2020.03.04

'코로나19 대유행' 대비한 기업 보안 가이드 7단계

Bob Violino | CSO
2019년 12월 중국 우한에서 발원한 ‘코로나바이러스감염증(코로나19)’이 전 세계로 확산하고 있다. 2월 중순 기준 7만 명이 넘는 환자가 확인됐다. 세계보건기구(WHO)는 이번 발병을 국제적으로 관심을 가져야 하는 공중보건 비상사태로 선포했고, 보건당국은 이 병의 확산을 막기 위해 계속 노력하고 있다.
 
ⓒ Getty Images Bank

다른 보건 위기와 마찬가지로, 기업은 이번 사태가 그들의 운영에 미칠 잠재적 영향을 평가하고 유행병에 대처할 준비를 해야 한다. 국제 비즈니스 리스크 컨설팅 기업인 콘트롤 리스크(Control Risks)에서 위기 및 보안 컨설팅을 맡고 있는 카트 웜블은 “코로나19로 인한 위협에 대해 여전히 많은 불확실성이 존재한다. 그러나 분명한 것은 세계가 지난 2003년 사스(SARS)를 겪은 이후 여러 면에서 많이 변했다는 점이다”라고 말했다.

이어 "한 가지 예로, 우리는 훨씬 더 서로 연결돼 있다. 중국이 핵심적인 역할을 하는 등 글로벌 공급 체인이 일상화됐다. 빈번한 인구 이동과 도시화, 그리고 그로 인한 메가시티 등을 통해 세계 인구의 상당 부분이 서로 더 가깝게 연결됐다. 이러한 상호연결성의 증가는 팬데믹(pandemic, 대유행)의 위험을 증가시키고 공급망과 여행을 줄어 심각한 비즈니스 붕괴 가능성을 높인다”라고 덧붙였다.

또 다른 변화는 소셜 미디어의 부상이다. 소셜 미디어는 사람들이 서로 어떻게 의사소통하는지 뿐만 아니라 개인이 어떻게, 어디에서 뉴스를 얻는지에 엄청난 영향을 끼쳤다. 윔블은 “이것은 소셜 미디어가 인식을 확산하는 것으로 인정할 수 있지만, 때때로 소문과 히스테리로 쉽게 변질될 수 있다. 결국, 긍정적인 효과와 부정적인 효과가 모두 나타날 수 있다. 2003년 재계 지도자들은 정보의 부족에 대해 좌절했지만 오늘날은 때때로 ‘소방 호스’에서 쏟아지는 것처럼 느껴질 수 있는 압도적인 정보들에서 필요한 것을 선택해야 하는 상황이다. 따라서, 직원, 공급업체, 공급망 및 대중과 소통하기 위해 정보의 출처를 조사, 확인하는 것이 더 절실해졌다"라고 말했다.

이를 염두에 두고 보안 관점에서 기업의 팬데믹 계획을 위한 모범 가이드 7가지를 살펴보자.
 

1. 조기에 팬데믹 대비를 시작하라

자문 기업 캐드무스(Cadmus)의 니틴 나타라잔은 초기 단계부터 기업이 기존의 비즈니스 연속성, 비상 관리 및 위험 소통 계획을 검토해야 한다고 지적했다. 일시적인 인력감축이나 평균 이상의 원격 근무를 고려하는 것 등이 여기에 포함된다.

그는 “내외부적으로 상호의존성으로 인한 물리적 시스템과 사이버 시스템에 대한 위험과 취약성을 평가해야 한다. 여기서 상호의존성이란 공급망 파트너나 서비스 제공업체와의 관계까지 포함한다. 정보의 공백은 종종 부정확한 정보로 채워지므로, 조기에 정기적으로, 그리고 내외부적으로 소통해야 한다. 특히 보안 및 IT 임원은 정기적으로 고위 경영진에 브리핑하고 리더십의 기대와 진정한 위험 수용 수준을 명확히 이해할 필요가 있다"라고 말했다.
 

2. ‘정보 기준’을 설정하라

웜블은 광범위한 보건 문제에 대한 완벽한 정보를 찾는 것은 불가능하므로 보안 경영진의 혼란을 최소화하는 방법을 찾아야 한다고 지적했다. 예를 들면 신뢰할 수 있는 정보의 출처를 결정하는 것이다. 좋은 예로는 WHO, 질병통제센터(CDC), 또는 계약된 의료 대응 제공업체가 있다. 이들 출처를 활용하면 기업은 가능한 한 빨리 상황을 파악할 수 있다. 그는 “해결해야 할 틈새가 생기지 않는 한, 이러한 출처에 대한 인식 제고 캠페인에 집중해야 한다. 선정된 출처를 계속 이용하면 어떻게 상황이 변화하는지에 대한 트렌드 분석을 할 수 있다”라고 말했다.
 

