보안 팀 내부에서나 타 부서와의 관계에서 보안 문화가 무너지기 시작하면 사이버 업무 기강이 해이해지고 냉소주의와 책임 회피가 지배하는 환경이 만들어진다. 업계 리더가 말하는 불건전한 보안 문화의 5가지 특징과 기업이 원하는 보안 문화 구축 방법을 살펴보자.
불건전한 보안 문화의 5가지 특징
1. 책임 전가에 바쁘다
이번 가을에 발간 예정인 ISACA의 연례 사이버 보안 문화보고서 작성 과정에 참가했던 ISACA 이사장 겸 전 의장 롭 클라이드는 불건전한 환경에서는, 중대한 사건이 발생하면 그 즉시 누구 책임인지를 밝히는 것에 집착하는 특징이 있다고 지적했다. 기업 차원에서 희생양, 즉, 해고 대상을 찾는 것이다. 그는 “경영진의 평균 재임 기간이 3년이 채 안 된다면 문제가 있는 것이다”라고 말했다.
노미넷(Nominet)이 CISO 408명을 대상으로 실시한 2019년도 설문조사를 보면 CISO의 평균 재임 기간은 3년 미만이다. 2년 미만이라고 밝힌 응답자도 3분의 1에 가까운 30%였다. 클라이드는 “자칫하면 물갈이가 계속되는 기업이 될 수 있다”라고 말했다.
2. 냉소주의가 커진다
W리스크 그룹의 CEO이자 IT 전문직 여성을 위한 모조 메이커(MOJO Maker)의 창업자 캐런 워스텔은 불건전한 행동 중 가장 쉽게 눈에 띄는 것은 냉소주의라고 지적했다. 그는 “사람들이 경영진이나 인생에 대해 냉소적인 이야기를 하는 것이 들린다면 전반적인 적신호라고 봐야 한다. 압박감과 고충이 있다는 신호이자 책임져야 할 결과를 좌지우지할 힘이 없어 무력감을 느끼고 있다는 신호이기 때문이다. 그런 상황을 감당하고 방지할 방법이 없으면 사람의 관점은 부정적으로 변하기 시작한다”라고 말했다.
워스텔은 "이는 억지로 자리만 지키고 있거나 최소한의 일 이상은 하지 않으려는 현상 역시 보안에 좋지 않은 환경이라는 것을 의미한다. 이러한 현상이 지속되면 마무리가 제대로 되지 않고 세부적인 것에 대한 주의도 흐트러지게 된다"라고 덧붙였다.
3. 내부 취약성이 증가한다
보안 문화가 잘못되기 시작하면 내부 취약성이 증가하는 징후가 지표에서 분명히 드러나게 된다. ISC의 최고운영책임자 웨슬리 심슨은 “보안 사고 중 20%가 조직 내에서 직원 때문에 발생한다는 사실을 우리는 알고 있다. 조직 내 직원을 중심으로 한 취약성이 전월 대비 정상보다 늘었다면 적절한 보안 환경에 대해 직원이 정보가 없거나 신경을 쓰지 않는다는 뜻일 수 있다. 높아진 이직률 역시 업무에 대한 불만족을 나타낸다"라고 말했다.
4. 주로 “안된다”는 대답이 돌아온다
마쉬LLC의 사이버 위험 컨설팅 글로벌 책임자 케빈 리처드는 CISO팀의 입에서 “안된다”라는 대답이 먼저 나온다면 불건전한 환경이라고 진단했다. 사람들은 질책을 받으면 보안 부서를 피해갈 방법을 찾는다. 이로 인해 알 수 없는 보안 위험이 무수히 생겨난다. 그는 "내부 보안 팀을 상대하기 싫어서 프로젝트마다 15~20개 클라우드 환경을 실행한 사례가 있었다. 외부에 기본 정보를 줘버리고 직접 해버리기가 더 쉽다고 생각한 것이다”라고 말했다.
이어 "직원 대부분은 하도 귀에 못이 박이게 듣다 보니 다른 방식을 찾게 된다. 얼마나 많은 사람이 자사 내에서 ‘올바른 방법’으로 하기가 너무 어려워 스스로 해결하는 능력을 키웠는가? 그들은 회사에 위험을 가하거나 악의적인 의도가 있어서가 아니라 그저 맡은 일을 하려는 것일 뿐이다”라고 덧붙였다.
5. 보안 조직이 고립돼 있다
보안 조직이 지나치게 배타적이고 고립된 공간에서 보안에 집중돼 있다면, 전사적으로 더 광범위하게 관계와 네트워크를 발전시킬 힘이 나지 않는다고 딜로이트 앤 투쉬LLP 대표 에밀리 모스버그는 지적했다. 그는 딜로이트 사이버의 고문 겸 실행 서비스 리더 역할을 담당하고 있다.
