2018.08.07

기고 | 사이버공격 후 CEO가 해고된 이유

Tom Scholtz | CIO Australia
사이버공격이 있었다면 CEO는 리스크와 보안에 대한 접근 방식을 재설정해야 한다. 그렇지 않으면 다시금 위험에 빠질 수 있다.



미국 신용평가기관 에퀴팩스(Equifax)가 사이버공격을 받은 사건은 데이터 유출과 관련한 리스크가 CEO에 어떤 영향을 미치는지 경종을 울리게 한 일이었다. 최근 사이버보안 관련 규제를 보면, 사이버공격을 보고하고 예방하는 데 이사회와 임원의 책임이 커지고 있음을 알 수 있다.

또한 고위급 간부를 노리는 공격도 급증하고 있다. 경영진과 이사회가 사이버공격 자체를 제어할 수는 없지만 리스크에 맞서 대비할 수 있도록 조직의 준비 상태를 점검할 수는 있다.

조직을 완벽하게 보호할 수 있는 시절은 없었다. 하지만 어느 정도의 리스크를 감수하는 것이 합법적인 비즈니스 결정이다. 우리 회사가, 또는 우리 기관이 지구상에서 가장 보호받는 조직일 필요는 없다. 실제로, 리스크를 줄이기 위해 끝없이 발전하는 쪽을 택한다면, 이익이 줄어드는 법이다.

지속해서 리스크를 제거하려 들면 효율성을 해치고 고객 만족도를 낮추거나 부정적인 영향을 끼친다. 결국 비즈니스에 부정적인 영향을 주게 된다. 이를 믿지 않는 이사회를 위해 당신의 스마트폰과 태블릿을 제출하길 바란다. 그것들은 안전하지 않기 때문이다.

CEO는 리스크와 보안에 대한 접근 방식을 재설정해야 한다. 그렇지 않으면 해고당할 위험이 있다. 보안 프로그램의 목적은 보호의 필요성과 비즈니스 운영의 필요성 사이에서 균형을 이루는 것이다.

가트너는 CEO가 사이버보안 위반으로 해고될 수 있는 7가지 이유와 CEO가 직무를 유지할 방법을 연구했다.

1. 책임이 붕괴됐다
오늘날 책임이란 "무언가가 잘못될 경우 누구 해고당하는가"를 의미한다. 조직은 성공하려면 훌륭한 책임감이 필요하다. ‘당신이 책임지겠다’하고 한다면, 당신이 해고될 수도 있다는 의미다. 다른 사람들 그 누구도 여기에 동참하지 않을 것이다. 현실은 CEO가 더 많이 ‘책임을 져야 한다’는 것이다.

앞으로는 사고가 나기 전 의사결정으로 방어력을 판단하게 될 것이다. 지금 보안 예산을 적재적소에 사용하고 있나? 핵심 이해 관계자를 방어할 수 있나?

리스크 관리에 동참하지 않은 사람에게는 아무런 책임이 없다. “나는 보안 담당자가 시키는 대로 다 했다"는 말은 무책임한 발언이다. 임원을 보호 대상으로만 볼 게 아니라 보안 의사 결정에 참여하게 하라. 리스크를 다루는 책임이 있는 강력한 책임 모델은 체계적인 보안 문제가 훼손되지 않도록 보장해 준다.

2. 문화적 단절
완벽한 보호란 없다. 많은 이사회가 이 사실을 이해했을 것으로 생각하겠지만 그렇지 않다. 이사회는 여전히 IT에 묻혀있는 기술 인력이 처리하는 기술적인 문제라고 생각한다. 그들은 이 문제가 해결될 수 있다고 믿는다.

임원에게 패치 문제가 있다고 말하면 어떻게 될까? 그 임원은 아마도 이렇게 말할 것이다. "글쎄, 왜 이걸 고치지 않는 거야?" 임원들에 대한 패치 준비 수준을 보고하면 자신이 직업을 수행하고 있음을 알 수 있다.

"나는 보안 담당자를 믿었지"라는 변명하는 경영진은 해고될 것이다. 올바른 기술 지식을 갖춘 적절한 인력을 고용함으로써 공격받을 확률을 줄여야만 언론의 머리기사에 연일 오르는 일에서 벗어날 수 있다.

3. 패치를 받지 못한 서버
합법적인 비즈니스 이유가 있을 수 있지만 많은 조직에는 패치가 적용되지 않는 소수의 서버가 있다. 문제는 의도적인 비즈니스 의사결정이 나지 않는다는 것이다. 사업부 임원이 전화를 걸 수도 있다. 하지만 이는 기록이 남거나 보고되지 않는다.

눈에 보이지 않는, 시스템상의 위험은 어디에나 있다. 조직이 무엇을 할 것인가에 대해 의식적인 결정을 내릴 필요가 있지만, 더 중요한 것은 그 자체를 보호하기 위해 할 수 없는 일이다.

