2018.03.16

'CISO, 디지털 변혁 최전선으로' 언제? 왜?

Doug Drinkwater | CSO

디지털 변혁(DX)은 프로세스와 서비스를 디지털화해서 기업의 민첩성과 운영 효율성을 높이는 것이 목적이다. 그 범위는 고객 서비스 제공부터 공급망 협력업체와의 프로세스 개선까지 다양하다. 마케팅팀은 제품 홍보 방식을 혁신하고자 하고 HR부서는 채용을 개선하고자 하며 IT팀은 온라인 서비스를 즉시 반복하고자 한다.



DX 프로젝트를 시작하려는 조직들은 계획 및 전략 단계에서 인력과 프로세스, 기술을 한데 모아야 한다. 데이터 분석, 사물인터넷(IoT), 모바일, 소셜 등과 같은 기술들이 어디에서 차이를 만들어낼 수 있는지 확인할 기회를 제공해야 한다. 그런데 이 과정에서 정보보안이 너무 자주 배제된다고 보는 사람들이 많다.

보안 없는 디지털 변혁, 위험을 키운다
애자일과 데브옵스 같은 신속한 IT 및 업무 계획 덕분에 제품 출시가 빨라짐에 따라, 보안의 역할은 위험 및 보안에 미치는 연쇄 반응에 대해 나중에야 질문하는 식으로 제한돼 있다. 즉, 디지털 변혁은 고객(또는 그에 상응하는 대상)에 대한 가치 제공에 지나치게 집중한 나머지, 핵심 보안 기능에 미치는 영향은 거의 신경 쓰지 않는다.

데이터 유출과 취약점 사례가 늘어나면서 보안 없는 디지털 변혁이 조직들을 더 큰 위험에 노출시킨다는 지적도 나왔다. 최근 가트너는 보안 팀의 디지털 위험 관리 능력 부재로 2020년까지 디지털 기업의 60%가 중대한 서비스 장애를 겪을 것으로 예측했다.

가트너 보고서는 “디지털 사업이 전통적인 사업에 비해 빠른 속도로 움직인다. 통제를 극대화하는 전통적인 보안 접근법은 새로운 디지털 변혁의 시대에는 더 이상 통하지 않는다”고 지적했다.

보안이 디지털 변혁에서 소외됐나?
기존 DX 프로젝트들은 보안을 뒤늦게야 개입하거나 전혀 개입하지 않아서 실패하는 경우가 많다. 이는 델과 디멘셔널 리서치(Dimensional Research)의 조사 결과 사실로 확인되었다. 기업 임원들이 보안 팀 개입을 꺼리는 주된 이유는 디지털 변혁 활동을 방해하거나 차단할 가능성을 우려했기 때문이다.

작은 조짐들을 보면 흐름이 바뀌고 있음을 알 수 있다. 사상 최고 건수의 데이터 유출, 버그투성이의 IoT 소프트웨어, 보안 내재화(security-by-design) 운동 (EU의 GDPR로 인해 강화된 것이 분명함) 등으로 보안에 관한 관심이 전체적으로 커졌다. CCS 인사이트(CCS Insight)의 기업 조사 활동을 지휘하는 애널리스트 닉 맥콰이어는 “오늘날 보안은 모든 조직과 CIO에게 중대한 사안으로 자리 잡은 것을 볼 수 있다”고 밝혔다.

그는 계속해서 다음과 같이 말했다. “미국과 유럽 전역의 설문 조사 대상 기업 중 70% 이상은 보안 예산이 늘고 있다고 응답했다. 절반 가까이는 향후 몇 년 내에 사이버공격을 받을 가능성이 높다고 답했다. 데이터 보안은 디지털 작업장에서 투자 1순위이며 디지털 변혁 전략의 일부인 모바일 애플리케이션을 내놓을 때 해결해야 할 주된 과제다. 확실히 바뀐 것은 오늘날 보안은 기술의 핵심적인 우선순위일뿐 아니라 업무의 우선순위로 자리잡았다는 점이다.”

모두가 이렇게 생각하는 것은 아니다. 제이 골드 어소시에이츠(J. Gold Associates, LLC)의 창업주 겸 수석 애널리스트 잭 골드는 “여러 회사들과 대화를 나눠 본 경험에 의하면 그들은 보안에 대해 말로만 떠들고 (보안을) 디지털 변혁 과정의 주요 부분으로 삼지 않는다”고 지적했다.

