'인식과 행동 사이' IoT 보안, 키는 CIO가 쥐고 있다

의외로 많은 기업이 서드 파티 IoT 서비스의 관리, 감독 관련 실수를 대수롭지 않게 생각한다. 최근 보안 리서치 업체 포네몬 인스티튜트(Ponemon Institute)와 셰어드 어세스먼트 프로그램(Shared Assessments Program)이 조사해 분석한 보고서를 보면, 서드 파티의 IoT 리스크에 대해 보증을 요구하는 기업이 많지 않은 것으로 나타났다. CIO에게는 IoT 관련된 사내 리더십을 확보하기에 적합한 기회이기도 하다.



더 산타 페 그룹 CEO이자 회장인 캐서린 앨런은 “이번 연구 결과를 보면 응답자 중 25%만이 자사 이사회에서 IoT 리스크의 평가와 관리, 모니터링을 요구하고 있다. 이는 이사회를 설득하고 관리, 감독 실수 관리에 대한 관행을 시급하게 확립해야 한다는 것을 의미하는 것으로, CIO에게는 좋은 기회이기도 하다"고 말했다. 더 산타 페 그룹은 서드 파티 리스크 보장에 특화된 업계 표준 평가 프로그램인 셰어드 어세스먼트 프로그램을 관리하고 있다.

이번 보고서의 제목은 ‘사물 인터넷: 서드 파트 리스크의 새로운 시대를 열다’다. 주요 내용을 보면 응답자의 무려 94%가 무방비 상태로 노출된 IoT 기기나 애플리케이션을 악용하는 보안 위협이 기업에 재앙에 가까운 결과를 초래할 수 있다고 우려했다. 그러나 아이러니하게도 IoT 리스크를 관리하는 기업은 전체의 1/4밖에 되지 않았다.

이러한 결과는 현장에서 직접 뛰는 실무자와 이사회, 경영자, 관리자급 의사결정자 간의 관점의 차이를 잘 보여준다. 셰어드 어세스먼트 프로그램의 SVP 찰리 밀러는 “중간급 또는 그 이하의 관리자는 이런 위험이 있음을 알고 있다. 그러나 이런 인식이 의사결정의 상부까지 도달하지 못하는 것이 문제다"고 말했다.

이어 "이는 기업 전체를 흔들 수 있는 매우 큰 파급력과 영향력을 지닌 잠재적 리스크임에도 이를 이사회와 경영자, 매니저가 직접 다루지 않는다는 것을 의미한다. 따라서 적임자에게 리스크에 대한 메시지를 전달하고 설명해 효과적으로 대처할 수 있게 하는 것은 CIO의 역할이자 숙제다"라고 덧붙였다.

이번 조사는 CIO와 CISO, 최고 리스크 관리 책임자 및 다양한 분야의 리스크 관리 프로세스 전문가 553명을 대상으로 진행됐다. 주요 내용은 다음과 같다.

- 응답자의 76%는 향후 2년 이내에 보안 상태가 허술한 IoT 기기를 이용한 대규모 서비스 거부 공격이 발생할 것으로 예상했다.
- 69%는 서드 파티 리스크 관리 프로그램의 효율성에 관해 CEO와 이사회가 알아야 할 정보를 제대로 제공하고 있지 못했다.
- 응답자의 44%만이 IoT 보안 위협으로부터 네트워크나 기업 시스템을 보호할 수 있는 충분한 역량을 갖추고 있다고 답했다.
- 77%는 서드 파티가 리스크 관리 의무를 성실하게 다하지 않아 발생할 수 있는 IoT 관련 리스크를 고려하지 않고 있었다.
- 67%는 서드 파티 업체와 비즈니스 관계를 맺기 전에 IoT 보안과 프라이버시에 대한 사전 검토를 전혀 하지 않았다.

포네몬 인스티튜트 창립자이자 사장인 래리 포네몬은 "점점 더 많은 기업이 생산성 향상을 위해 IoT에 의존하고 있는데, 이로 인해 사이버 공격의 먹음직스런 목표가 되고 있다. 이번 설문 조사가 충격적인 것은 기업이 서드 파티 보안 위협의 파급력과 결과를 잘 알고 있으면서도 그에 대비한 준비나 부서 간 대화가 없다는 것, 즉 문제 인식과 해결 노력 간의 틈이 여실히 드러났다는 사실이다”고 말했다.

