2020.04.29

성공적인 사이버보안 프로그램에서 나타나는 10가지 신호

Mary K. Pratt | CSO
CISO가 업무를 정량화하는 방법은 퇴치한 위협의 개수, 수행한 패치 횟수 등 여러 가지가 있다. 이 가운데에는 보안 팀이 얼만큼의 작업을 했는지 알려주는 지표도 있고, 평균 탐지 시간(time to detect)이나 평균 대응 시간(time to respond)과 같이 부서 인력과 프로세스, 기술의 효과를 가늠할 수 있는 지표도 있다.

그러나 보안 전문가들은 사이버보안 부서의 전체적인 역량을 확인하기 위한 다른 중요한 지표가 있다고 말한다. CISO는 특정 영역에서 보안 팀의 업무 수행을 보여주는 단발적 지표가 아닌 기업 내에서의 전반적인 성과를 살펴야 한다.
 
ⓒ Getty Images Bank

CISO와 보안 전문가들이 공통적으로 좋은 사이버보안 프로그램의 특징이라고 평가하는 요소는 다음과 같다.

- 자발적 칭찬
F5 네트웍스(F5 Networks) CISO 매리 가드너는 보안 관련 프로젝트, 특히 초기에 저항에 직면했던 프로젝트에 대한 자발적인 칭찬이야말로 보안 부서에 대한 회사의 진심어린 인정이라고 생각한다.

가드너는 한 의료 기관에서 다중 요소 인증 프로젝트를 이끌었다. 처음에는 애플리케이션에 액세스하는 속도가 느려질 것으로 우려한 의료진이 보안 조치에 저항했다. 그러나 가드너와 보안 팀은 의료진을 만나 이 방법이 혜택을 가져다줄 것이라고 설득했다. 더 중요한 점은 말로만 그치지 않고 새로운 보안 조치가 실제로 혜택을 제공했다는 것이다.

의료진은 다중 요소 인증을 통한 로그인이 이전 프로세스에 비해 더 빠르고, 덕분에 더 많은 애플리케이션에 모바일로 액세스할 수 있다는 사실을 확인하자 자발적으로 칭찬에 나섰다. 가드너는 “나는 즉흥적인 피드백을 선호한다. 사람들이 스스로 칭찬하고 싶은 생각이 들 정도로 우리가 아주 잘 해냈다는 의미이기 때문”이라고 말했다.

- 보안 비용, 비즈니스 부서에서 충당
보안 지출, 특히 방화벽 솔루션, 안티바이러스 소프트웨어와 같은 핵심 보안에 대한 지출은 대부분 보안 팀 자체 예산으로 감당한다. 그러나 보안 팀은 그 외에도 특정 비즈니스와 관련해 부가적인 투자를 자청할 때가 많은데, 정작 그 대상인 비즈니스 부서는 비용 지불은 고사하고 보안 계층을 추가하는 것 자체를 주저하곤 한다.

사이버보안 교육 기관인 SANS 인스티튜트(SANS Institute)에서 최신 보안 트렌드를 담당하는 존 페스카토어는 보안 팀이 비즈니스 부서와 효과적으로 협력해 보안 조치가 비즈니스 부서의 목표 실현에 어떻게 기여하는지를 명확히 입증함으로써 기꺼이 비용을 치르도록 유도하는 사례도 있다고 말했다.

페스카토어는 마케팅 부서가 소셜 미디어 보안 솔루션 비용을 지불하고, 데브옵스 팀이 개발 주기 단축 효과를 인정하고 개발 프로세스의 초기에 보안 툴 추가 비용을 치르는 경우를 예로 들었다.

페스카토어는 “조직에서 이는 진보된 보안 프로그램을 나타내는 신호다. 보안 팀에 대한 수요가 높고 사업부가 보안 조치에 소요되는 비용을 기꺼이 지불한다면 이미 성공적인 보안 팀이다. 사업부가 보안 조치의 혜택을 이해한다는 뜻”이라고 말했다.

- 효율성 입증
CISO는 보안 부서의 업무 성과를 측정하기 위해 평균 탐지 시간과 같은 지표를 수집하고 제시하는 데 익숙하지만 페스카토어는 강력한 보안 프로그램이라면 이제 효율성도 측정해야 한다고 말했다. 회사 매출 대비 IT 비용의 비중 등 CIO가 IT 팀의 효율성을 정량화하는 데 사용했던 지표와 비슷하다.

페스카토어는 “이는 유능한 CIO가 사용했던 방법”이라면서 노드당 SOC 인원 수, IT 인원 수 대비 보안 인원 수의 비율, 보안 관련 요청에 대하 평균 승인 시간과 같은 보안 지표를 효율성 지표로 사용하는 경우가 많다고 덧붙였다.

