보안

“혁신 아닌 종합적인 발전” CISO가 말하는 2022년 보안 우선순위

Mary K. Pratt | CSO 2021.12.17
CSO가 매년 실시하는 ‘보안 우선순위 조사’에 따르면, 많은 보안 책임자가 기업의 회복을 견인하는 2022년 전략을 추진하고 있다. 이들이 추구하는 것은 단순히 하나의 도구를 강화하거나 하나의 방법만 활용하는 것이 아니라, 다양한 기술을 결합해 발전을 꾀하는 이니셔티브다.
 
ⓒ Getty Images Bank

CISO가 이니셔티브 설정 시 고려한 우선순위는 각 기업이 직면한 특정 위험 및 위협에 대응하는 기술 역량과 상호 의존적인 정책 및 절차가 결합된 것으로, 보안 기능의 발전상을 반영한다. 또한 IT 및 비즈니스 환경의 변화와 달라지는 위협 지형, 새로운 위험으로 인한 보안 요구사항도 이니셔티브에 반영됐다.

조사 결과를 종합하면, 속도를 일정하게 유지하면서 발전하는 것이 CISO의 2022년 우선순위다. 


우선순위를 바꾸는 지형 변화

클라우드 마이그레이션이 확산하고 있다. IT팀은 애플리케이션을 데이터 계층에서 분리하고 있으며, CIO는 더 다양한 구성이 가능한 아키텍처로 이동하고 있다. 디지털 이니셔티브에 박차를 가하는 것이다. 여기에 코로나19로 인해 확산된 재택근무도 보안 지형을 바꾸었다. 

컨설팅 업체 컨스텔레이션 리서치(Constellation Research)의 수석 애널리스트 리즈 밀러는 “2년 동안의 재택근무로 인해 보안의 방어선이 직원이 일하기를 원하는 장소까지 확대된 것이다. 2년간 지켜봤던 불안정한 상태가 앞으로도 계속될 전망이다”라고 말했다.

CISO는 직원 문제까지 해결해야 한다. 밀러는 “이른바 ‘대규모 퇴직(Great Resignation)’은 현실이며, 특히 보안 분야에서 이런 현상이 심각하다. 많은 직원이 ‘번아웃’되어 업계를 떠나고 있다. 2022년에는 이 문제를 관리하기 더욱 힘들어질 것이다”라고 설명했다. 

현재 CISO에게 던져진 질문은 ‘이 모든 것을 어떻게 관리할 것인가?’, ‘현명하고 안전하면서 신속하게 목표를 달성하는 방법은 무엇일까?’이다.

의료 업체 파크뷰 헬스(Parkview Health) 부사장 다렐 켈링도 보안 위협 지형이 변화하는 것을 목격했다. 디지털화하는 기업이 증가하고 클라우드 생태계가 확대됐으며, 의료 기관을 랜섬웨어 표적으로 삼는 해커가 늘었다. 이런 변화는 공격 표면을 확대하고 방어선이라는 개념을 사실상 없애버렸다. 

켈링은 변화하는 기술 스택과 위협에 모두 부합하도록 보안 성숙도를 높이는 데 우선순위를 두고 있다. 가장 먼저 보안 스택 단순화에 집중했다. 여러 업체의 솔루션을 사용하는 방식을 탈피, 마이크로소프트 보안 솔루션을 사용하는 방법이다. 파크뷰 헬스의 IT 인프라는 애저 클라우드 등 마이크로소프트 서비스를 주로 사용하고 있다. 켈링은 “보안 스택을 단순화하면 더 효과적이고 효율적으로 보안을 운영할 수 있으며 통합이 쉬워지고 추가 비용이 줄어든다”라고 설명했다. 켈링은 직원들이 마이크로소프트 관련 자격증을 더 많이 취득할 수 있도록 직원 교육에도 집중할 계획이다.


도구 및 기술, 인력 확보에 대한 관심 확대

2022년의 또 다른 우선순위는 더 많은 인텔리전스와 행동 분석 소프트웨어, 클라우드 보안 기술을 적용하여 위협 대응 역량을 구축하고 서드파티 위험 관리 프로그램을 강화하는 것이다. 

조사에 따르면, 많은 CISO가 지속해서 기술에 투자하고 있다. 90%의 CISO가 지난 12개월 동안 최소 하나 이상의 보안 도구를 추가 도입했다고 답했다. 통합된 방식으로 보안에 접근하는 사례가 증가하고 있음을 증명한다.

구체적으로 살펴보면, 우선순위 목록에서 가장 높은 비율을 차지한 기술은 클라우드 데이터 보호 기술이다. 87%의 CISO가 클라우드 데이터 보호 기술을 연구, 시험, 사용하고 있거나 업그레이드했다고 응답했으며, 88%의 CISO는 클라우드 기반 사이버보안 서비스를 중요하게 생각하고 있었다.

데이터 액세스 거버넌스 기술도 CISO 우선순위 목록의 상위에 자리했다. 대표적인 것이 제로 트러스트 기술이다. 84%의 CISO가 제로 트러스트 기술을 가장 우선시한다고 답했다. 행동 모니터링 및 분석 기술을 연구, 시험, 사용하고 있거나 업그레이드했다고 답한 비율은 82%였으며, SOAR(Security Orchestration Automation and Response) 기술 도입을 고려하고 있거나, 도입했다고 답한 비율은 77%로 집계됐다. 지난 몇 년간 많은 기업이 디지털 트랜스포메이션을 강화하고, 어디에서나 액세스할 수 있는 인프라를 구축하기 위해 클라우드 컴퓨팅에 투자한 상황에서, 이런 기술은 급변한 환경 방어에 필수적이다. 

컨설팅 업체 제나시티(Zenaciti) CEO 앤드류 플라토는 “클라우드는 보안의 중심이다. 많은 CISO가 총체적인 관점을 제공하고 여러 클라우드 전반에 걸쳐 보안을 강화하는 클라우드 보안 태세 관리(Cloud Security Posture Management)에 많은 관심을 갖고 있다”라고 말했다. 

SAIC(Science Applications International Corp) CISO 케빈 F 브라운은 가장 큰 우선순위로 인재 채용 및 유지, 비즈니스 연속성 및 회복력, 네트워크·클라우드·데이터의 제로 트러스트, 비즈니스 강화를 꼽았다. 브라운은 “사이버보안 인력 수요는 많지만 공급은 여전히 부족하다. 특히 다양하면서 포괄적인 팀을 구축할 때 이런 문제가 두드러진다. 전 산업에 걸친 큰 위협인 랜섬웨어는 비즈니스 방해를 초래할뿐더러 데이터 유출로 이어진다. 보호 및 방어 역량과 회복력, 복구에 대한 계획이 필요하다”라고 지적했다. 기업은 기존 네트워크 보안은 물론 클라우드를 중심으로 사용자의 경계선이 계속 확장하는 것에도 대비해야 하며, 제로 트러스트는 중요 데이터 보호 및 무결성 측면에서 요구되는 원칙이다. 

비즈니스 강화는 앞서 브라운이 설명한 우선순위를 모두 포함하는 요소다. 브라운은 “안전한 비즈니스 솔루션 제공, 위험 완화, ‘보안 내재화(Security by design)’ 개념 촉진으로 비즈니스를 강화하는 것이 어떻게 보면 최우선 과제다”라고 덧붙였다. 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.