'CISO, 디지털 변혁 최전선으로' 언제? 왜?

CSO

디지털 변혁(DX)은 프로세스와 서비스를 디지털화해서 기업의 민첩성과 운영 효율성을 높이는 것이 목적이다. 그 범위는 고객 서비스 제공부터 공급망 협력업체와의 프로세스 개선까지 다양하다. 마케팅팀은 제품 홍보 방식을 혁신하고자 하고 HR부서는 채용을 개선하고자 하며 IT팀은 온라인 서비스를 즉시 반복하고자 한다.



DX 프로젝트를 시작하려는 조직들은 계획 및 전략 단계에서 인력과 프로세스, 기술을 한데 모아야 한다. 데이터 분석, 사물인터넷(IoT), 모바일, 소셜 등과 같은 기술들이 어디에서 차이를 만들어낼 수 있는지 확인할 기회를 제공해야 한다. 그런데 이 과정에서 정보보안이 너무 자주 배제된다고 보는 사람들이 많다.

보안 없는 디지털 변혁, 위험을 키운다
애자일과 데브옵스 같은 신속한 IT 및 업무 계획 덕분에 제품 출시가 빨라짐에 따라, 보안의 역할은 위험 및 보안에 미치는 연쇄 반응에 대해 나중에야 질문하는 식으로 제한돼 있다. 즉, 디지털 변혁은 고객(또는 그에 상응하는 대상)에 대한 가치 제공에 지나치게 집중한 나머지, 핵심 보안 기능에 미치는 영향은 거의 신경 쓰지 않는다.

데이터 유출과 취약점 사례가 늘어나면서 보안 없는 디지털 변혁이 조직들을 더 큰 위험에 노출시킨다는 지적도 나왔다. 최근 가트너는 보안 팀의 디지털 위험 관리 능력 부재로 2020년까지 디지털 기업의 60%가 중대한 서비스 장애를 겪을 것으로 예측했다.

가트너 보고서는 “디지털 사업이 전통적인 사업에 비해 빠른 속도로 움직인다. 통제를 극대화하는 전통적인 보안 접근법은 새로운 디지털 변혁의 시대에는 더 이상 통하지 않는다”고 지적했다.

보안이 디지털 변혁에서 소외됐나?
기존 DX 프로젝트들은 보안을 뒤늦게야 개입하거나 전혀 개입하지 않아서 실패하는 경우가 많다. 이는 델과 디멘셔널 리서치(Dimensional Research)의 조사 결과 사실로 확인되었다. 기업 임원들이 보안 팀 개입을 꺼리는 주된 이유는 디지털 변혁 활동을 방해하거나 차단할 가능성을 우려했기 때문이다.

작은 조짐들을 보면 흐름이 바뀌고 있음을 알 수 있다. 사상 최고 건수의 데이터 유출, 버그투성이의 IoT 소프트웨어, 보안 내재화(security-by-design) 운동 (EU의 GDPR로 인해 강화된 것이 분명함) 등으로 보안에 관한 관심이 전체적으로 커졌다. CCS 인사이트(CCS Insight)의 기업 조사 활동을 지휘하는 애널리스트 닉 맥콰이어는 “오늘날 보안은 모든 조직과 CIO에게 중대한 사안으로 자리 잡은 것을 볼 수 있다”고 밝혔다.

그는 계속해서 다음과 같이 말했다. “미국과 유럽 전역의 설문 조사 대상 기업 중 70% 이상은 보안 예산이 늘고 있다고 응답했다. 절반 가까이는 향후 몇 년 내에 사이버공격을 받을 가능성이 높다고 답했다. 데이터 보안은 디지털 작업장에서 투자 1순위이며 디지털 변혁 전략의 일부인 모바일 애플리케이션을 내놓을 때 해결해야 할 주된 과제다. 확실히 바뀐 것은 오늘날 보안은 기술의 핵심적인 우선순위일뿐 아니라 업무의 우선순위로 자리잡았다는 점이다.”

모두가 이렇게 생각하는 것은 아니다. 제이 골드 어소시에이츠(J. Gold Associates, LLC)의 창업주 겸 수석 애널리스트 잭 골드는 “여러 회사들과 대화를 나눠 본 경험에 의하면 그들은 보안에 대해 말로만 떠들고 (보안을) 디지털 변혁 과정의 주요 부분으로 삼지 않는다”고 지적했다.

그는 이 문제의 원인으로 CEO들을 지목했다. CEO는 (보안이) 중요하다는 것을 알지만 그 의미를 모르고, 다른 여러 업체의 다양한 솔루션이 필요한 기술적 ‘패치 작업’에 대해서도 모른다는 것이다. 골드는 “그 모든 것을 갖추기란 정말 어렵다”고 밝혔다.
 