페스카토어는 “핵심은 효과와 효율성을 모두 높이는 것”이라며 이와 같은 지표가 개선된다면 비즈니스가 필요한 속도를 내는 데 있어 보안이 제대로 역할을 하고 있다는 의미로 해석할 수 있다고 말했다.

- 자문 요청
CISO는 자신이 조직에서 신뢰할 수 있는 비즈니스 파트너로 보이기를 원한다. 가드너는 동료들이 자신이나 보안팀원에게 조언을 구할 때 그렇게 느낀다.

가드너는 이전에 일했던 회사에서 있었던 일화를 들었다. 그 회사의 개발자들은 개발 중인 애플리케이션의 로그인 메커니즘과 관련한 문제에 직면했는데 자문을 보안 팀에 구했다. 가드너는 “뭔가 잘못되었음을 발견하고 조언을 구하러 온다면 보안 팀을 잘 알고 신뢰한다는 뜻”이라며 “신뢰하기 때문에 도움을 요청한다”고 말했다.

- 이사진 및 기타 경영진과의 원활한 관계
마찬가지 맥락으로, 가드너는 회사 이사 및 기타 고위 경영진과의 긍정적인 관계 역시 강력한 보안 프로그램을 나타내는 지표로 본다. 가드너는 “이사 및 임원급 인사와 상시 대화를 나누고 있다면 그 사람이 나를 신뢰할 수 있는 자문으로 본다는 의미”라고 말했다.

이런 환경에서 CISO는 단순히 브리핑을 하는 것이 아니라 자신의 관점을 전달하고 자문을 제공하며 전략 수립을 돕는다. 가드너는 “CISO뿐만 아니라 조직의 모든 사람에게 해당되는 이야기다. 경영진이 보안 팀을 알고 인정할 때 제대로 잘 하고 있음을 확신할 수 있다”고 말했다.

- 높은 성숙도 측정 지표
보안 책임자는 NIST, ISO/IEC 27001 IS 표준과 같이 정립된 보안 프레임워크에서의 높은 점수가 성숙하고 안정적인 프로그램을 나타내는 지표라고 말한다.

데이터브릭스(Databricks)의 보안 담당 부사장인 칼렙 시마는 NIST 매트릭스를 포함한 업계 표준을 사용해서 보안 부서를 위한 성숙도 모델을 개발했다. 시마는 회사의 보안 프로그램이 얼마나 성숙했는지를 확인하고 시간 경과에 따른 개선 정도를 추적하기 위한 도표를 만들었다.

시마는 “도표를 보면 지금 어디에 있고 1년 내에 어디까지 가야 하는지를 알 수 있다. 이를 통해 효과적인 보안 체계를 갖추고 있는지, 앞으로 진전하고 있는지 여부를 확인한다”면서, "보안 직원뿐만 아니라 회사 경영진과 다른 부서 소속 직원에게도 보안 현황을 알려주는 데 도움이 된다"고 말했다. 시마는 “기술에 기반한, 매우 전술적인 접근 방법”이라고 덧붙였다.

- 긍정적인 사용자 경험 보고
시마는 성공적인 보안 프로그램을 나타내는 또 다른 지표는 사용자 기대를 얼마나 잘 충족하고 있는지, 그리고 긍정적인 사용자 경험을 제공하는지 여부라고 말했다.

시마는 회사 직원을 상대로 보안 팀이 일을 잘 하고 있는지 여부를 묻는 설문을 실시했는데, 3개의 사용자 그룹(제품 엔지니어, IT, 나머지 인력)에 대해 3가지 설문을 사용했다. 시마는 “프로그램을 성숙시키면서 동시에 적절한 관계 피드백을 얻는다면 그것이 곧 좋은 프로그램을 나타내는 지표”라고 말했다.

- 서드파티 승인
기술 서비스 제공업체 위덤(Withum)의 사이버 및 정보 보안 서비스 사업부 책임자인 매튜 페란테는 외부 기관의 승인도 성공의 중요한 지표라고 말했다.

페란테는 “서드파티의 제대로 된 독립적 감사가 필요하므로 업체를 잘 선택해야 한다”면서 CISO는 “좋게 포장된 결과”를 제공하는 업체를 피하고 보안 정책과 프로세스, 절차, 기술을 철저히 검사하는 업체를 선택해야 한다고 덧붙였다.

페란테는 “외부의 시각은 보안이 정상 궤도에 있고 제대로 움직이고 있음을 보여주는 데 도움이 된다”고 말했다. 보안 조직 ISC2 CIO 브루스 빔 역시 같은 생각이다. 빔은 서드파티가 보안 팀의 업무를 점검하고 승인했음을 나타내는 PCI DSS(Payment Card Industry Data Security Standard)와 같은 인증을 받기 위해 노력하며, 협력업체를 대상으로도 이와 같은 인증이 있는지 확인한 이후에 네트워크에 연결하도록 허용한다고 말했다.

