2020.03.13

호주∙뉴질랜드 CSO의 보안 우선순위는? 운영기술∙IAM

Stuart Corner | CSO
지난해 ICT에 180억 달러 이상을 투자한 호주와 뉴질랜드의 58개 기업 및 기관을 대상으로 조사한 보고서인 CISO 렌즈 벤치마크 2019(CISO Lens Benchmark 2019)에 따르면, 평균 보안 투자 금액은 정규 직원당 평균 2,412호주달러로 집계됐다. 기술기업의 경우 이 직원당 보안 투자가 4,252호주달러며, 금융기업은 3,248호주달러였다. 

호주와 뉴질랜드의 CISO포럼인 CISO 렌즈의 전무 제임스 터너는 자본 지출(32%)과 운영 비용(68%) 사이, 그리고 '프로젝트'(40%)와 '평상시와 같은 비즈니스'(60%) 사이의 보안 지출 내역을 구분했다. 터너는 “특히 매우 기술적인 CIO가 운영하는 많은 조직은 툴을 구입하지만 실제로는 시간이 지남에 따라 유지관리가 필요하다는 사실을 잊는다. 즉, 직원은 교육을 받아야 하고 직원이 툴에서 가치를 추출할 시간을 주어야 한다. 그리고 직원이 이직하면 다른 직원을 훈련해야 한다”라고 설명했다. 

조사에 응한 2명의 CSO를 제외한 나머지 모든 CSO는 앞으로 12개월 동안 보안에 총 11억 호주달러를 투자한다고 밝혔다. 금액 기준 상위 8명이 전체의 51%를 차지했다. 또한 내년에는 65%가 예산을 늘릴 것으로 예상했으며 평균 증가율은 18%얐다. 보안 예산은 전체 IT예산에서 평균 6.3%를 차지했다.
 
ⓒCISO Lens 2019 Public Report
응답자들이 3가지 우선순위를 선택했기 때문에 응답 %의 총합은 100%가 넘는다. 노랑색 부분은 1순위로 가장 많이 지목된 항목이다.

최우선 과제. 응답자들은 3가지 우선순위를 선택한 결과 IAM(Identity and Access Management) 및 사물인터넷을 포함한 운영기술(OT)이 꼽혔다. OT는 최우선순위 답변이 가장 많았으며 IAM은 두번째로 많았다. 또한 IAM은 두번째 우선순위에서도 가장 높은 응답률을 보였다.

CSO 입지. 벤치마크는 주요 발견 중 하나로 회사 계층의 CSO 입지를 파악했다. CSO의 43%가 CEO에게 직접 보고하는 것으로 조사됐으며, 그 외는 CIO, CTO나 COO에 보고했다.

“응답자의 58%가 CEO에 직접 보고하지 않는 것으로 파악됐다. CEO 직접 보고는 경영진이 전문가 조언을 지속해서 쉽게 얻는 것이 얼마나 중요한지를 나타내는 잣대인데 이에 대해 현직 CSO/CISO의 입지를 분명하게 보여주는 대목이다. (그리고) 벤치마크 참가자의 43%가 CIO/CTO/CDO에 보고하는 것으로 조사됐다. 여기서 CIO/CTO/CDO는 CEO에게 직접 보고하는 임원들이었다. CEO 직접 보고 여부는 조직에서 기술과 보안 모두 전략적 기능으로 간주될 수 있다는 지표이기 때문에 중요하다”라고 보고서는 전했다.

터너는 CSO/CISO가 CEO에게 직접 보고하지 않고 누군가를 거쳐야 하는 점이 사이버 보안에 심각한 결과를 초래할 수 있다고 지적했다. “CISO가 CIO에게 보고하고 그 CIO가 다시 CEO에게 보고하는 사례가 있었다. 그 CIO가 누군가를 데려왔는데, 해당 CISO의 유일한 KPI는 비용 절감을 기반으로 했다. 그 CISO가 좋지 않은 성과를 내는 일을 상상하고도 남는다"라고 말했다. 

아웃소싱. 이 연구에서는 아웃소싱에 대한 불만도 발견됐다. 인소싱을 주요 접근 방식으로 취한다는 조직은 아웃소싱에 대해 대체로 절반 정도의 만족도를 나타냈다. 

보고서는 “이러한 결과가 의미하는 바는 상당수의 조직이 더 많은 사람과 함께 내부 역량을 높이고자 하면서 모두 같은 연못에서 낚시를 한다는 것이다. 젊은 사람을 뽑을 뿐 아니라 각각의 적성과, 양도 가능한 기술을 가진 사람들을 위해 전문 분야를 모색해 지속적인 인재 파이프라인 개발에 대한 명확한 요구 사항이 있다"라고 전했다. 