---------------------------------------------------------------
디지털 변혁 인기기사
-> '앞서 움직이는 이들이 있다' IDG 테크서베이 2018 IT 전망
-> "측정 없이는 성공도 없다"··· 디지털화가 실패하는 이유
-> '디지털 혁신의 비결 있다'··· 성공하는 기업의 7가지 습관
-> 디지털 변혁이라는 격랑에서의 생존법··· PwC 임원이 제안하는 10가지
-> '기업 디지털 변혁의 성공 열쇠는?' 알티미터의 발견점
-> '디지털 기업으로의 전환' CIO 행동 강령 7가지
-> 디지털 비즈니스 시대, 고객을 떠나보내는 허튼짓 9가지
---------------------------------------------------------------

맥콰이어는 기업이 기술 발전을 따라가기 힘겨워한다는 것을 인정하면서 다음과 같이 말했다. “많은 회사가 급속한 기술 변화를 따라가지 못하고 있다. 악성코드, 랜섬웨어, 피싱 공격 등이 급속하게 부상하면서 위협 지형이 우리 눈앞에서 변화하고 있다. 또한, GDPR이라는 형태로 중대한 규제 변화가 일어나고 있다. 이로 인해 새로운 부담이 생기고 보안 및 개인정보 보호 프로세스가 약한 자들이 금전 부담을 지게 된다.”

이어서 맥콰이어는 “게다가 대다수 회사에 전반적으로 보안 인재가 부족하고, 대부분은 복잡하게 얽힌 구형 보안 기술을 시행하기 때문에, 다양한 기기 및 클라우드 앱에서 업무 정보에 접근하는 직원들로부터 제대로 보호되지 않고 있다”고 지적했다. 상황이 이렇다 보니 보안 시장이 호황을 맞고 있으며 새로운 보안 기술이 부상하고 있다. 맥콰이어가 예로 든 새로운 보안 기술에는 클라우드 접근 보안, 사용자 행동 분석 및 머신러닝, 서비스로서의 ID, 다단계 인증, 모바일 위협 방어 등이 있다. 그에 따르면, 이러한 기술들은 현대 보안 스택의 새로운 계층이라 할 수 있으며 회사 외부에 존재하는 데이터가 점점 늘어나서 이를 보호해야 하는 조직들을 보호해 주는 역할을 한다.

 


디지털 변혁에서 보안의 역할은 무엇인가?
DX에는 여러 단계가 있지만 보안이 자연스럽게 들어갈 부분이 어디인지는 불분명하다. 알티미터 그룹(Altimeter Group)의 6단계-정상 상태(평소와 다름없음), 현존하여 활동적(혁신의 등장), 공식화(규모 확장), 전략적(전사적 협력의 시작), 통합(전담 DX팀), 혁신적이고 적응적(디지털 변혁이 새로운 정상 기준이 됨)-를 기준으로 하면, 보안은 모든 단계에서, 아니면 최소한 후반 단계에라도 넣어야 한다고 할 수 있다.

CISO들은 DX 프로세스 전체에 걸쳐 존재하려는 듯하다. 예를 들면, 작년 말 한 행사에서 로스앤젤레스시의 CISO 티모시 리는 CISO들이 디지털 변혁을 수용하는 조직은 급변하는 글로벌 시장에 적응하기 쉽다고 말했다. 그는 “우리의 일은 단순히 기회와 위험을 관리하는 것이 아니다”고 전제하며 “우리의 역할은 사이버보안으로 사업을 가능케 하고 사이버보안이 디지털 변혁의 근간에 포함되는 방향으로 나아가는 것”이라고 덧붙였다.

한편, 제록스 CISO 앨리사 존슨(전 백악관 부 CIO) 역시 CISO가 보안을 최초 설계 과정부터 포함해야 한다고 강조하며, 개혁을 가로막는다면 오히려 CISO들이 “회사의 경쟁력과 명맥 유지 능력에 방해가 될 수 있다”고 경고한 바 있다.

지난주 <CSO50> 회의에서 내셔널 오일웰 바코(National Oilwell Varco)의 CIO 겸 CISO 알렉스 필립스는 디지털에 맞는 보안 인프라 재고 방식을 설명했다. 여기에는 신뢰할 수 있는 협력업체와 단계별 프로세스가 필요하다. 이러한 진전 방식은 보안이 다른 모든 이에게 서비스 제공자 역할을 하는 것에 그치지 말고 자체적인 변신을 거쳐야 한다는 골드의 의견과도 일치한다.

