넘버스자료 제목 :
자료 출처 :
발행 날짜 :
1970년 01월 01일
가트너가 28일(현지 시간) 시드니에서 열린 ‘가트너 보안 및 위험 관리 서밋(Gartner Security & Risk Management Summit)’에서 주요 사이버보안 전망을 발표했다. 가트너에 따르면, 전세계 CISO 중 절반 가까이가 사이버보안 운영 마찰을 줄이기 위해 사람 중심 설계를 채택할 것으로 보인다. 대기업은 제로 트러스트 프로그램 구현에 집중할 것이며, 사이버보안 리더의 절반이 사이버 위험 정량화를 사용한 의사 결정에 실패하는 경험을 하게 될 것으로 전망된다.
이날 오프닝 기조 연설에서 가트너의 시니어 디렉터 애널리스트인 리차드 애디스콧과 가트너 어드바이저리의 시니어 디렉터인 리사 노이바우어는 디지털 시대에 보안 및 위험 관리 리더의 성공에 도움을 줄 수 있는 주요 전망을 발표했다.
애디스콧은 “CISO와 그 팀이 조직의 보안을 최대한 유지하기 위해 현재 일어나고 있는 일에 집중해야 한다는 건 의심의 여지가 없는 부분”이라며, “그러나 일상적인 과제에서 벗어나 향후 몇 년 동안 보안 프로그램에 영향을 미칠 수 있는 일이 무엇인지 살필 시간을 가져야 한다”라고 말했다.
가트너는 사이버보안 리더가 향후 2년간의 보안 전략에 대해 다음과 같은 8가지 전망을 고려해야 한다고 강조했다.
2027년까지 CISO의 50%는 운영상의 마찰을 최소화하고 제어를 극대화하기 위해 사이버보안 프로그램에 사람 중심 설계 방식을 공식적으로 채택할 것이다.
가트너 조사에 따르면, 업무 중 위험한 행동을 했다고 인정한 직원의 90% 이상이 자신의 행동이 조직에 위험을 높일 수 있다는 점을 알고 있었음에도 그렇게 행동했다고 답했다. 사람 중심의 보안 설계는 제어 설계 및 구현 모델링 시 기술, 위협 또는 위치가 아닌 개인을 중심으로 하므로 마찰을 최소화한다.
2024년까지 최신 개인정보 보호 규제는 소비자 데이터 대부분을 포함할 전망이다. 그러나 개인정보 보호를 경쟁 우위 선점을 위한 무기로 활용하는 데 성공한 조직은 10%가 되지 않을 것으로 보인다.
많은 기업이 개인정보 보호 프로그램을 통해 데이터를 더욱 광범위하게 사용하고 경쟁사와 차별화하며, 고객, 파트너, 투자자 및 규제 기관과 신뢰 관계를 구축할 수 있다는 사실을 인지하기 시작했다. 점점 경쟁이 치열해지는 시장에서 기업을 차별화하고 끊임없이 성장시키려면, 보안 리더는 GDPR에 따라 포괄적인 개인정보 보호 표준을 시행해야 한다.
2026년까지 대기업의 10%가 포괄적이고 성숙하며 측정 가능한 제로 트러스트 프로그램을 갖출 전망이다. 이는 현재 1%에서 크게 증가한 수치다.
성숙하고 광범위하게 배포된 제로 트러스트 구현은 여러 다른 구성 요소의 통합 및 배열을 필요로 하기 때문에 상당히 기술적이고 복잡할 수 있다. 성공 여부는 비즈니스 가치로 전환할 수 있는지에 의해 크게 좌우된다. 소규모로 시작하면 끊임없이 진화하는 제로 트러스트 사고방식을 통해 프로그램의 이점을 더 쉽게 파악하고 복잡성을 단계적으로 관리할 수 있다.
2027년까지 직원의 75%가 IT 가시성 밖에서 기술을 획득, 변경 및 개발할 것이다. 이는 2022년 41%에서 증가한 수치다.
CISO의 역할과 책임 범위는 통제 책임자(Control Owner)에서 리스크 결정 조력자(Risk Decision Facilitator)로 변화하고 있다. 사이버보안 운영 모델을 재구성하는 것이 다가올 변화의 핵심이다. 기술과 자동화를 넘어 직원과 깊이 소통해 의사 결정에 영향을 미치고 직원이 적절하게 행동하는 데 필요한 지식을 갖추도록 해야 한다.
2025년까지 사이버보안 리더의 50%가 사이버 위험을 정량화함으로써 기업의 의사 결정을 주도하려고 시도했으나 실패할 것이다.
