2019.07.15

사이버 위험 관리 격차를 어떻게 해소할까

Jon Oltsik | CSO
조사 결과 미국 내 많은 조직에서 CISO가 비즈니스에 좀더 깊이 관여하도록 하고 데이터 보안에 초점을 맞추며 직원을 고용하고 더 많은 보안 인식 교육을 제공할 계획으로 파악됐다.
 
ⓒGetty Images Bank

사이버 위험 관리는 2년 전보다 오늘날 더 어려워졌다. 최근 ESG 조사에서 ‘그렇다’는 사이버 보안 전문가가 무려 74%나 됐다. 응답자들은 공격 범위 확대, 소프트웨어 취약성 증가, 사이버 공격자들에 의한 좀더 정교한 전술, 기술 및 절차(TTPs)를 지목했다. (참고 : 필자는 ESG 직원이다.)

대부분 조직에는 사이버 위험 관리 격차가 있다. 이를 해결하고자 조직은 무엇을 하게 될까? 다음은 조사 결과다.

• 34%는 CISO와 경영진 간의 사이버 위험 커뮤니케이션 빈도를 늘릴 것이다. 커뮤니케이션 증가는 좋은 일이지만 CISO는 올바른 데이터와 지표가 있는지 확인해야 하는데 여기에는 항상 문제가 있었다. 필자는 케나 시큐리티(Kenna Security), 리스크렌즈(RiskLens, FAIR(Factor Analysis of Information Risk) 표준 지원), 테너블 네트웍스(Tenable Networks) 같은 공급 업체의 CISO 사이버 위험 관리 대시보드에 관한 혁신을 자주 목격한다. 시간이 지남에 따라 사이버 위험 분석은 보안 운영 및 분석 플랫폼 아키텍처(SOAPA)의 핵심 구성 요소가 될 것이다. 따라서 엑사빔(Exabeam), IBM, 로그리듬(LogRhythm), 마이크로포커스(MicroFocus, 아크사이트(ArcSight)), 스플렁크, 수모로직(SumoLogic) 같은 공급 업체를 살펴보라.

• 32%는 민감한 데이터 검색, 분류, 보안 제어를 위한 프로젝트를 시작할 예정이다. 민감한 데이터를 좀더 효율적으로 관리하는 것은 항상 좋은 생각이다. 하지만 많은 조직에서 이 문제를 해결하지 못한다. 이유는 이 일이 정말로 어렵기 때문이다. 이는 VC 투자를 늘릴 수 있는 또 다른 영역이다. 액센츄어, E&Y 또는 PwC에 수백만 달러를 쓰기보다는 데이터 발견 및 분류를 자동화할 수 있는 도구가 필요하다. 특히 조직이 데이터 프라이버시를 강화할 때 더욱더 그렇다.

• 31%는 더 많은 사이버 보안 직원을 고용할 계획이다. 그것은 좋은 생각이지만 실행하기 어렵다. ESG 및 정보 시스템 보안 협회(ISSA)의 최근 연구에 따르면 조직의 73%가 사이버 보안 기술 부족으로 영향을 받았으며 이들 회사는 이미 인재 유치를 놓고 경쟁하고 있다. CISO에 대한 필자의 충고는 사이버 위험 관리 격차 해소를 포함해 모든 분야에서 적절한 기술이나 적절한 인력을 갖출 수 없다고 가정하라는 것이다.

• 31%는 직원에 대한 보안 인식 향상 교육을 원한다. 역시 좋은 아이디어이지만 너무 많은 회사가 보안 인식 교육을 ‘네/아니오’로 답하기 수준으로 간주한다. 정말로 영향력을 행사하려면 CEO가 사이버 보안 응원가가 돼 조직 전체에 사이버 보안 문화를 수립해야 한다.

• 29%는 더 많은 침투 테스트 및 레드 티밍(red teaming) 연습을 실시한다. 레드 티밍이란, 전략이나 계획을 분석적으로 비판하기 위해 만든 내부 조직 활동이다. ESG 데이터는 침투 테스트와 레드 팀 구성이 매우 유용함을 보여주지만 이러한 일을 제대로 수행할 수 있는 내부 기술이 있는 조직은 거의 없으며 타사 서비스를 고용하는 데 큰 비용이 소요될 수 있다. 필자는 새로운 카테고리에서 낙관적인데 어택IQ(AttackIQ), 랜도리(Randori), 세이프브리치(SafeBreach), 베로딘(Verodin) 같은 업체의 종합적인 사이버 위험 평가(SCRA)가 떠오른다.

사이버 위험 관리는 모든 CISO에 대해 직업 1임을 기억하는 것이 중요하다. 그렇다. 기업 임원들은 사이버 보안에 더 많은 돈을 투자할 의지가 있지만, 가장 중요한 디지털 자산을 보호하고 이러한 투자에 대한 ROI를 측정하는 데 도움이 되도록 지출을 목표로 하고 있다. 그러므로 사이버 리스크 관리 격차를 해소하는 것이 2019년과 그 이후의 CISO에게 가장 중요한 임무가 될 수 있다는 말은 과장이 아니다.