디지털 변혁의 진퇴양난 상황을 가장 잘 표현한 사람은 듀오 시큐리티(Duo Security)의 전 CISO 겸 최고 개인정보보호 책임자이자 현재는 수석 애널리스트인 덕 코플리다. 그에 따르면 CISO들은 IaaS, 마이크로서비스, API가 지배하는 정보 시대의 새로운 ‘구성 요소’에 문화적으로나 기술적으로 대응해야 한다고 강조했다. 이어서 코플리는 “CISO나 그와 비슷한 역할에 있는 사람들이 이제 기본적으로 해야 할 일은 해당 조직이 새로운 사업 모델과 신기술을 활용할 수 있게 하는 것이다”고 덧붙였다.

보안이 개입해야 할 단계에 대해 맥콰이어는 맨 처음부터 개입해야 한다는 데 의견을 같이 했다. 그는 다음과 같이 설명했다. “보안은 모든 디지털 변혁 계획의 최전선에 있어야 한다. 맨 처음인 기획 및 설계 단계부터 있는 것이 이상적이다. 설계 단계에서 보안을 염두에 두지 않거나 처음부터 맞는 원칙을 적용하지 않아서 프로젝트가 지연되거나 실패하는 경우를 너무 많이 본다. 따라서, 보안 팀이 마침내 개입되면 프로젝트 전체에 적신호가 내려진다. 보안이 디지털 변혁 활동의 일부가 되도록 맨 처음부터 조처를 하는 회사들은 장기적으로 성공할 뿐 아니라 오늘날의 환경에서 시장에 더욱 빨리 도달하는 것을 봐 왔다.”

디지털 변혁에는 새로운 보안 솔루션이 필요한가?
이처럼 보안에는 예방만큼 대응이 중요하다는 디지털 시대에 맥콰이어가 보안을 강화할 신기술의 수요를 감지하는 것은 놀랄 일이 아니다. 그는 “경계선이 사라짐에 따라 보안 요건이 변화하고 있다”고 말했다. 과거에는 고객들이 보안 제품을 보유하는 것에 집중했지만 이들 제품은 복잡하고 대체로 방어적이며 상호 통신이 되지 않는 경우도 많았다. 이제는 보다 통합되고 완전하며 감지와 대응 기능도 가능한 보안 플랫폼이 요구되고 있다.

맥콰이어는 “주로 방어를 필요로 하던 것에서 방어는 물론 탐지 및 대응을 필요로 하는 것으로 바뀌는 것은 인프라 전반, 즉, 온프레미스와 클라우드에 있는 애플리케이션, 네트워크, 기기 전반에 걸쳐 가시성이 요구되고 있기 때문이다”고 설명했다.

이는 엄청난 변화였다. 기업은 평판이 손상되고 규정 위반을 하는 위험을 피하고자, 보다 광범위한 공격 표면에 걸쳐 위협을 탐지하고 그 어느 때보다 빠르게 대응해야만 했기 때문이다. 그런 이유로 지난 몇 년간 시장 내 보안 범주들이 통합하고 M&A 활동이 늘어난 것을 볼 수 있었다.

보안 시장은 새로운 시대에 맞게 새로운 모습으로 거듭나고 있다. 맥콰이어에 따르면, 현대 보안 기술은 기업이 컴퓨팅의 모바일 및 클라우드 시대와 GDPR 하의 새로운 데이터 규정 준수 시대에 맞는 보안 아키텍처를 수립하는 데 도움을 줄 것이다.

골드는 인공지능(AI)이 ‘느슨한 시스템’을 한데 모을 가능성을 점치고 있다. 그는 따르면, 네트워크에 방대한 정보 중에 필요한 정보를 찾기 위한 새로운 통찰력을 제공할 것으로 전망했다. 이어서 “신기술은 디지털 변혁을 위해서도 필요하고 CISO들이 새로운 보안 모델을 실행하게 하는 데도 필요하다”고 말했다.

또한, 결국에는 각 팀에는 디지털 변혁 담당 임원이 있어야 한다. 임원의 역할은 보안을 확보하고(아니면 직원에게 보안을 확보하게 하고), 적절한 자원을 확보하는 것이다. 그러면 보안이 왜 중요한지에 대해 조직을 교육할 수 있다. 골드는 “만일 회사가 진행 중인 디지털 변혁 과정에 보안이 포함되지 않는다면 실패할 것이다. 보안이 없다면 디지털 변혁은 아무것도 아니게 된다”고 강조했다. ciokr@idg.co.kr