4. 보안 책임자는 조직의 변호인이다
보안 직원은 전문가이기 때문에 고용됐으며 그 사람의 업무는 조직을 보호하는 것이다. 여기에는 단절로 인한 문제로 사람들이 이해하지 못하는 비즈니스 결과까지도 보호하는 역할도 포함된다.

CEO가 보안 책임자와 전쟁을 벌인다
면, 이것이 위험한 일이다.

5. 문제 해결에 비용을 지불하라
탈출구를 살 수는 없다. 그리고 여전히 완벽하게 보호되지도 않는다. 보안 예산을 두 배로 늘린 조직에서는 지속 불가능한 솔루션을 만들기 시작했다. 지속적인 운영 비용에 대한 고려가 부족한 점은 공통적인 문제다.

운영 비용을 늘리고 잠재적으로 조직의 기능을 손상시켜 비즈니스 결과에 부정적인 영향을 주지 말아야 한다.

6. 리스크 감수와 기피 성향이 존재한다
조직은 올바른 의사 결정을 지원하지 않는 리스크 기피해 대해 포괄적으로 언급한 고위급 성명서를 작성한다. 리스크가 적은 활동에만 참여하려 하지 말라. 이는 비즈니스에 반하는 것이며, 당신이 위험한 활동에 동참할 경우 당신을 해고할 또 다른 구실을 만들어 줄 것이다.

7. 사회적 압력
해킹당했나? 당신은 분명 뭔가 잘못된 일을 했을 것이다.

해킹당한 조직을 비난하는 것은 강도를 당하기 위해 은행을 비난하는 것과 같다. 차이점은 그래도 은행은 방어 가능하다는 것이다. 대부분 조직은 그렇지 않다. 이는 불공평하지만 가끔 사람들은 머리를 굴리기를 원한다.

어떤 마을이 있는데 이 마을의 일부가 화재로 불탔다. 그런데도 그 마을의 시장은 해고당하지 않았다. 통제 불능인 불길을 다루는 데 대비하는 투자가 부족했다면 해고당했을 것이다. 문제 해결의 시작은 문제가 있음을 인정하는 데서 출발한다. 당신의 행동은 사람들이 문제를 인식하는 방법을 강화해줄 것이다. 
 
*Tom Scholtz는 가트너 연구원이자 보안 및 위험 관리 연구 담당 수석 부사장이다.
ciokr@idg.co.kr
2018.08.07

기고 | 사이버공격 후 CEO가 해고된 이유

Tom Scholtz | CIO Australia
사이버공격이 있었다면 CEO는 리스크와 보안에 대한 접근 방식을 재설정해야 한다. 그렇지 않으면 다시금 위험에 빠질 수 있다.



미국 신용평가기관 에퀴팩스(Equifax)가 사이버공격을 받은 사건은 데이터 유출과 관련한 리스크가 CEO에 어떤 영향을 미치는지 경종을 울리게 한 일이었다. 최근 사이버보안 관련 규제를 보면, 사이버공격을 보고하고 예방하는 데 이사회와 임원의 책임이 커지고 있음을 알 수 있다.

또한 고위급 간부를 노리는 공격도 급증하고 있다. 경영진과 이사회가 사이버공격 자체를 제어할 수는 없지만 리스크에 맞서 대비할 수 있도록 조직의 준비 상태를 점검할 수는 있다.

조직을 완벽하게 보호할 수 있는 시절은 없었다. 하지만 어느 정도의 리스크를 감수하는 것이 합법적인 비즈니스 결정이다. 우리 회사가, 또는 우리 기관이 지구상에서 가장 보호받는 조직일 필요는 없다. 실제로, 리스크를 줄이기 위해 끝없이 발전하는 쪽을 택한다면, 이익이 줄어드는 법이다.

지속해서 리스크를 제거하려 들면 효율성을 해치고 고객 만족도를 낮추거나 부정적인 영향을 끼친다. 결국 비즈니스에 부정적인 영향을 주게 된다. 이를 믿지 않는 이사회를 위해 당신의 스마트폰과 태블릿을 제출하길 바란다. 그것들은 안전하지 않기 때문이다.

CEO는 리스크와 보안에 대한 접근 방식을 재설정해야 한다. 그렇지 않으면 해고당할 위험이 있다. 보안 프로그램의 목적은 보호의 필요성과 비즈니스 운영의 필요성 사이에서 균형을 이루는 것이다.

가트너는 CEO가 사이버보안 위반으로 해고될 수 있는 7가지 이유와 CEO가 직무를 유지할 방법을 연구했다.

1. 책임이 붕괴됐다
오늘날 책임이란 "무언가가 잘못될 경우 누구 해고당하는가"를 의미한다. 조직은 성공하려면 훌륭한 책임감이 필요하다. ‘당신이 책임지겠다’하고 한다면, 당신이 해고될 수도 있다는 의미다. 다른 사람들 그 누구도 여기에 동참하지 않을 것이다. 현실은 CEO가 더 많이 ‘책임을 져야 한다’는 것이다.