3. 잠재적 트리거와 위험 허용 오차, 반응을 식별하라

웜블은 “모든 위기는 유동적이지만 긴급 의료 문제는 더 그렇다. 이럴 때는 트리거 기반 에스컬레이션 매트릭스는 더 자신감 있게 대응하는 데 큰 도움이 된다"라고 말했다. 즉 새로운 정보가 들어오면 가능한 한 빨리 검증하고 어떤 에스컬레이션 계획이나 다른 사전 점검한 의사결정 트리를 재교정해야 할지를 구분하는 것이다. 그는 “이미 알고 있는 ‘사실’이 바뀔 가능성이 있다는 것을 인정해야 한다. 이른바 '사실'과 비교해 기존 가정을 재평가한 다음 새로운 정보나 새로운 트렌드에 근거해 행동 계획을 수정할 준비를 해야 한다"라고 말했다.
 

4. 확실하게 조율된 대응을 하라

기업은 사이버 보안, 비상 관리 및 위험 소통 인력을 통합하는 강력하고 조정된 대응 방안을 확보해야 한다고 나타라잔은 조언했다. 그는 “기업에 비상 운영센터가 설치돼 있다면 이를 활용하는 것이 좋다. 직원 및 외부 이해관계자에 일관되고 빈번하게 소통할 수 있도록 해야 한다. 또한, 기업은 중앙, 지방 공공보건 조직과 협업해야 한다”라고 말했다.
 

5. 글로벌하게 생각하라

팬데믹이라는 용어는 복수의 대륙과 같은 넓은 지역에 퍼진 질병을 말한다. 따라서 기업은 보안 위험을 평가하거나 비즈니스 연속성 계획을 준비할 때는 전 세계적 규모에 미칠 수 있는 잠재적 영향에 대비해야 한다.

시장조사업체 IDC의 보안 전략 부사장인 피트 린드스트롬은 “모든 계획에 공급망, 고객, 서비스 제공업체를 포함한 전 세계적 비즈니스 측면을 고려해야 한다. 코로나19 같은 것은 지리적으로 영향이 제한되는 자연재해와 다르다. 또한, 많은 공급업체와 비즈니스 파트너가 세계의 서로 다른 지역에 있다는 것을 충분히 인식해야 한다. 비즈니스 파트너, 특히 공급망에 있는 파트너에 연락해 요청, 주문, 배송, 영수증, 결제 등에 대한 지침을 다시 확인해야 한다”라고 말했다.
 

6. 원격 작업 능력을 스트레스 테스트하라

코로나19의 최대 영향 추정치는 매우 다양하며 당분간 추정을 둘러싼 혼란은 계속될 것으로 보인다. 따라서 웜블은 “분명한 것은 비즈니스적 영향이 금방 사라지지는 않을 것이라는 점과 소멸하기 전까지 크게 유행할 수 있다는 것이다. 따라서 원격 업무는 선택에 의하거나 필요에 따라 비즈니스 연속성 계획에 중요한 역할을 하게 될 가능성이 크다. 현재 인프라의 모든 측면을 스트레스 테스트해야 하는 이유다”라고 말했다.

예를 들어 전체 직원의 10~20%를 원격으로 지원하는 IT 백본이 있을 때 이를 넘어서는 원격 업무가 몰릴 경우 어려움을 겪을 수 있다. 웜블은 “이런 테스트를 미리 해두지 않으면 문제를 해결하거나 누가 시스템에 액세스해야 하는지 우선순위로 정할 때 더 많은 시간을 들여야 한다”라고 말했다.
 

7. 정보를 투명하게 공유하라

정교한 비즈니스 연속성 계획조차 의료 위기가 야기할 수 있는 다양한 문제를 처리하는 데는 한계가 있을 수 있다. 정상적인 책임을 넘어설 수 있고 기꺼이 그렇게 하려는 헌신적인 직원이 없다면 상당히 어려워질 가능성이 크다. 웜블은 “그러한 직원의 노력을 인정하고 감사해야 한다. 압도적이고 모순되는 ‘정보’의 산을 샅샅이 살펴봐야 하는 직원의 부담을 없애거나 단순히 줄여줘, 그들이 본래 역할에 집중하고 부담 없이 조직에 대한 위험을 처리할 수 있도록 해야 한다”라고 말했다.