어쩌면 문제는 IoT가 기업에 영향을 미치는 범위가 너무 넓기 때문에 리스크 관리 책임이 한 곳으로 집중되지 못하는 것일 수도 있다. 포네몬은 “IoT 문제는 그 범위가 매우 넓다. CIO나 CISO가 리스크 관리를 맡을 수도 있지만 이 경우 기업 전체의 관점에서 바람직한 리스크 관리라기보다는 영업 부서 시각에서 최적화된 리스크 관리가 될 위험이 있다"고 말했다.

즉, 컴플라이언스나 리스크 관리가 아니라 비즈니스 기능의 하나로 IoT 리스크 관리를 인식하는 것이다. 이렇게 되면 결국 기업은 IoT 기기 보안을 서드 파티 파트너의 책임으로 돌리게 된다. 반면 서드 파티 입장에서는 IoT 기기를 사용하는 기업의 책임이라고 반박하는 일이 발생할 수 있다. 따라서 IoT 기기가 누구의 소유, 책임인지 거버넌스 구조 자체에서 명확히 해야 한다.

밀러는 "전적으로 IT 기업의 소유인지, 서드 파티와 파트너 형태로 공유하는 것인지 등을 확실히 해야 한다. 특히 이미 네트워크에 연결된 기기의 종류나 수를 명확히 파악하지 못하는 경우가 많은데, 이럴 때는 CIO의 역할이 특히 중요하다. 현재 기업이 사용하는 IoT 기기는 무엇인지, 이를 더 잘 관리하기 위해 무엇이 필요한지, 그리고 기존의 계약 및 정책이 IoT 기기 관리에 적합한지 등을 판단하는 것이 모두 CIO의 몫이다. 이를 위해 기기를 잘 업데이트해야 하는 것은 물론이다"고 말했다.


결국 기업은 공급망 상의 IoT 기기가 일으킬 수 있는 내재적 리스크를 이해하고, IoT 보안을 심각한 문제로 인식해 다뤄야 한다. 이사회를 비롯한 모든 관리자와 경영자에게 제품 개발 단계의 기기 설계/제작 과정부터 IoT 보안에 대한 고려가 반영돼야 함을 알리고 주지시켜야 한다. 구체적으로는 다음과 같은 노력이 필요하다.

- 서드 파티 IoT 기기 보안 위협은 이사회를 포함해 책임 고하를 막론한 모든 레벨에서 발생할 수 있음을 분명히 한다.
- 인벤토리 시스템이 IoT 기기를 포함하도록 에셋 매니지먼트 프로세스와 시스템을 업데이트하고, 인벤토리 상의 모든 기기의 보안 특성을 이해해야 한다. 보안 측면에서 허술하거나 부적합한 기기는 다른 기기로 대체한다.
- 계약서 및 정책 방침 중 IoT 관련 조항을 꼼꼼히 살펴보고, 필요하다면 새로운 IoT 관련 조항을 포함해 계약서 및 정책 방침을 개정한다.
- 서드 파티 평가 프로세스와 기술 범위를 확장해 IoT 기기에 특화된 평가가 가능하도록 한다.
- IoT 기기 보안과 관련해 구체적인 소싱 및 조달 요건을 확립한다.
- IoT 기기로 인한 위협을 완화하기 위한 전략과 기술 개발에 주력한다.
- 각종 전문가, 동종 업계 종사자, 관련 기관 및 규제 당국과 협력해 IoT 리스크 관리 방침 및 관행을 확립하고 이행한다.
- 이사회, 경영자, 법인, 현업 부서, 서드 파티 등 기업 각 부문에서 IoT에 관한 커뮤니케이션과 교육이 원활하게 이루어지도록 한다.
- 기업의 테크놀로지 의존도가 높을수록 리스크도 커진다는 사실을 주지한다.
- 새로운 테크놀로지, 이노베이션을 수용하되 보안을 가장 핵심적이고 근본적인 고려 사항으로 둔다. ciokr@idg.co.kr