최고의 보안 업체. 응답자들은 조직의 보안 및 복구를 지원하는 데 도움이 되는 상위 5개 공급업체를 꼽았는데, 그 결과 가장 많이 지목된 4개 업체는 다음과 같다.

• 시만텍 : 21명이 선택. 이 조사는 브로드컴의 시만텍 인수가 공개되기 전에 수행됐다.
• 마이크로소프트 : 20명이 선택
• 시스코시스템즈 : 11명이 선택.
• 아마존웹서비스(AWS) : 9명이 선택

보고서에 대해
터너는 이 보고서가 통계적으로 유의미하지 않다고 말했다. 터너는 “매우 작은 그룹을 대표한다. [그러나] 이들은 [CSO/CISO] 역할을 만드는 데 시간과 자원을 들이는 회사며, 일반적으로 그 아래에 있는 팀과 모든 보고 구조 및 이를 둘러싼 지배 구조를 잘 나타내 준다”라고 설명했다.

2019 벤치마킹은 2018년 소규모 인프라스트럭처 조직의 CISO와 함께 수행한 소규모 조사인 CISO 렌즈에서 시작되었다. “(첫 번째 벤치마크에서 얻은) 데이터는 CIO와의 대화에서 계속 나타났다. 가령 ‘우리가 돈을 충분히 투자하고 있을까? 아니면 너무 많이 투자하고 있을까? 아니면 충분하지 않게 투자하고 있을까?’같은 대화다. 이는 가장 ‘핫’한 질문 중 하나다. 이사회는 그들이 옳은 일을 하고 있다는 것을 알고 싶어 하기 때문에 특히 관심이 있다. CIO는 종종 CEO와 CFO에게 말한다. ‘기준은 어디에 있습니까? 우리는 그 기준 바로 뒤에 있겠습니다'”라고 이야기했다. 

참여 CISO는 작년 말에 보다 포괄적인 벤치마킹 보고서를 받았다. 터너는 <CSO 호주>에 “조사에 참여한 CISO에게 이 공개 보고서를 전달할 수 있어 기쁘다. 왜냐하면 이들이 사이버 위험에 대해 적절하게 대응해야 하는 다른 조직이 있음을 알게 됐기 때문이다”라고 밝혔다.

터너는 리서치 및 자문 회사 IBRS의 대표로 CIO 그룹인 CIO 사이버 리스크 네트워크(CIO Cyber Risk Network)를 운영한다. ciokr@idg.co.kr
 



2020.03.13

호주∙뉴질랜드 CSO의 보안 우선순위는? 운영기술∙IAM

Stuart Corner | CSO
지난해 ICT에 180억 달러 이상을 투자한 호주와 뉴질랜드의 58개 기업 및 기관을 대상으로 조사한 보고서인 CISO 렌즈 벤치마크 2019(CISO Lens Benchmark 2019)에 따르면, 평균 보안 투자 금액은 정규 직원당 평균 2,412호주달러로 집계됐다. 기술기업의 경우 이 직원당 보안 투자가 4,252호주달러며, 금융기업은 3,248호주달러였다. 

호주와 뉴질랜드의 CISO포럼인 CISO 렌즈의 전무 제임스 터너는 자본 지출(32%)과 운영 비용(68%) 사이, 그리고 '프로젝트'(40%)와 '평상시와 같은 비즈니스'(60%) 사이의 보안 지출 내역을 구분했다. 터너는 “특히 매우 기술적인 CIO가 운영하는 많은 조직은 툴을 구입하지만 실제로는 시간이 지남에 따라 유지관리가 필요하다는 사실을 잊는다. 즉, 직원은 교육을 받아야 하고 직원이 툴에서 가치를 추출할 시간을 주어야 한다. 그리고 직원이 이직하면 다른 직원을 훈련해야 한다”라고 설명했다. 

조사에 응한 2명의 CSO를 제외한 나머지 모든 CSO는 앞으로 12개월 동안 보안에 총 11억 호주달러를 투자한다고 밝혔다. 금액 기준 상위 8명이 전체의 51%를 차지했다. 또한 내년에는 65%가 예산을 늘릴 것으로 예상했으며 평균 증가율은 18%얐다. 보안 예산은 전체 IT예산에서 평균 6.3%를 차지했다.
 
ⓒCISO Lens 2019 Public Report
응답자들이 3가지 우선순위를 선택했기 때문에 응답 %의 총합은 100%가 넘는다. 노랑색 부분은 1순위로 가장 많이 지목된 항목이다.

최우선 과제. 응답자들은 3가지 우선순위를 선택한 결과 IAM(Identity and Access Management) 및 사물인터넷을 포함한 운영기술(OT)이 꼽혔다. OT는 최우선순위 답변이 가장 많았으며 IAM은 두번째로 많았다. 또한 IAM은 두번째 우선순위에서도 가장 높은 응답률을 보였다.