이어 “기업은 직원을 보살필 의무와 함께 비즈니스 파트너와 지역사회에 대한 광범위한 책임도 가지고 있다. 위기의 이면에는 기회가 있다. 코로나19 대유행은 기업이 비즈니스 성과뿐만 아니라 개인에게 직접적인 영향을 미치는 위기 상황에서 신뢰를 쌓고 자신의 가치를 증명하는 가장 좋은 기회가 될 수 있다”라고 덧붙였다. editor@itworld.co.kr



2020.03.04

'코로나19 대유행' 대비한 기업 보안 가이드 7단계

Bob Violino | CSO
2019년 12월 중국 우한에서 발원한 ‘코로나바이러스감염증(코로나19)’이 전 세계로 확산하고 있다. 2월 중순 기준 7만 명이 넘는 환자가 확인됐다. 세계보건기구(WHO)는 이번 발병을 국제적으로 관심을 가져야 하는 공중보건 비상사태로 선포했고, 보건당국은 이 병의 확산을 막기 위해 계속 노력하고 있다.
 
ⓒ Getty Images Bank

다른 보건 위기와 마찬가지로, 기업은 이번 사태가 그들의 운영에 미칠 잠재적 영향을 평가하고 유행병에 대처할 준비를 해야 한다. 국제 비즈니스 리스크 컨설팅 기업인 콘트롤 리스크(Control Risks)에서 위기 및 보안 컨설팅을 맡고 있는 카트 웜블은 “코로나19로 인한 위협에 대해 여전히 많은 불확실성이 존재한다. 그러나 분명한 것은 세계가 지난 2003년 사스(SARS)를 겪은 이후 여러 면에서 많이 변했다는 점이다”라고 말했다.

이어 "한 가지 예로, 우리는 훨씬 더 서로 연결돼 있다. 중국이 핵심적인 역할을 하는 등 글로벌 공급 체인이 일상화됐다. 빈번한 인구 이동과 도시화, 그리고 그로 인한 메가시티 등을 통해 세계 인구의 상당 부분이 서로 더 가깝게 연결됐다. 이러한 상호연결성의 증가는 팬데믹(pandemic, 대유행)의 위험을 증가시키고 공급망과 여행을 줄어 심각한 비즈니스 붕괴 가능성을 높인다”라고 덧붙였다.

또 다른 변화는 소셜 미디어의 부상이다. 소셜 미디어는 사람들이 서로 어떻게 의사소통하는지 뿐만 아니라 개인이 어떻게, 어디에서 뉴스를 얻는지에 엄청난 영향을 끼쳤다. 윔블은 “이것은 소셜 미디어가 인식을 확산하는 것으로 인정할 수 있지만, 때때로 소문과 히스테리로 쉽게 변질될 수 있다. 결국, 긍정적인 효과와 부정적인 효과가 모두 나타날 수 있다. 2003년 재계 지도자들은 정보의 부족에 대해 좌절했지만 오늘날은 때때로 ‘소방 호스’에서 쏟아지는 것처럼 느껴질 수 있는 압도적인 정보들에서 필요한 것을 선택해야 하는 상황이다. 따라서, 직원, 공급업체, 공급망 및 대중과 소통하기 위해 정보의 출처를 조사, 확인하는 것이 더 절실해졌다"라고 말했다.

이를 염두에 두고 보안 관점에서 기업의 팬데믹 계획을 위한 모범 가이드 7가지를 살펴보자.
 

1. 조기에 팬데믹 대비를 시작하라

자문 기업 캐드무스(Cadmus)의 니틴 나타라잔은 초기 단계부터 기업이 기존의 비즈니스 연속성, 비상 관리 및 위험 소통 계획을 검토해야 한다고 지적했다. 일시적인 인력감축이나 평균 이상의 원격 근무를 고려하는 것 등이 여기에 포함된다.

그는 “내외부적으로 상호의존성으로 인한 물리적 시스템과 사이버 시스템에 대한 위험과 취약성을 평가해야 한다. 여기서 상호의존성이란 공급망 파트너나 서비스 제공업체와의 관계까지 포함한다. 정보의 공백은 종종 부정확한 정보로 채워지므로, 조기에 정기적으로, 그리고 내외부적으로 소통해야 한다. 특히 보안 및 IT 임원은 정기적으로 고위 경영진에 브리핑하고 리더십의 기대와 진정한 위험 수용 수준을 명확히 이해할 필요가 있다"라고 말했다.
 

2. ‘정보 기준’을 설정하라

웜블은 광범위한 보건 문제에 대한 완벽한 정보를 찾는 것은 불가능하므로 보안 경영진의 혼란을 최소화하는 방법을 찾아야 한다고 지적했다. 예를 들면 신뢰할 수 있는 정보의 출처를 결정하는 것이다. 좋은 예로는 WHO, 질병통제센터(CDC), 또는 계약된 의료 대응 제공업체가 있다. 이들 출처를 활용하면 기업은 가능한 한 빨리 상황을 파악할 수 있다. 그는 “해결해야 할 틈새가 생기지 않는 한, 이러한 출처에 대한 인식 제고 캠페인에 집중해야 한다. 선정된 출처를 계속 이용하면 어떻게 상황이 변화하는지에 대한 트렌드 분석을 할 수 있다”라고 말했다.
 

