보안, 비즈니스와 더 가까워진다

가트너 전망에 따르면 올해 정보 보안과 리스크 관리 제품 및 서비스에 대한 지출이 11.3% 증가하여 1,883억 달러 이상에 이른다. 그러나 이러한 지출에도 불구하고 이미 애플, 메타 및 트위터 등에서, 최소 13건의 중대한 데이터 침해 사고가 발생했다. 일부 최고 정보 보안 책임자(CISO)는 IT 시스템뿐 아니라 비즈니스 데이터, 애플리케이션 및 프로세스에 대해서도 리스크 평가를 진행하고 있다.

복리후생 관리 소프트웨어 공급업체인 플랜소스의 부사장 겸 CISO인 데이비드 크리스텐슨은 “보안을 순수하게 기술적인 관점에서 본다면 함정에 빠지기 쉽다. ‘이 빛나는 물건을 나도 가져야 한다’는 생각이 드는 것이다. 하지만 대중적이고 지명도 높은 보안 솔루션은 비즈니스 목표와 맞지 않을 경우 비용을 낭비하고 비즈니스를 더디게 만들 수 있다. 비즈니스의 한 부분을 보호하는 데 도움이 되더라도 가장 중요한 부분이 아닐 수 있다”라고 말했다.

관리형 서비스 공급업체 FNTS의 CISO인 돈 페차도 동의했다. 그는 “회사의 각 사업부는 고유한 고려사항과 고유한 규정 준수, 규제사항 또는 개인 정보 보호 애플리케이션을 가질 수 있으며, 각 사업부는 이사회나 최고경영진들이 고려해야 할 고유한 리스크를 안고 있을 수 있다”라고 덧붙였다.

벤처 캐피털 회사 YL 벤처의 전속 CISO이자 산스 연구소의 펠로우인 프랭크 킴은 비용이 많이 드는 엔드포인트 탐지를 제안한 후 해고된 한 CISO의 사례를 언급했다. 킴은 “그가 소속된 스타트업의 초점은 생존과 수익 증대에 있었다. 그는 자신의 일이 단순히 새로운 보안 기능을 제안하는 것이 아니라 비즈니스 지원이라는 것을 깨닫지 못했다”라고 말했다.
 

 

가치의 새로운 정의

비즈니스에 맞게 보안을 조정한다는 것은 해킹으로 인한 결과를 경고하거나 ROI 입증을 통해 보안 지출을 정당화하는 기존 방식을 넘어선다. 킴은 내부 엔터프라이즈 보안 팀이라면 코스트 센터임을 인정하고 CISO가 시간이 지남에 따라 총 소유 비용을 관리하는 방법을 입증해야 한다고 말했다. 여기에는 보안 공급업체와의 비용 절감, 보안 요구 사항을 충족하기 위해 더 저렴한 제품 찾기, 취약성 완화를 위한 평균 비용과 같은 내부 측정 기준 개선 등 특정 비용 절감에 대해서 CFO와 CEO에게 업데이트하는 것이 포함될 수 있다.

금융 서비스 제공업체 오포턴의 SVP 및 CISO인 타이슨 콥친스키는 또한 보안이 비용을 절감하거나 생산성을 높일 수 있는 방법을 설명할 것을 제안한다. 예를 들어, 그는 웹 애플리케이션 방화벽이 애플리케이션을 보호할 뿐만 아니라 허위 및 악의적인 트래픽을 줄임으로써 네트워킹 비용을 절감한다고 전했다. 

또한 제로 트러스트 아키텍처와 보안 액세스 서비스 에지 기술을 채택하면 사용자가 수동으로 가상 사설 네트워크를 구축하여 리소스에 액세스하거나 VPN에 장애가 발생할 때 회의를 중단할 필요가 없어 생산성을 높일 수 있다. 콥친스키는 CISO가 조직이 보안 툴의 모든 기능을 사용하고 있는지, 이러한 기능이 다른 툴과 중복되는지, 조직이 라이선스에 대해 너무 많은 비용을 지불하는지, 너무 많은 라이선스에 대해 지불하는지 등과 같은 질문을 통해 그러한 개선 사항을 파악할 수 있다고 덧붙였다. 