모스버그는 “그러면 보안 부서와 타 부서 간에 경계가 생겨서 사고가 제한된다. 전사적으로 압박이 몰려오면서 권한을 잃는 것에 대한 두려움과 보안 조직의 운명에 대한 걱정이 생기곤 한다. 그래서 배타적이고 정보를 통제하려는 경향으로 이어진다. 그러나 배타적인 습성으로 인해 불건전한 환경이 조성된다. 마치 사이버팀이 타 부서와 대립하고 있는 모양새다”라고 말했다.
원하는 보안 문화를 구축하는 방법
제대로 문화를 바꿔 정착시키려면 몇 년이 걸릴 수 있다. 그러나 다음과 같은 몇 단계를 지금 밟으면 엇나간 사이버보안 문화를 정상 궤도로 복귀시킬 수 있다.
1. 보안팀이 새로운 관점을 취할 수 있도록 지원한다
워스텔에 다르면, 보안팀 내부에서 임원이 배워야 할 것은, 불가능해 보이거나 도저히 끝나지 않을 것처럼 보이는 상황에서 “이를 개선하기 위해 어떤 창의적인 일을 할 수 있을지 다른 각도에서 바라보는 방법”이다. 그는 “통제 범위 내에 있는 것에 집중하라. 어떻게 하면 개인에게 부담을 전부 지우지 않는 다른 관점으로 새롭게 바라볼 수 있을지 고민해야 한다"라고 말했다.
2. “된다”라고 말할 방법을 모색한다
보안 임원은 보안 지침 내에서 각 팀이 업무를 더 잘할 방법을 모색해 적극적으로 지원해야 한다. 직원이 그러한 제안이 왜 회사를 더욱 안전하게 만드는지 이해한다면 따를 가능성이 높다고 리처드는 지적했다. 영상 회의 서비스를 예로 들어보자. 시중에는 12~15종의 영상 회의 서비스가 있는데, 왜 굳이 회사에서 선정한 서비스를 고집해야 할까? 그는 “일반적인 사용자에게는 해로운 것이 없어 보이지만 프로젝트 데이터나 기밀 정보를 공유할 때 만일 부적절하게 유출되거나 규제가 심한 회사에서 이런 일이 발생하면 큰 문제가 될 수 있다. 어떤 서비스를 사용하느냐에 따라 발생하는 결과에 대해 사용자가 전부 다 이해하지 못할 수 있다. 그러나 이런 것을 고려해 교육과 선택지를 제공하는 것이 CISO의 역할이다"라고 말했다.
3. 사이버보안 문화 관리 계획을 수립한다
ISACA가 업무 및 기술 전문가 4,800명을 대상으로 실시한 설문조사에 따르면, 2018년을 기준으로 보안 목표와 교육, 직원 개인 책임에 관해 규정한 사이버보안 문화 관리 계획이나 정책이 없는 조직이 전체의 42%였다. 클라이드는 그러한 계획이나 정책을 수립하는 것이 사이버보안 문화로 가는 첫걸음이라고 지적했다.
4. 사이버보안 교육 및 도구 전용 예산을 확보한다
현재의 사이버보안 문화와 원하는 사이버보안 문화 사이에 간극이 큰 기업은 연간 사이버보안 예산 중 19%만 교육과 도구에 투자한다. 반면, 사이버보안 문화가 바람직한 상태에 있다는 기업의 투자 비율은 두 배가 넘는(43%) 것으로 나타났다. 클라이드는 “문화를 개선할 최고의 방법은 직원에게 투자하는 것이다. 기존의 직원에게 투자하는 대신 (사이버보안 문제를 해결할) 직원을 늘리려는 유혹을 이겨내야 한다”라고 말했다.
5. 회사와의 관계를 새롭게 한다
수동적이지 않고 적극적인 보안 문화를 구축하려면 보안 임원이 타 부서와의 관계에서 더 개방적이고 네트워크화되고 투명해야 한다. 모스버그는 "그래야만 맡은 임무를 더 수월하게 완수할 수 있다”라고 말했다. ciokr@idg.co.kr
함께 보면 좋은 콘텐츠
Sponsored
Surfshark
“유료 VPN, 분명한 가치 있다” VPN 선택 가이드
ⓒ Surfshark VPN(가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다. 동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다. 무료 VPN, 정말 괜찮을까? 무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다. 보안 우려 대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다. 속도와 대역폭 제한 무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다. 서비스 제한 무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다. 광고 및 추적 위험 일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다. 제한된 기능 무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다. 유료 VPN의 필요성 최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다. 서프샤크 VPN은 구독 요금제 가입 후 7일간의 무료 체험을 제공하고 있다. ⓒ Surfshark 그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다. 보안 강화 해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다. 개인정보 보호 인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다. 지역 제한 해제 해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다. 빠르고 안전한 유료 VPN, 서프샤크 VPN ⓒ Surfshark 뛰어난 보안 서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다. 다양한 서버 위치 서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다. 속도와 대역폭 서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다. 다양한 플랫폼 지원 서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다. 디바이스 무제한 연결 서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.