보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

봄을 맞아 조직의 사이버 강화를 꿈꾸는 CEO들이 알아야 할 것

입력 : 2022-02-22 21:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
보안 전문가들 200여 명이 CEO들에게 권고하는 건 ‘보안은 사업 투자’라는 것이다. 사건이 터지고 나서야 발동되는 후속 조치로서의 보안은 후진적인 개념이 되어버렸다. 그걸 이해하는 CEO와 그렇지 못한 CEO의 격차가 점점 커질 전망이다.

[보안뉴스 문가용 기자] 3월, 봄이 다가온다. 한 해의 시작도 좋지만 봄도 다가오는 해를 위한 계획을 세우기에 좋은 시기다. 2021년에도 사이버 보안 업계에서는 각종 보안 사고, 대규모 랜섬웨어 공격, 위험 요소 증가 등 여러 가지 문제가 많이 드러났다. JBS푸드(JBS Foods), 카세야(Kaseya), 콜로니얼 파이프라인(Colonal Pipeline) 사태 등 가장 치명적인 사이버 공격들이 발생하기도 했다.

[이미지 = utoimage]


이런 상황에서 (ISC)²는 전 세계 CEO들이 사이버 위험을 더 잘 이해하고 비즈니스를 보다 안전하게 만들 수 있도록, 사이버 보안 리더부터, 사이버 보안 팀 구성원에 이르는 200명의 사이버 보안 실무자들을 대상으로 온라인 설문 조사를 실시했으며 그들에게 간단한 질문을 했다. “2022년 비즈니스를 더욱 안전하게 하기 위해 모든 CEO들이 알아야 할 사항은 무엇인가?” 응답을 분석하여 모든 CEO들이 2022년까지 알아야 할 몇 가지 권고들을 추려낼 수 있었다.

갈수록 디지털화 되는 우리 사회에서 사이버 보안은 비즈니스 연속성 보장과 고객 데이터 및 개인 정보 보호를 위해 매우 중요하다. 그러나 대부분의 사이버 보안 전문가들은 사이버 보안이 비즈니스에 있어 충분히 높은 우선순위에 있지 않다고 단호히 주장한다. 사이버 보안 관리 역할을 맡고 있는 한 응답자는 “보안은 비즈니스의 핵심으로 깔려있어야 하지, 나중에 생각해야 할 것이 아니다”라고 말했다. 또 다른 응답자는 “CEO들은 보안이 IT 문제나 기술 문제가 아니라 회사의 모든 측면에 영향을 미치는 비즈니스 문제임을 알아야 한다”라고 말했다.

또, 한 응답자는 사이버 보안을 세일즈 툴로 사용하여 경쟁 우위를 확보할 수 있도록 권장했다. 또 다른 응답자도 비슷한 관점을 가지고 있었으며, “제품, 서비스 또는 프로세스에 보안을 고려하고, 회사와 고객에게 보다 탄력성 있고 더 나은 결과를 제공할 수 있도록 보안을 개발 단계에서 고려할 수 있어야 할 것”을 CEO들에게 제안했다. “사이버 보안은 차별화 요소에 국한되는 것이 아닙니다. 아무리 첨단 기술이라고 하더라도 사이버 공격 또는 데이터 유출에 취약할 경우 이러한 첨단 기술에 대한 투자가 쓸모없어집니다. 혁신과 투자를 유효하게 만드는 것이 사이버 보안이라는 것이죠. 사이버 보안은 반드시 디지털 전환 전략의 핵심이 되어야 합니다.” 한 응답자의 설명이다.

2021년 데이터 침해로 인해 발생하는 평균 피해액이 4240만 달러로 증가한 것을 고려하면, 사이버 보안이 핵심 비즈니스 목표가 될 때 기업은 고객 신뢰를 구축하고 브랜드 명성을 강화하며 장기적으로 비용을 절감할 수 있다는 것을 알 수 있다. 한 응답자는 “보안은 비즈니스 비용일 뿐만 아니라 타당한 비즈니스 요구 사항이며 랜섬웨어 및 정교한 위협으로부터 보호하기 위해 적절히 재정 지원을 받아야 한다"라고 말했다. 보안에 대한 투자가 꾸준히 이뤄지고 조직 차원에서 대비가 되었다면 사이버 공격에 당한다고 하더라도 이를 더 빨리 감지, 보완하고 피해를 최소화할 수 있다.

사이버 보안의 책임은 조직 내 모든 사람에게 있다는 것이 공통된 발언 내용이기도 했다. 피싱은 사이버 공격자들 사이에서 가장 흔한 공격 방법 중 하나로, 업계는 사이버 보안 인식 교육이 결코 충분할 수 없다는 데 동의한다. 실제로 설문 조사에 응한 응답의 12%에서 사이버 보안 교육이나 인지도 교육이 언급됐다. 한 응답자는 모든 조직들이 사이버 공격에 취약하며, “작은 조직들조차 공격과 갈취를 당할 수 있기 때문에, 보안은 모든 사람의 의무임을 강조한다”라고 말했다.

사이버 보안 교육을 자주 실시하는 것은 직원들이 사이버 보안을 최우선으로 고려하도록 하는 가장 좋은 방법이며, 인상적인 ROI를 보이는, 고효율 솔루션이다. 사이버 보안 리더십 역할을 맡고 있는 한 응답자는 “[단순] 변화는 [조직의 보안 태세에] 중요한 영향을 미칠 수 있다”며 “다중 인증, 보안 인식 교육, 의무적 취약성 관리 등의 항목은 방어를 강화하는 데 큰 역할을 한다”고 말했다. 사이버 보안 관리 직책에 있는 한 응답자는 “오늘 날의 환경에서 회사를 보호하려면 보안 인식 및 내부 위협 강화 프로그램이 필요하다”라고 말했다.