CSO 입지. 벤치마크는 주요 발견 중 하나로 회사 계층의 CSO 입지를 파악했다. CSO의 43%가 CEO에게 직접 보고하는 것으로 조사됐으며, 그 외는 CIO, CTO나 COO에 보고했다.

“응답자의 58%가 CEO에 직접 보고하지 않는 것으로 파악됐다. CEO 직접 보고는 경영진이 전문가 조언을 지속해서 쉽게 얻는 것이 얼마나 중요한지를 나타내는 잣대인데 이에 대해 현직 CSO/CISO의 입지를 분명하게 보여주는 대목이다. (그리고) 벤치마크 참가자의 43%가 CIO/CTO/CDO에 보고하는 것으로 조사됐다. 여기서 CIO/CTO/CDO는 CEO에게 직접 보고하는 임원들이었다. CEO 직접 보고 여부는 조직에서 기술과 보안 모두 전략적 기능으로 간주될 수 있다는 지표이기 때문에 중요하다”라고 보고서는 전했다.

터너는 CSO/CISO가 CEO에게 직접 보고하지 않고 누군가를 거쳐야 하는 점이 사이버 보안에 심각한 결과를 초래할 수 있다고 지적했다. “CISO가 CIO에게 보고하고 그 CIO가 다시 CEO에게 보고하는 사례가 있었다. 그 CIO가 누군가를 데려왔는데, 해당 CISO의 유일한 KPI는 비용 절감을 기반으로 했다. 그 CISO가 좋지 않은 성과를 내는 일을 상상하고도 남는다"라고 말했다. 

아웃소싱. 이 연구에서는 아웃소싱에 대한 불만도 발견됐다. 인소싱을 주요 접근 방식으로 취한다는 조직은 아웃소싱에 대해 대체로 절반 정도의 만족도를 나타냈다. 

보고서는 “이러한 결과가 의미하는 바는 상당수의 조직이 더 많은 사람과 함께 내부 역량을 높이고자 하면서 모두 같은 연못에서 낚시를 한다는 것이다. 젊은 사람을 뽑을 뿐 아니라 각각의 적성과, 양도 가능한 기술을 가진 사람들을 위해 전문 분야를 모색해 지속적인 인재 파이프라인 개발에 대한 명확한 요구 사항이 있다"라고 전했다. 

최고의 보안 업체. 응답자들은 조직의 보안 및 복구를 지원하는 데 도움이 되는 상위 5개 공급업체를 꼽았는데, 그 결과 가장 많이 지목된 4개 업체는 다음과 같다.

• 시만텍 : 21명이 선택. 이 조사는 브로드컴의 시만텍 인수가 공개되기 전에 수행됐다.
• 마이크로소프트 : 20명이 선택
• 시스코시스템즈 : 11명이 선택.
• 아마존웹서비스(AWS) : 9명이 선택

보고서에 대해
터너는 이 보고서가 통계적으로 유의미하지 않다고 말했다. 터너는 “매우 작은 그룹을 대표한다. [그러나] 이들은 [CSO/CISO] 역할을 만드는 데 시간과 자원을 들이는 회사며, 일반적으로 그 아래에 있는 팀과 모든 보고 구조 및 이를 둘러싼 지배 구조를 잘 나타내 준다”라고 설명했다.

2019 벤치마킹은 2018년 소규모 인프라스트럭처 조직의 CISO와 함께 수행한 소규모 조사인 CISO 렌즈에서 시작되었다. “(첫 번째 벤치마크에서 얻은) 데이터는 CIO와의 대화에서 계속 나타났다. 가령 ‘우리가 돈을 충분히 투자하고 있을까? 아니면 너무 많이 투자하고 있을까? 아니면 충분하지 않게 투자하고 있을까?’같은 대화다. 이는 가장 ‘핫’한 질문 중 하나다. 이사회는 그들이 옳은 일을 하고 있다는 것을 알고 싶어 하기 때문에 특히 관심이 있다. CIO는 종종 CEO와 CFO에게 말한다. ‘기준은 어디에 있습니까? 우리는 그 기준 바로 뒤에 있겠습니다'”라고 이야기했다. 

참여 CISO는 작년 말에 보다 포괄적인 벤치마킹 보고서를 받았다. 터너는 <CSO 호주>에 “조사에 참여한 CISO에게 이 공개 보고서를 전달할 수 있어 기쁘다. 왜냐하면 이들이 사이버 위험에 대해 적절하게 대응해야 하는 다른 조직이 있음을 알게 됐기 때문이다”라고 밝혔다.

터너는 리서치 및 자문 회사 IBRS의 대표로 CIO 그룹인 CIO 사이버 리스크 네트워크(CIO Cyber Risk Network)를 운영한다. ciokr@idg.co.kr
 

X