3. 잠재적 트리거와 위험 허용 오차, 반응을 식별하라

웜블은 “모든 위기는 유동적이지만 긴급 의료 문제는 더 그렇다. 이럴 때는 트리거 기반 에스컬레이션 매트릭스는 더 자신감 있게 대응하는 데 큰 도움이 된다"라고 말했다. 즉 새로운 정보가 들어오면 가능한 한 빨리 검증하고 어떤 에스컬레이션 계획이나 다른 사전 점검한 의사결정 트리를 재교정해야 할지를 구분하는 것이다. 그는 “이미 알고 있는 ‘사실’이 바뀔 가능성이 있다는 것을 인정해야 한다. 이른바 '사실'과 비교해 기존 가정을 재평가한 다음 새로운 정보나 새로운 트렌드에 근거해 행동 계획을 수정할 준비를 해야 한다"라고 말했다.
 

4. 확실하게 조율된 대응을 하라

기업은 사이버 보안, 비상 관리 및 위험 소통 인력을 통합하는 강력하고 조정된 대응 방안을 확보해야 한다고 나타라잔은 조언했다. 그는 “기업에 비상 운영센터가 설치돼 있다면 이를 활용하는 것이 좋다. 직원 및 외부 이해관계자에 일관되고 빈번하게 소통할 수 있도록 해야 한다. 또한, 기업은 중앙, 지방 공공보건 조직과 협업해야 한다”라고 말했다.
 

5. 글로벌하게 생각하라

팬데믹이라는 용어는 복수의 대륙과 같은 넓은 지역에 퍼진 질병을 말한다. 따라서 기업은 보안 위험을 평가하거나 비즈니스 연속성 계획을 준비할 때는 전 세계적 규모에 미칠 수 있는 잠재적 영향에 대비해야 한다.

시장조사업체 IDC의 보안 전략 부사장인 피트 린드스트롬은 “모든 계획에 공급망, 고객, 서비스 제공업체를 포함한 전 세계적 비즈니스 측면을 고려해야 한다. 코로나19 같은 것은 지리적으로 영향이 제한되는 자연재해와 다르다. 또한, 많은 공급업체와 비즈니스 파트너가 세계의 서로 다른 지역에 있다는 것을 충분히 인식해야 한다. 비즈니스 파트너, 특히 공급망에 있는 파트너에 연락해 요청, 주문, 배송, 영수증, 결제 등에 대한 지침을 다시 확인해야 한다”라고 말했다.
 

6. 원격 작업 능력을 스트레스 테스트하라

코로나19의 최대 영향 추정치는 매우 다양하며 당분간 추정을 둘러싼 혼란은 계속될 것으로 보인다. 따라서 웜블은 “분명한 것은 비즈니스적 영향이 금방 사라지지는 않을 것이라는 점과 소멸하기 전까지 크게 유행할 수 있다는 것이다. 따라서 원격 업무는 선택에 의하거나 필요에 따라 비즈니스 연속성 계획에 중요한 역할을 하게 될 가능성이 크다. 현재 인프라의 모든 측면을 스트레스 테스트해야 하는 이유다”라고 말했다.

예를 들어 전체 직원의 10~20%를 원격으로 지원하는 IT 백본이 있을 때 이를 넘어서는 원격 업무가 몰릴 경우 어려움을 겪을 수 있다. 웜블은 “이런 테스트를 미리 해두지 않으면 문제를 해결하거나 누가 시스템에 액세스해야 하는지 우선순위로 정할 때 더 많은 시간을 들여야 한다”라고 말했다.
 

7. 정보를 투명하게 공유하라

정교한 비즈니스 연속성 계획조차 의료 위기가 야기할 수 있는 다양한 문제를 처리하는 데는 한계가 있을 수 있다. 정상적인 책임을 넘어설 수 있고 기꺼이 그렇게 하려는 헌신적인 직원이 없다면 상당히 어려워질 가능성이 크다. 웜블은 “그러한 직원의 노력을 인정하고 감사해야 한다. 압도적이고 모순되는 ‘정보’의 산을 샅샅이 살펴봐야 하는 직원의 부담을 없애거나 단순히 줄여줘, 그들이 본래 역할에 집중하고 부담 없이 조직에 대한 위험을 처리할 수 있도록 해야 한다”라고 말했다.

이어 “기업은 직원을 보살필 의무와 함께 비즈니스 파트너와 지역사회에 대한 광범위한 책임도 가지고 있다. 위기의 이면에는 기회가 있다. 코로나19 대유행은 기업이 비즈니스 성과뿐만 아니라 개인에게 직접적인 영향을 미치는 위기 상황에서 신뢰를 쌓고 자신의 가치를 증명하는 가장 좋은 기회가 될 수 있다”라고 덧붙였다. editor@itworld.co.kr

X