그는 이 문제의 원인으로 CEO들을 지목했다. CEO는 (보안이) 중요하다는 것을 알지만 그 의미를 모르고, 다른 여러 업체의 다양한 솔루션이 필요한 기술적 ‘패치 작업’에 대해서도 모른다는 것이다. 골드는 “그 모든 것을 갖추기란 정말 어렵다”고 밝혔다.
 


맥콰이어는 기업이 기술 발전을 따라가기 힘겨워한다는 것을 인정하면서 다음과 같이 말했다. “많은 회사가 급속한 기술 변화를 따라가지 못하고 있다. 악성코드, 랜섬웨어, 피싱 공격 등이 급속하게 부상하면서 위협 지형이 우리 눈앞에서 변화하고 있다. 또한, GDPR이라는 형태로 중대한 규제 변화가 일어나고 있다. 이로 인해 새로운 부담이 생기고 보안 및 개인정보 보호 프로세스가 약한 자들이 금전 부담을 지게 된다.”

이어서 맥콰이어는 “게다가 대다수 회사에 전반적으로 보안 인재가 부족하고, 대부분은 복잡하게 얽힌 구형 보안 기술을 시행하기 때문에, 다양한 기기 및 클라우드 앱에서 업무 정보에 접근하는 직원들로부터 제대로 보호되지 않고 있다”고 지적했다. 상황이 이렇다 보니 보안 시장이 호황을 맞고 있으며 새로운 보안 기술이 부상하고 있다. 맥콰이어가 예로 든 새로운 보안 기술에는 클라우드 접근 보안, 사용자 행동 분석 및 머신러닝, 서비스로서의 ID, 다단계 인증, 모바일 위협 방어 등이 있다. 그에 따르면, 이러한 기술들은 현대 보안 스택의 새로운 계층이라 할 수 있으며 회사 외부에 존재하는 데이터가 점점 늘어나서 이를 보호해야 하는 조직들을 보호해 주는 역할을 한다.

 


2018.03.16

'CISO, 디지털 변혁 최전선으로' 언제? 왜?

Doug Drinkwater | CSO

디지털 변혁(DX)은 프로세스와 서비스를 디지털화해서 기업의 민첩성과 운영 효율성을 높이는 것이 목적이다. 그 범위는 고객 서비스 제공부터 공급망 협력업체와의 프로세스 개선까지 다양하다. 마케팅팀은 제품 홍보 방식을 혁신하고자 하고 HR부서는 채용을 개선하고자 하며 IT팀은 온라인 서비스를 즉시 반복하고자 한다.



DX 프로젝트를 시작하려는 조직들은 계획 및 전략 단계에서 인력과 프로세스, 기술을 한데 모아야 한다. 데이터 분석, 사물인터넷(IoT), 모바일, 소셜 등과 같은 기술들이 어디에서 차이를 만들어낼 수 있는지 확인할 기회를 제공해야 한다. 그런데 이 과정에서 정보보안이 너무 자주 배제된다고 보는 사람들이 많다.

보안 없는 디지털 변혁, 위험을 키운다
애자일과 데브옵스 같은 신속한 IT 및 업무 계획 덕분에 제품 출시가 빨라짐에 따라, 보안의 역할은 위험 및 보안에 미치는 연쇄 반응에 대해 나중에야 질문하는 식으로 제한돼 있다. 즉, 디지털 변혁은 고객(또는 그에 상응하는 대상)에 대한 가치 제공에 지나치게 집중한 나머지, 핵심 보안 기능에 미치는 영향은 거의 신경 쓰지 않는다.

데이터 유출과 취약점 사례가 늘어나면서 보안 없는 디지털 변혁이 조직들을 더 큰 위험에 노출시킨다는 지적도 나왔다. 최근 가트너는 보안 팀의 디지털 위험 관리 능력 부재로 2020년까지 디지털 기업의 60%가 중대한 서비스 장애를 겪을 것으로 예측했다.

가트너 보고서는 “디지털 사업이 전통적인 사업에 비해 빠른 속도로 움직인다. 통제를 극대화하는 전통적인 보안 접근법은 새로운 디지털 변혁의 시대에는 더 이상 통하지 않는다”고 지적했다.