가치를 극대화하는 방법으로는 여러 보안 기능을 수행하는 툴을 고려하거나, 툴이 영향력이 높은 공격을 방지할 수 있다는 것을 입증하는 침투 테스트, 공격 시뮬레이션 또는 공격적인 보안 캠페인을 실행하는 것 등이 있다. 

그의 경우 타이타니엄 암호화 엔진을 사용하여 아마존 및 마이크로소프트와 같은 클라우드 공급업체가 제공하는 보안 툴뿐만 아니라 여러 데이터 보호 사용 사례를 지원한다. 그는 “우리는 또한 하나의 특정 사용 사례를 해결하는 것이 아니라 여러 보호 세트를 제공하는 일반적인 클라우드 보안 솔루션에 대해서도 눈여겨 보고 있다”라고 말했다.

글로벌 마케팅 에이전시이자 컨설팅 회사인 더 채널 컴퍼니에서는 비즈니스 전략과 예산 책정에 보안이 깊숙이 내재되어 있다고 CIO인 릭 라이트는 말했다. 유럽 연합의 GDPR 충족 필요성에서부터 고객의 보안 요구 사항 준수에 이르기까지 다양한 범위에 걸쳐서다.

위협을 회피하는 것도 이 업체의 보안 가치 방정식 중 일부이다. 이 업체는 인프라에 대해서 그리고 보안 요구사항을 충족시키기 위해서 관리형 서비스 공급업체인 그린페이지를 이용한다. 라이트는 랜섬웨어 공격 후 최대 2,000만 달러에 달하는 잠재적으로 비즈니스를 위협할 수 있을 만큼의 지출을 경험한 적이 있다고 말했다. 따라서 이러한 손실을 방지하는 것이 매우 실질적인 가치라고 그는 말했다.
 

비즈니스 필요사항 이해하기

보안 지출을 비즈니스 요구에 맞추는 것은 비즈니스 차원에서 가장 중요한 것이 무엇인지 이해하는 것에서 시작한다. 킴은 ‘리스크 = 영향 x 가능성’ 공식을 사용하고 가장 중요한 프로세스와 자산이 무엇인지 1-10의 척도로 이해할 것을 권장했다. 그는 “재무 데이터는 10이지만 HR 데이터는 비즈니스 차별화 요소가 아니기 때문에 7일 수 있다. 리스크 계산에 단순한 점수 매기기 루브릭을 사용하는 것만으로도 우선순위를 구체화할 수 있다”라고 말했다.

비즈니스 외에도 CISO는 새로운 보안 기술이 부과할 수 있는 행정상의 부담과 그 가치를 극대화하기 위해 보안 툴을 사용할 수 있는 모든 영역을 이해하기 위해 IT와 협의해야 한다고 크리스텐센은 말했다. 그는 dope.security에서 보안 웹 게이트웨이를 사용하여 액세스를 제어할 뿐만 아니라 사용자가 액세스하는 정보 및 웹 사이트가 무엇인지 그리고 그것들이 비즈니스를 노출시키는 잠재적 위험을 파악하고 있다.

산업 표준 프레임워크는 또한 NIST(National Institute of Standards and Technology) 사이버 보안 프레임워크와 같이 리스크 평가를 위한 공통 언어와 구조도 제공할 수 있다. 크리스텐센은 “간단하지만 성숙도를 모델링하고 비즈니스 이해 관계자와 연결하는 데 도움이 된다”라며 CISO 개인의 의견이 아닌 업계 표준을 기반으로 하며 새로운 리스크를 반영하도록 지속적으로 업데이트된다고 덧붙였다.

상이한 산업에는 상이한 보안 프레임워크가 적합하다고 페차는 말했다. 그는 “내가 정부에서 일한다면, 나는 NIST와 협력할 것이다. 글로벌 기업에서 일한다면 ISO/IEC 27000 표준 제품군을 사용하라. 인증을 받을 필요는 없지만, 파트너의 보안 요구사항뿐 아니라 자신의 보안 요구사항을 이해하기 위해 규정을 준수하고 제대로 된 제어 기능이 무엇인지 이해해야 한다”라고 말했다.

