2021.02.16

글로벌 칼럼 | 비즈니스 임원에게 가장 중요한 사이버 보안 토픽

Jon Oltsik | CSO
업계에서는 사이버 보안이 기업의 이사회와 고위 경영진에게 가장 중요한 토픽이라고 흔히 말한다. 하지만 ESG의 최근 조사 결과에 따르면, 일부만 맞는 말이다. 선임 사이버 보안 관리자 및 비즈니스 관리자 중 58%는 소속 조직 고위 경영진의 사이버 보안에 대한 지원이 매우 좋다고 답한 반면, 42%는 고위 경영진의 보안에 대한 지원이 적절하거나 괜찮거나 빈약하다고 답했다. 그렇게 좋은 결과는 아니다. 
 
ⓒ Getty Images Bank

또한 경영진에게 가장 중요한 사이버 보안 토픽이 무엇인지도 물었는데, 그 결과 역시 흥미롭다.
 
  • 데이터 프라이버시. 응답자 35%가 가장 중요한 토픽으로 꼽았으며, GDPR이나 CCPA 같은 규제를 고려하면 당연한 결과이다. 과거에는 데이터 프라이버시가 법무팀의 담당이었지만, 규제가 확대되면서 CISO도 데이터 프라이버시를 운영할 수 있게 하라는 요청을 받고 있다. 다시 말해, 보안팀은 데이터 디스커버리나 새로운 데이터 보안 통제 도입, 데이터 제거용 기술 조정 같은 일을 맡게 됐다. GDPR 역시 막대한 벌금을 물 수 있기 때문에 경영진은 주의를 집중하고 있다. GDPR이 시작된 유럽 지역의 조직은 39%가 데이터 프라이버시에 높은 우선순위를 부여한 반면, 북미 기업은 33%로 그보다 적었다.
 
  • 현존 사이버 위협. 거의 1/3의 비즈니스 및 사이버 보안 책임자가 경영진이 현재의 사이버 위협을 알고 싶어한다고 답했다. 정확하게 말하자면, CEO는 감염의 징조나 마이터 공격(MITRE ATT&CK) 프레임워크 기법 같은 세부적인 내용에는 관심이 없다. 하지만 전반적으로 어떤 일이 일어나고 있는지, 관련 업계에서는 무슨 일이 일어나고 있으며, 조직이 취약한지 여부, 위험을 경감하려면 무엇이 필요한지 등등은 자세히 알고자 한다. 이번 조사에 참여한 많은 CISO가 경영진이나 이사회를 위한 위협 보고서를 선제적으로 작성하며, 특히 주목할 만한 대형 데이터 유출 사고가 발생한 직후에 이런 보고서를 제출한다.
 
  • 사이버 보안 문화 및 교육. 29%의 응답자가 주요 토픽으로 꼽았지만, 이것만으로는 실상을 알 수 없다. 이번 조사의 일환으로 ESG는 조직을 두 가지 범주로 나누는 점수 시스템을 만들었다. 기업 내에서 사이버 보안을 강조하는 조직은 ‘뛰어난 보안’ 범주로, 사이버 보안에 대한 지지를 최소화한 조직은 ‘괜찮은 보안’ 범주로 나누었다. 이 분류를 사용하면, 뛰어난 보안 범주의 조직 중 39%가 문화와 교육에 우선순위를 두고 있으며, 괜찮은 보안 범주의 조직은 24%에 불과했다. 

이런 차이는 오늘날 사이버 보안의 축소판이라고 해도 과언이 아니다. 뛰어난 보안 범주의 조직은 사이버 보안 문화를 기반 요소로 구축되어 있으며, 그만큼 인력과 프로세스 수준에서도 더 보안성이 높다. 또한 비즈니스 민첩성이나 IT 복구성 같은 영역에서도 뛰어난 편이다. 괜찮은 보안 범주의 조직은 여전히 사이버 보안을 기술과 컴플라이언스 관점에서 생각한다. 이런 조직은 기본적인 것만을 보장하는데, 2006년 PCI DSS가 처음 도입됐을 때와 마찬가지이다.