가트너에 따르면, 사이버 위험 정량화를 도입한 기업 중 62%가 신뢰도 및 사이버 위험 인식 등 약간의 이익을 얻었다. 그러나 위험 감소, 비용 절감, 실질적인 의사 결정 영향력 등 실행 기반의 성과를 달성한 기업은 36%에 불과했다. 보안 리더는 자기 주도적인 분석을 통해 비즈니스의 관심을 끌기 위해 설득 대신 의사 결정권자가 요구하는 정량화에 역량을 집중해야 한다.
2025년까지 절반에 가까운 사이버보안 리더가 직업을 바꿀 것이며, 25%는 업무 관련 스트레스로 인해 다른 직무로 전환할 것이다.
코로나19 팬데믹과 업계 전반의 인력 부족으로 인해 사이버보안 전문가의 업무 스트레스 요인이 증가하고 있으며, 지속적인 업무가 불가능한 수준에 이르렀다. 스트레스를 완전히 없애는 것은 현실적으로 어렵지만, 이들이 지원을 받을 수 있는 문화를 갖춘다면 도전적이고 스트레스가 많은 업무를 관리할 수 있을 것이다. 참여 방식을 바꾸면 문화적 변화를 촉진하는 데 도움이 될 것이다.
2026년까지 70%의 이사회에 사이버보안 전문성을 갖춘 이사가 1명 이상 포함될 것이다.
사이버보안 리더가 비즈니스 파트너로 인정받기 위해서는 이사회와 기업이 어떤 리스크에 관심을 가지는지 알아야 한다. 이는 사이버보안 프로그램을 통해 불리한 상황이 발생하지 않도록 방지하는 방법뿐 아니라 위험 감수 능력을 효과적으로 향상하는 방법을 보여줘야 한다는 뜻이다. CISO는 변화에 앞서 이사회에 사이버보안을 촉진 및 지원하고 긴밀한 관계를 구축하여 신뢰와 지원을 개선해야 한다.
2026년까지 TDIR 기능의 60% 이상이 탐지된 위협의 유효성 검증 및 우선 순위 지정을 위해 노출 관리 데이터를 활용할 것이다. 이는 현재 5% 미만에서 증가한 수치다.
SaaS 및 클라우드 애플리케이션 사용과 연결성 증가 등으로 인해 조직의 공격 표면이 확장됨에 따라, 기업은 위협과 노출을 지속적으로 모니터링할 수 있는 더 광범위한 가시성과 및 중앙 집중화된 장소를 필요로 한다. TDIR(Threat Detection, Investigation, and Response) 기능은 탐지, 조사, 대응을 관리할 수 있는 통합 플랫폼 또는 플랫폼 생태계를 제공해 보안운영팀이 위험과 잠재적 영향을 완벽하게 파악할 수 있도록 한다.
editor@itworld.co.kr
이날 오프닝 기조 연설에서 가트너의 시니어 디렉터 애널리스트인 리차드 애디스콧과 가트너 어드바이저리의 시니어 디렉터인 리사 노이바우어는 디지털 시대에 보안 및 위험 관리 리더의 성공에 도움을 줄 수 있는 주요 전망을 발표했다.
애디스콧은 “CISO와 그 팀이 조직의 보안을 최대한 유지하기 위해 현재 일어나고 있는 일에 집중해야 한다는 건 의심의 여지가 없는 부분”이라며, “그러나 일상적인 과제에서 벗어나 향후 몇 년 동안 보안 프로그램에 영향을 미칠 수 있는 일이 무엇인지 살필 시간을 가져야 한다”라고 말했다.
가트너는 사이버보안 리더가 향후 2년간의 보안 전략에 대해 다음과 같은 8가지 전망을 고려해야 한다고 강조했다.
2027년까지 CISO의 50%는 운영상의 마찰을 최소화하고 제어를 극대화하기 위해 사이버보안 프로그램에 사람 중심 설계 방식을 공식적으로 채택할 것이다.
가트너 조사에 따르면, 업무 중 위험한 행동을 했다고 인정한 직원의 90% 이상이 자신의 행동이 조직에 위험을 높일 수 있다는 점을 알고 있었음에도 그렇게 행동했다고 답했다. 사람 중심의 보안 설계는 제어 설계 및 구현 모델링 시 기술, 위협 또는 위치가 아닌 개인을 중심으로 하므로 마찰을 최소화한다.
2024년까지 최신 개인정보 보호 규제는 소비자 데이터 대부분을 포함할 전망이다. 그러나 개인정보 보호를 경쟁 우위 선점을 위한 무기로 활용하는 데 성공한 조직은 10%가 되지 않을 것으로 보인다.