*Jon Oltsik은 ESG 수석 애널리스트이자 이 회사의 사이버 보안 서비스 설립자다. ciokr@idg.co.kr
 



2019.07.15

사이버 위험 관리 격차를 어떻게 해소할까

Jon Oltsik | CSO
조사 결과 미국 내 많은 조직에서 CISO가 비즈니스에 좀더 깊이 관여하도록 하고 데이터 보안에 초점을 맞추며 직원을 고용하고 더 많은 보안 인식 교육을 제공할 계획으로 파악됐다.
 
ⓒGetty Images Bank

사이버 위험 관리는 2년 전보다 오늘날 더 어려워졌다. 최근 ESG 조사에서 ‘그렇다’는 사이버 보안 전문가가 무려 74%나 됐다. 응답자들은 공격 범위 확대, 소프트웨어 취약성 증가, 사이버 공격자들에 의한 좀더 정교한 전술, 기술 및 절차(TTPs)를 지목했다. (참고 : 필자는 ESG 직원이다.)

대부분 조직에는 사이버 위험 관리 격차가 있다. 이를 해결하고자 조직은 무엇을 하게 될까? 다음은 조사 결과다.

• 34%는 CISO와 경영진 간의 사이버 위험 커뮤니케이션 빈도를 늘릴 것이다. 커뮤니케이션 증가는 좋은 일이지만 CISO는 올바른 데이터와 지표가 있는지 확인해야 하는데 여기에는 항상 문제가 있었다. 필자는 케나 시큐리티(Kenna Security), 리스크렌즈(RiskLens, FAIR(Factor Analysis of Information Risk) 표준 지원), 테너블 네트웍스(Tenable Networks) 같은 공급 업체의 CISO 사이버 위험 관리 대시보드에 관한 혁신을 자주 목격한다. 시간이 지남에 따라 사이버 위험 분석은 보안 운영 및 분석 플랫폼 아키텍처(SOAPA)의 핵심 구성 요소가 될 것이다. 따라서 엑사빔(Exabeam), IBM, 로그리듬(LogRhythm), 마이크로포커스(MicroFocus, 아크사이트(ArcSight)), 스플렁크, 수모로직(SumoLogic) 같은 공급 업체를 살펴보라.

• 32%는 민감한 데이터 검색, 분류, 보안 제어를 위한 프로젝트를 시작할 예정이다. 민감한 데이터를 좀더 효율적으로 관리하는 것은 항상 좋은 생각이다. 하지만 많은 조직에서 이 문제를 해결하지 못한다. 이유는 이 일이 정말로 어렵기 때문이다. 이는 VC 투자를 늘릴 수 있는 또 다른 영역이다. 액센츄어, E&Y 또는 PwC에 수백만 달러를 쓰기보다는 데이터 발견 및 분류를 자동화할 수 있는 도구가 필요하다. 특히 조직이 데이터 프라이버시를 강화할 때 더욱더 그렇다.

• 31%는 더 많은 사이버 보안 직원을 고용할 계획이다. 그것은 좋은 생각이지만 실행하기 어렵다. ESG 및 정보 시스템 보안 협회(ISSA)의 최근 연구에 따르면 조직의 73%가 사이버 보안 기술 부족으로 영향을 받았으며 이들 회사는 이미 인재 유치를 놓고 경쟁하고 있다. CISO에 대한 필자의 충고는 사이버 위험 관리 격차 해소를 포함해 모든 분야에서 적절한 기술이나 적절한 인력을 갖출 수 없다고 가정하라는 것이다.

• 31%는 직원에 대한 보안 인식 향상 교육을 원한다. 역시 좋은 아이디어이지만 너무 많은 회사가 보안 인식 교육을 ‘네/아니오’로 답하기 수준으로 간주한다. 정말로 영향력을 행사하려면 CEO가 사이버 보안 응원가가 돼 조직 전체에 사이버 보안 문화를 수립해야 한다.

• 29%는 더 많은 침투 테스트 및 레드 티밍(red teaming) 연습을 실시한다. 레드 티밍이란, 전략이나 계획을 분석적으로 비판하기 위해 만든 내부 조직 활동이다. ESG 데이터는 침투 테스트와 레드 팀 구성이 매우 유용함을 보여주지만 이러한 일을 제대로 수행할 수 있는 내부 기술이 있는 조직은 거의 없으며 타사 서비스를 고용하는 데 큰 비용이 소요될 수 있다. 필자는 새로운 카테고리에서 낙관적인데 어택IQ(AttackIQ), 랜도리(Randori), 세이프브리치(SafeBreach), 베로딘(Verodin) 같은 업체의 종합적인 사이버 위험 평가(SCRA)가 떠오른다.

사이버 위험 관리는 모든 CISO에 대해 직업 1임을 기억하는 것이 중요하다. 그렇다. 기업 임원들은 사이버 보안에 더 많은 돈을 투자할 의지가 있지만, 가장 중요한 디지털 자산을 보호하고 이러한 투자에 대한 ROI를 측정하는 데 도움이 되도록 지출을 목표로 하고 있다. 그러므로 사이버 리스크 관리 격차를 해소하는 것이 2019년과 그 이후의 CISO에게 가장 중요한 임무가 될 수 있다는 말은 과장이 아니다.

*Jon Oltsik은 ESG 수석 애널리스트이자 이 회사의 사이버 보안 서비스 설립자다. ciokr@idg.co.kr
 

X