최상위 3가지 외에도 살펴볼 필요가 있다. 예를 들어, 23%의 응답자가 핵심 비즈니스 이니셔티브와 보안의 일치가 경영진에게 중요한 토픽이라고 답했다. 많은 조직에서 사이버 보안이 연결되어 있지 않다는 것을 보여주는 결과로, 여기서 책임 소재는 IT와 보안 책임자에게 있다. 기술 인력 중에는 19%만이 이 토픽이 중요하다고 답한 반면, 비즈니스 임원은 29%가 우선순위가 높은 토픽으로 꼽았다. 따라서 비즈니스 책임자는 이런 정보를 원하지만, 기술 책임자는 이런 필요성을 쉽게 잊어버린다. 

비슷한 결과로, 응답자의 21%만이 서드파티 위험 관리 또는 솔루션 업체 위험 관리가 경영진에게 중요한 토픽이라고 답했다. 솔라윈즈 사태 이전의 조사 결과이지만, 이미 타깃이나 OPM, 우크라이나를 공격한 NotPetya 등 관련 사례가 적지 않다. 따라서 보안 책임자는 이 부분에서 경영진에게 일정한 지침을 제시할 필요가 있다. 

필자의 분석 결과를 기반으로 보면, 많은 비즈니스 및 사이버 보안 책임자는 아직 가장 중요한 것이 무엇인지, 그리고 서로 어떻게 커뮤니케이션해야 하는지 정확하게 파악하지 못한 것으로 보인다. 이런 격차 때문에 비즈니스 목표에 맞춘 사이버 보안 우선순위보다 좀 더 쉽고 분명한 주제에 더 높은 우선순위를 두고 있다.

한편, 약 33%의 기업은 문제를 정확히 파악하고 사이버 보안을 비즈니스에 온전히 통합한 것으로 나타났다. 이들 기업은 과연 사이버 보안과 관련해 어떤 활동을 하고 있는지도 살펴봐야 할 것이다. editor@itworld.co.kr


2021.02.16

글로벌 칼럼 | 비즈니스 임원에게 가장 중요한 사이버 보안 토픽

Jon Oltsik | CSO
업계에서는 사이버 보안이 기업의 이사회와 고위 경영진에게 가장 중요한 토픽이라고 흔히 말한다. 하지만 ESG의 최근 조사 결과에 따르면, 일부만 맞는 말이다. 선임 사이버 보안 관리자 및 비즈니스 관리자 중 58%는 소속 조직 고위 경영진의 사이버 보안에 대한 지원이 매우 좋다고 답한 반면, 42%는 고위 경영진의 보안에 대한 지원이 적절하거나 괜찮거나 빈약하다고 답했다. 그렇게 좋은 결과는 아니다. 
 
ⓒ Getty Images Bank

또한 경영진에게 가장 중요한 사이버 보안 토픽이 무엇인지도 물었는데, 그 결과 역시 흥미롭다.
 
  • 데이터 프라이버시. 응답자 35%가 가장 중요한 토픽으로 꼽았으며, GDPR이나 CCPA 같은 규제를 고려하면 당연한 결과이다. 과거에는 데이터 프라이버시가 법무팀의 담당이었지만, 규제가 확대되면서 CISO도 데이터 프라이버시를 운영할 수 있게 하라는 요청을 받고 있다. 다시 말해, 보안팀은 데이터 디스커버리나 새로운 데이터 보안 통제 도입, 데이터 제거용 기술 조정 같은 일을 맡게 됐다. GDPR 역시 막대한 벌금을 물 수 있기 때문에 경영진은 주의를 집중하고 있다. GDPR이 시작된 유럽 지역의 조직은 39%가 데이터 프라이버시에 높은 우선순위를 부여한 반면, 북미 기업은 33%로 그보다 적었다.
 