제조업체 존 맨빌의 수석 보안 및 네트워크 엔지니어링 관리자인 스콧 레이놀즈는 ISA/IEC 62443 표준을 사용하여 공통 보안 요구사항을 공유하는 자산의 ‘영역’과 같은 공통 용어에 대해 비즈니스 관리자, 보안 전문가 및 공급업체 간에 공통의 이해를 형성하고 있다. 그는 “이 프로세스는 또한 우리가 해당 영역의 각 자산뿐만 아니라 전체 영역에 대한 동일한 위험 수준에 동의한다는 것을 보여준다”라고 말했다.

미디어 제작 및 편집 기술 제공업체인 아비드 테크놀로지의 CISO이자 CSO인 드미트리 소콜로프스키는 NIST의 사이버보안 프레임워크을 사용하여 보안 프로세스의 완성도와 특정 전술적 지침에 대한 인터넷 보안 센터의 보안 제어를 측정하고 있으며, 이는 기업이 그들의 인프라에서 쉽게 해결할 수 있는 가장 간단한 목표라고 그는 힘줘서 말했다.
 

벤치마크에 주의 사항 적용

몇몇 CISO는 벤치마크를 사용하여 보안 지출을 다른 업체와 비교하는 것에 대해 회의적이었다. 기업이 보안 지출을 다르게 정의하거나 요구 사항이 다를 수 있기 때문이다. 또한 벤치마크는 조직이 보안 예산을 할당하는 방법과 이유를 설명하지 못할 수 있다. 이로 인해 그들은 벤치마크를 주로 자체 리스크 평가에 의존하여 예산 책정에 대한 대략적인 지침으로 사용하고 있다.

그러나 킴은 CISO들에게 벤치마킹과 관련해 최고 경영진의 요구를 거부하지 말라고 경고했다. 그는 “벤치마크를 요구하는 것은 불합리한 것이 아니다. 최고 재무 책임자가 ‘우리는 우리의 주당 이익을 업계의 다른 업체들과 비교할 수 없다’고 말할 수 없는 것과 비슷하다”라고 말했다. 

하지만 벤치마크를 제공하는 것은 기업의 보안 지출을 다른 업체들과 비교하는 방법, 조직이 직면한 과제 및 시간이 지남에 따라 보안의 총 소유 비용을 절감하는 방법에 대한 보다 광범위한 설명의 일부인 것이 사실이라고 그는 말했다.

페차는 “CISO는 현재의 위협과 공격을 설명해야 한다”라고 말하며 이를 해결할 수 있는 대안을 제시해야 한다고 전했다다. 비즈니스에 대한 전반적인 리스크를 관리하기 위해 무엇이 수용 가능하고 무엇을 해야 하는지를 결정하는 것은 이사회와 최고경영진에 달려 있다. 왜냐하면 변화를 주도할 수 있는 영향력은 그들에게만 있기 때문이다.

서면으로라도 경영진이 공식적으로 비즈니스 리스크를 수용해야 한다고 주장하게 되면 대신 제안된 보안 지출에 동의하도록 그들이 설득되는 경우가 많다. 소콜로프스키가 그러한 승인을 주장했을 때, “사업부는 실제로 리스크를 낮추도록 노력했다”라고 말했다.

비즈니스에 초점을 맞춘 접근 방식으로 인해 중복된 시스템 및 프로세스를 제거하는 등 보안 및 비즈니스 팀이 효율성을 높이고 비용을 절감할 수 있는 기회를 식별하는 데 박차를 가할 수 있다라고 크리스텐센은 말했다. 그는 “비즈니스 조정을 통해 비즈니스 운영 방식에 따라 발생하는 문제를 해결할 수 있는 고유하고 혁신적인 방법을 찾을 수밖에 없다”라고 말했다.
ciokr@idg.co.kr