많은 기업이 개인정보 보호 프로그램을 통해 데이터를 더욱 광범위하게 사용하고 경쟁사와 차별화하며, 고객, 파트너, 투자자 및 규제 기관과 신뢰 관계를 구축할 수 있다는 사실을 인지하기 시작했다. 점점 경쟁이 치열해지는 시장에서 기업을 차별화하고 끊임없이 성장시키려면, 보안 리더는 GDPR에 따라 포괄적인 개인정보 보호 표준을 시행해야 한다.
2026년까지 대기업의 10%가 포괄적이고 성숙하며 측정 가능한 제로 트러스트 프로그램을 갖출 전망이다. 이는 현재 1%에서 크게 증가한 수치다.
성숙하고 광범위하게 배포된 제로 트러스트 구현은 여러 다른 구성 요소의 통합 및 배열을 필요로 하기 때문에 상당히 기술적이고 복잡할 수 있다. 성공 여부는 비즈니스 가치로 전환할 수 있는지에 의해 크게 좌우된다. 소규모로 시작하면 끊임없이 진화하는 제로 트러스트 사고방식을 통해 프로그램의 이점을 더 쉽게 파악하고 복잡성을 단계적으로 관리할 수 있다.
2027년까지 직원의 75%가 IT 가시성 밖에서 기술을 획득, 변경 및 개발할 것이다. 이는 2022년 41%에서 증가한 수치다.
CISO의 역할과 책임 범위는 통제 책임자(Control Owner)에서 리스크 결정 조력자(Risk Decision Facilitator)로 변화하고 있다. 사이버보안 운영 모델을 재구성하는 것이 다가올 변화의 핵심이다. 기술과 자동화를 넘어 직원과 깊이 소통해 의사 결정에 영향을 미치고 직원이 적절하게 행동하는 데 필요한 지식을 갖추도록 해야 한다.
2025년까지 사이버보안 리더의 50%가 사이버 위험을 정량화함으로써 기업의 의사 결정을 주도하려고 시도했으나 실패할 것이다.
가트너에 따르면, 사이버 위험 정량화를 도입한 기업 중 62%가 신뢰도 및 사이버 위험 인식 등 약간의 이익을 얻었다. 그러나 위험 감소, 비용 절감, 실질적인 의사 결정 영향력 등 실행 기반의 성과를 달성한 기업은 36%에 불과했다. 보안 리더는 자기 주도적인 분석을 통해 비즈니스의 관심을 끌기 위해 설득 대신 의사 결정권자가 요구하는 정량화에 역량을 집중해야 한다.
2025년까지 절반에 가까운 사이버보안 리더가 직업을 바꿀 것이며, 25%는 업무 관련 스트레스로 인해 다른 직무로 전환할 것이다.
코로나19 팬데믹과 업계 전반의 인력 부족으로 인해 사이버보안 전문가의 업무 스트레스 요인이 증가하고 있으며, 지속적인 업무가 불가능한 수준에 이르렀다. 스트레스를 완전히 없애는 것은 현실적으로 어렵지만, 이들이 지원을 받을 수 있는 문화를 갖춘다면 도전적이고 스트레스가 많은 업무를 관리할 수 있을 것이다. 참여 방식을 바꾸면 문화적 변화를 촉진하는 데 도움이 될 것이다.
2026년까지 70%의 이사회에 사이버보안 전문성을 갖춘 이사가 1명 이상 포함될 것이다.
사이버보안 리더가 비즈니스 파트너로 인정받기 위해서는 이사회와 기업이 어떤 리스크에 관심을 가지는지 알아야 한다. 이는 사이버보안 프로그램을 통해 불리한 상황이 발생하지 않도록 방지하는 방법뿐 아니라 위험 감수 능력을 효과적으로 향상하는 방법을 보여줘야 한다는 뜻이다. CISO는 변화에 앞서 이사회에 사이버보안을 촉진 및 지원하고 긴밀한 관계를 구축하여 신뢰와 지원을 개선해야 한다.
2026년까지 TDIR 기능의 60% 이상이 탐지된 위협의 유효성 검증 및 우선 순위 지정을 위해 노출 관리 데이터를 활용할 것이다. 이는 현재 5% 미만에서 증가한 수치다.
SaaS 및 클라우드 애플리케이션 사용과 연결성 증가 등으로 인해 조직의 공격 표면이 확장됨에 따라, 기업은 위협과 노출을 지속적으로 모니터링할 수 있는 더 광범위한 가시성과 및 중앙 집중화된 장소를 필요로 한다. TDIR(Threat Detection, Investigation, and Response) 기능은 탐지, 조사, 대응을 관리할 수 있는 통합 플랫폼 또는 플랫폼 생태계를 제공해 보안운영팀이 위험과 잠재적 영향을 완벽하게 파악할 수 있도록 한다.
editor@itworld.co.kr
Tags
가트너
추천기사