적절한 사이버 보안 도구를 갖추는 것은 필수적이지만, 사이버 보안 팀이 이러한 도구를 이용할 수 있도록 적절한 교육을 받지 않았거나 보안 프로그램을 관리하기 위해 적절한 인력을 배치하지 않았다면 사이버 보안 도구들도 소용이 없게 된다. 한 응답자는 CEO들에게 “자격을 갖춘 사이버 보안 인력을 고용해서 정당한 대가를 지불할 뿐만 아니라, 취약점을 평가하고, 확인하고, 보완하기 위해 필요한 자원과 권한을 제공해야 한다”라고 권고했다.

사이버 보안은 비즈니스 투자이다. 한 응답자는 “[내부] 팀이든 서드파티 계약자든 정보 보안에 더 큰 투자가 있어야 한다”고 강조했다. “급여, 교육 훈련의 기회 제공 등을 많이 제공할수록 좋은 인력들이 들어오겠죠. 좋은 인력이 있어야 보안 강화의 꿈이 이뤄질 수 있습니다.” 조직의 규모와 산업에 따라 한 명의 사이버 보안 전담 인력으로는 부족할 수 있다. 한 응답자는 “CEO들이 보안 강화에 필요한 인력의 규모와, 일반 임직원의 보안 교육 수준”을 알아야 한다고 지적했다.

또한 간과하지 말아야 할 건 지금의 인력 시장 상황이다. 현재 전 세계적으로는 272만 명의 사이버 보안 전문 인력이 부족하며, 사이버 보안 “올스타”만을 좇는 것은 실행 가능한 전략이 아니다. 따라서 기존 직원들을 훈련시켜 직무를 변환시키는 방법도 세계 곳곳에서 시도되고 있다. 숙련도와 상관없이 모든 직원에게 전문적인 개발 기회를 제공하고, 효과적인 업무 수행을 위해 조직이 보유하고 있는 사이버 보안 도구에 대한 교육을 진행하는 것이다.

사이버 보안 전문가에게 임금을 잘 지급하는 것도 중요하다. 직종에 관계없이 직원들이 경쟁적으로 교육, 지원, 급여를 받을 때 높은 수준의 직무 만족도를 보고하고 회사에 머무른다. 사이버 보안 전문가의 절반 가까이가 리크루터들로부터 매주 연락을 받는다는 보도나 연구 조사가 있을 정도로 치열한 시장이니 이미 근무 중에 있는 보안 인력들을 ‘잡은 물고기’ 취급해서는 안 된다.

2021년 버라이즌 데이터 침해 조사 보고서에 따르면 한 해 동안 랜섬웨어 공격 빈도가 2배 증가했다고 하며, FBI는 랜섬웨어 민원이 매년 62% 증가했다고 발표했다. 랜섬웨어는 최근 발생한 새로운 형태의 위협 행위로, 사이버 공격자들 사이에서 인기가 높아지고 있는 서비스이다. 이번 설문에서 응답자의 10%가 랜섬웨어를 언급한 만큼 사이버 보안 업계의 최대 관심사 중 하나라고 볼 수 있다. CEO들 역시 이러한 사이버 위협을 늘 염두에 두어야 한다.

랜섬웨어라는 리스크를 줄이기 위해서 기업들은 빈번한 테스트를 거친 랜섬웨어 대응 계획을 보유하고 매년 위험 평가를 수행해야 한다. 사이버 보안 관리 역할을 수행하는 한 응답자는 “랜섬웨어에 대한 CEO의 관심이 곧 조직 전체의 관심으로 이어진다”라고 강조했다. 비슷한 직책을 맡은 또 다른 응답자는 랜섬웨어를 차단하기 위해 CEO들이 사이버 위생의 기본기를 제대로 익힐 필요가 있다고 강조했다. “보안에 대한 CEO의 관심은, 본인 스스로가 행동으로 표현할 때(일방적인 업무 지시가 아니라) 가장 강력한 힘을 발휘하기 때문입니다.”

원격 및 하이브리드 근무 체제를 가능하도록 기업 인프라를 변화시키는 것이 가장 중요한 임무라는 응답이 전체의 13%를 차지했다. 당연한 말이지만 팬데믹 때문에 급작스럽고 크게 변한 업무 환경 때문이다. 한 응답자는 “모든 CEO들이 COVID-19로 인한 재택 근무의 특성과 원격 근무 체제와 관련된 위험을 이해해야 한다”고 권고했다.

원격 및 하이브리드 근무는 비록 사이버 위험이 따르긴 하지만, 사무실 외부에서 업무를 수행할 수 있는 많은 전문가들이 이를 선호하고 있다. 한 응답자는 “이제는 원격 근무를 하더라도 생산성이 저하되지 않는다는 것을 모두가 알게 됐고, 그러므로 많은 직원들이 재택 근무를 유지하고 싶어 한다”며 “CEO들은 계속해서 직원의 근무 유연성을 가능하게 하는 기술에 투자해야 한다”고 말했다.

설문 응답자들은 원격 인력 보안, CEO들의 자산 관리 투자 독려, 제로 트러스트 구현, 보안 상 위협이 없는 유동성과 유연성 도모, 비즈니스 위험 재평가, 안전한 원격 기술 구현, BYOD 정책 검토, 수시 보안 의식 교육 추진 등 다양한 의견을 제시했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)