보안이 디지털 변혁에서 소외됐나?
기존 DX 프로젝트들은 보안을 뒤늦게야 개입하거나 전혀 개입하지 않아서 실패하는 경우가 많다. 이는 델과 디멘셔널 리서치(Dimensional Research)의 조사 결과 사실로 확인되었다. 기업 임원들이 보안 팀 개입을 꺼리는 주된 이유는 디지털 변혁 활동을 방해하거나 차단할 가능성을 우려했기 때문이다.

작은 조짐들을 보면 흐름이 바뀌고 있음을 알 수 있다. 사상 최고 건수의 데이터 유출, 버그투성이의 IoT 소프트웨어, 보안 내재화(security-by-design) 운동 (EU의 GDPR로 인해 강화된 것이 분명함) 등으로 보안에 관한 관심이 전체적으로 커졌다. CCS 인사이트(CCS Insight)의 기업 조사 활동을 지휘하는 애널리스트 닉 맥콰이어는 “오늘날 보안은 모든 조직과 CIO에게 중대한 사안으로 자리 잡은 것을 볼 수 있다”고 밝혔다.

그는 계속해서 다음과 같이 말했다. “미국과 유럽 전역의 설문 조사 대상 기업 중 70% 이상은 보안 예산이 늘고 있다고 응답했다. 절반 가까이는 향후 몇 년 내에 사이버공격을 받을 가능성이 높다고 답했다. 데이터 보안은 디지털 작업장에서 투자 1순위이며 디지털 변혁 전략의 일부인 모바일 애플리케이션을 내놓을 때 해결해야 할 주된 과제다. 확실히 바뀐 것은 오늘날 보안은 기술의 핵심적인 우선순위일뿐 아니라 업무의 우선순위로 자리잡았다는 점이다.”

모두가 이렇게 생각하는 것은 아니다. 제이 골드 어소시에이츠(J. Gold Associates, LLC)의 창업주 겸 수석 애널리스트 잭 골드는 “여러 회사들과 대화를 나눠 본 경험에 의하면 그들은 보안에 대해 말로만 떠들고 (보안을) 디지털 변혁 과정의 주요 부분으로 삼지 않는다”고 지적했다.

그는 이 문제의 원인으로 CEO들을 지목했다. CEO는 (보안이) 중요하다는 것을 알지만 그 의미를 모르고, 다른 여러 업체의 다양한 솔루션이 필요한 기술적 ‘패치 작업’에 대해서도 모른다는 것이다. 골드는 “그 모든 것을 갖추기란 정말 어렵다”고 밝혔다.
 


맥콰이어는 기업이 기술 발전을 따라가기 힘겨워한다는 것을 인정하면서 다음과 같이 말했다. “많은 회사가 급속한 기술 변화를 따라가지 못하고 있다. 악성코드, 랜섬웨어, 피싱 공격 등이 급속하게 부상하면서 위협 지형이 우리 눈앞에서 변화하고 있다. 또한, GDPR이라는 형태로 중대한 규제 변화가 일어나고 있다. 이로 인해 새로운 부담이 생기고 보안 및 개인정보 보호 프로세스가 약한 자들이 금전 부담을 지게 된다.”

이어서 맥콰이어는 “게다가 대다수 회사에 전반적으로 보안 인재가 부족하고, 대부분은 복잡하게 얽힌 구형 보안 기술을 시행하기 때문에, 다양한 기기 및 클라우드 앱에서 업무 정보에 접근하는 직원들로부터 제대로 보호되지 않고 있다”고 지적했다. 상황이 이렇다 보니 보안 시장이 호황을 맞고 있으며 새로운 보안 기술이 부상하고 있다. 맥콰이어가 예로 든 새로운 보안 기술에는 클라우드 접근 보안, 사용자 행동 분석 및 머신러닝, 서비스로서의 ID, 다단계 인증, 모바일 위협 방어 등이 있다. 그에 따르면, 이러한 기술들은 현대 보안 스택의 새로운 계층이라 할 수 있으며 회사 외부에 존재하는 데이터가 점점 늘어나서 이를 보호해야 하는 조직들을 보호해 주는 역할을 한다.

 


X