기업 환경이 바뀔 때 확인과 추적에 도움이 된다는 것이다. 위험이 수용할 수 없는 수준까지 늘어나거나 또는 그 반대의 상황이 발생할 때에도 도움이 된다.
 

위험 수용을 검토하고 재평가하라

소프트웨어 기업 프루프포인트(Proofpoint)의 보안 및 준법감시 전문가이기도 한 스탠리는 위험 수용에 대한 자동 연례 검토 과정을 경험했다며, ‘다이얼을 조절하는’ 기회라고 설명했다.

스탠리와 다른 경영진은 CISO와 기업이 정기적으로 또는 변화에 따라 연례적으로, 또는 더욱 자주 위험 수용 범위와 수준을 평가할 필요성을 강조했다.

킴은 “위험 수용은 위험 관리 프로세스의 일환이며, 검토는 기업의 재조정 주기와 밀접히 관련되어 있다. 그래서 비즈니스의 중대한 변화, 또는 인수 또는 합병이 있을 때마다 검토해야 한다”라고 말했다.

동시에 킴은 “CISO는 질문을 통해 매일 또는 매주 검토해야 한다. 보안은 일상적으로 수렁에 빠지는 경우가 많으며, 항상 비즈니스 부서와 소통하지는 않기 때문이다. 하지만 비즈니스 부문이 매일 또는 정기적으로 스스로를 재평가하듯이 CISO도 비즈니스 부문과 계속 소통하면서 위험을 수용하는 방법을 파악해야 한다. 접근방식 변화를 지속적으로 파악할 수 있는 수준에 오르는 것이 이상적”이라고 조언했다.
editor@itworld.co.kr 
 Tags 위험수용

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.