앞으로는 사고가 나기 전 의사결정으로 방어력을 판단하게 될 것이다. 지금 보안 예산을 적재적소에 사용하고 있나? 핵심 이해 관계자를 방어할 수 있나?

리스크 관리에 동참하지 않은 사람에게는 아무런 책임이 없다. “나는 보안 담당자가 시키는 대로 다 했다"는 말은 무책임한 발언이다. 임원을 보호 대상으로만 볼 게 아니라 보안 의사 결정에 참여하게 하라. 리스크를 다루는 책임이 있는 강력한 책임 모델은 체계적인 보안 문제가 훼손되지 않도록 보장해 준다.

2. 문화적 단절
완벽한 보호란 없다. 많은 이사회가 이 사실을 이해했을 것으로 생각하겠지만 그렇지 않다. 이사회는 여전히 IT에 묻혀있는 기술 인력이 처리하는 기술적인 문제라고 생각한다. 그들은 이 문제가 해결될 수 있다고 믿는다.

임원에게 패치 문제가 있다고 말하면 어떻게 될까? 그 임원은 아마도 이렇게 말할 것이다. "글쎄, 왜 이걸 고치지 않는 거야?" 임원들에 대한 패치 준비 수준을 보고하면 자신이 직업을 수행하고 있음을 알 수 있다.

"나는 보안 담당자를 믿었지"라는 변명하는 경영진은 해고될 것이다. 올바른 기술 지식을 갖춘 적절한 인력을 고용함으로써 공격받을 확률을 줄여야만 언론의 머리기사에 연일 오르는 일에서 벗어날 수 있다.

3. 패치를 받지 못한 서버
합법적인 비즈니스 이유가 있을 수 있지만 많은 조직에는 패치가 적용되지 않는 소수의 서버가 있다. 문제는 의도적인 비즈니스 의사결정이 나지 않는다는 것이다. 사업부 임원이 전화를 걸 수도 있다. 하지만 이는 기록이 남거나 보고되지 않는다.

눈에 보이지 않는, 시스템상의 위험은 어디에나 있다. 조직이 무엇을 할 것인가에 대해 의식적인 결정을 내릴 필요가 있지만, 더 중요한 것은 그 자체를 보호하기 위해 할 수 없는 일이다.

4. 보안 책임자는 조직의 변호인이다
보안 직원은 전문가이기 때문에 고용됐으며 그 사람의 업무는 조직을 보호하는 것이다. 여기에는 단절로 인한 문제로 사람들이 이해하지 못하는 비즈니스 결과까지도 보호하는 역할도 포함된다.

CEO가 보안 책임자와 전쟁을 벌인다
면, 이것이 위험한 일이다.

5. 문제 해결에 비용을 지불하라
탈출구를 살 수는 없다. 그리고 여전히 완벽하게 보호되지도 않는다. 보안 예산을 두 배로 늘린 조직에서는 지속 불가능한 솔루션을 만들기 시작했다. 지속적인 운영 비용에 대한 고려가 부족한 점은 공통적인 문제다.

운영 비용을 늘리고 잠재적으로 조직의 기능을 손상시켜 비즈니스 결과에 부정적인 영향을 주지 말아야 한다.

6. 리스크 감수와 기피 성향이 존재한다
조직은 올바른 의사 결정을 지원하지 않는 리스크 기피해 대해 포괄적으로 언급한 고위급 성명서를 작성한다. 리스크가 적은 활동에만 참여하려 하지 말라. 이는 비즈니스에 반하는 것이며, 당신이 위험한 활동에 동참할 경우 당신을 해고할 또 다른 구실을 만들어 줄 것이다.

7. 사회적 압력
해킹당했나? 당신은 분명 뭔가 잘못된 일을 했을 것이다.

해킹당한 조직을 비난하는 것은 강도를 당하기 위해 은행을 비난하는 것과 같다. 차이점은 그래도 은행은 방어 가능하다는 것이다. 대부분 조직은 그렇지 않다. 이는 불공평하지만 가끔 사람들은 머리를 굴리기를 원한다.

어떤 마을이 있는데 이 마을의 일부가 화재로 불탔다. 그런데도 그 마을의 시장은 해고당하지 않았다. 통제 불능인 불길을 다루는 데 대비하는 투자가 부족했다면 해고당했을 것이다. 문제 해결의 시작은 문제가 있음을 인정하는 데서 출발한다. 당신의 행동은 사람들이 문제를 인식하는 방법을 강화해줄 것이다. 
 
*Tom Scholtz는 가트너 연구원이자 보안 및 위험 관리 연구 담당 수석 부사장이다.
ciokr@idg.co.kr
X