  • 현존 사이버 위협. 거의 1/3의 비즈니스 및 사이버 보안 책임자가 경영진이 현재의 사이버 위협을 알고 싶어한다고 답했다. 정확하게 말하자면, CEO는 감염의 징조나 마이터 공격(MITRE ATT&CK) 프레임워크 기법 같은 세부적인 내용에는 관심이 없다. 하지만 전반적으로 어떤 일이 일어나고 있는지, 관련 업계에서는 무슨 일이 일어나고 있으며, 조직이 취약한지 여부, 위험을 경감하려면 무엇이 필요한지 등등은 자세히 알고자 한다. 이번 조사에 참여한 많은 CISO가 경영진이나 이사회를 위한 위협 보고서를 선제적으로 작성하며, 특히 주목할 만한 대형 데이터 유출 사고가 발생한 직후에 이런 보고서를 제출한다.
 
  • 사이버 보안 문화 및 교육. 29%의 응답자가 주요 토픽으로 꼽았지만, 이것만으로는 실상을 알 수 없다. 이번 조사의 일환으로 ESG는 조직을 두 가지 범주로 나누는 점수 시스템을 만들었다. 기업 내에서 사이버 보안을 강조하는 조직은 ‘뛰어난 보안’ 범주로, 사이버 보안에 대한 지지를 최소화한 조직은 ‘괜찮은 보안’ 범주로 나누었다. 이 분류를 사용하면, 뛰어난 보안 범주의 조직 중 39%가 문화와 교육에 우선순위를 두고 있으며, 괜찮은 보안 범주의 조직은 24%에 불과했다. 

이런 차이는 오늘날 사이버 보안의 축소판이라고 해도 과언이 아니다. 뛰어난 보안 범주의 조직은 사이버 보안 문화를 기반 요소로 구축되어 있으며, 그만큼 인력과 프로세스 수준에서도 더 보안성이 높다. 또한 비즈니스 민첩성이나 IT 복구성 같은 영역에서도 뛰어난 편이다. 괜찮은 보안 범주의 조직은 여전히 사이버 보안을 기술과 컴플라이언스 관점에서 생각한다. 이런 조직은 기본적인 것만을 보장하는데, 2006년 PCI DSS가 처음 도입됐을 때와 마찬가지이다.

최상위 3가지 외에도 살펴볼 필요가 있다. 예를 들어, 23%의 응답자가 핵심 비즈니스 이니셔티브와 보안의 일치가 경영진에게 중요한 토픽이라고 답했다. 많은 조직에서 사이버 보안이 연결되어 있지 않다는 것을 보여주는 결과로, 여기서 책임 소재는 IT와 보안 책임자에게 있다. 기술 인력 중에는 19%만이 이 토픽이 중요하다고 답한 반면, 비즈니스 임원은 29%가 우선순위가 높은 토픽으로 꼽았다. 따라서 비즈니스 책임자는 이런 정보를 원하지만, 기술 책임자는 이런 필요성을 쉽게 잊어버린다. 

비슷한 결과로, 응답자의 21%만이 서드파티 위험 관리 또는 솔루션 업체 위험 관리가 경영진에게 중요한 토픽이라고 답했다. 솔라윈즈 사태 이전의 조사 결과이지만, 이미 타깃이나 OPM, 우크라이나를 공격한 NotPetya 등 관련 사례가 적지 않다. 따라서 보안 책임자는 이 부분에서 경영진에게 일정한 지침을 제시할 필요가 있다. 

필자의 분석 결과를 기반으로 보면, 많은 비즈니스 및 사이버 보안 책임자는 아직 가장 중요한 것이 무엇인지, 그리고 서로 어떻게 커뮤니케이션해야 하는지 정확하게 파악하지 못한 것으로 보인다. 이런 격차 때문에 비즈니스 목표에 맞춘 사이버 보안 우선순위보다 좀 더 쉽고 분명한 주제에 더 높은 우선순위를 두고 있다.

한편, 약 33%의 기업은 문제를 정확히 파악하고 사이버 보안을 비즈니스에 온전히 통합한 것으로 나타났다. 이들 기업은 과연 사이버 보안과 관련해 어떤 활동을 하고 있는지도 살펴봐야 할 것이다. editor@itworld.co.kr


X