- 긍정적인 ROI
보스턴 컨설팅 그룹에 속한 BCG 플래티니언(BCG Platinion)의 사이버보안 부문 글로벌 리더 마이클 코든은 보안 팀이 긍정적인 투자수익을 측정하고 입증하는 것이 견고한 엔터프라이즈 프로그램임을 입증하는 길이라고 말했다.

코든은 "조직에서 보안 기술, 프로세스, 절차, 교육에 투자하는 비용보다 더 큰 위험 감소 효과를 봐야 한다"면서, "만일 다중 요소 인증을 구현하거나 새로운 교육 프로그램을 시행하는 데 1,000만 달러를 투자했는데 위험은 10억 달러만큼 감소했다면 아주 좋은 ROI"라고 말했다. 코든은 BCG 플래티니언이 사이버 도플러(Cyber Doppler)라는 자동화된 툴을 사용해 위험을 정량화하고 이 수치를 ROI 계산에 사용한다고 설명했다.

- 보편적인 보안 인식
전 회사에서 보안 팀을 이끌었던 브루스 빔은 당시 높은 업무 성과를 달성한 여러 직원에게 보상을 주고자 각 직원에게 50달러 전자 기프트 카드를 선물했다. 그런데 직원들은 그것이 피싱이라고 생각해 클릭하지 않았다.

빔은 "직원들의 이 같은 반응에 놀랐지만 생각해 보니 회사의 건강한 보안 문화를 나타내는, 지극히 정상적인 반응이었다"고 말했다. 보안이 회사 문화에 단단히 자리를 잡아 모든 부서의 직원이 보안을 가장 우선시하는 자세를 갖는 것, 빔은 그게 바로 자신이 원하는 모습이라고 말했다. editor@itworld.co.kr



2020.04.29

성공적인 사이버보안 프로그램에서 나타나는 10가지 신호

Mary K. Pratt | CSO
CISO가 업무를 정량화하는 방법은 퇴치한 위협의 개수, 수행한 패치 횟수 등 여러 가지가 있다. 이 가운데에는 보안 팀이 얼만큼의 작업을 했는지 알려주는 지표도 있고, 평균 탐지 시간(time to detect)이나 평균 대응 시간(time to respond)과 같이 부서 인력과 프로세스, 기술의 효과를 가늠할 수 있는 지표도 있다.

그러나 보안 전문가들은 사이버보안 부서의 전체적인 역량을 확인하기 위한 다른 중요한 지표가 있다고 말한다. CISO는 특정 영역에서 보안 팀의 업무 수행을 보여주는 단발적 지표가 아닌 기업 내에서의 전반적인 성과를 살펴야 한다.
 
ⓒ Getty Images Bank

CISO와 보안 전문가들이 공통적으로 좋은 사이버보안 프로그램의 특징이라고 평가하는 요소는 다음과 같다.

- 자발적 칭찬
F5 네트웍스(F5 Networks) CISO 매리 가드너는 보안 관련 프로젝트, 특히 초기에 저항에 직면했던 프로젝트에 대한 자발적인 칭찬이야말로 보안 부서에 대한 회사의 진심어린 인정이라고 생각한다.

가드너는 한 의료 기관에서 다중 요소 인증 프로젝트를 이끌었다. 처음에는 애플리케이션에 액세스하는 속도가 느려질 것으로 우려한 의료진이 보안 조치에 저항했다. 그러나 가드너와 보안 팀은 의료진을 만나 이 방법이 혜택을 가져다줄 것이라고 설득했다. 더 중요한 점은 말로만 그치지 않고 새로운 보안 조치가 실제로 혜택을 제공했다는 것이다.

의료진은 다중 요소 인증을 통한 로그인이 이전 프로세스에 비해 더 빠르고, 덕분에 더 많은 애플리케이션에 모바일로 액세스할 수 있다는 사실을 확인하자 자발적으로 칭찬에 나섰다. 가드너는 “나는 즉흥적인 피드백을 선호한다. 사람들이 스스로 칭찬하고 싶은 생각이 들 정도로 우리가 아주 잘 해냈다는 의미이기 때문”이라고 말했다.

- 보안 비용, 비즈니스 부서에서 충당
보안 지출, 특히 방화벽 솔루션, 안티바이러스 소프트웨어와 같은 핵심 보안에 대한 지출은 대부분 보안 팀 자체 예산으로 감당한다. 그러나 보안 팀은 그 외에도 특정 비즈니스와 관련해 부가적인 투자를 자청할 때가 많은데, 정작 그 대상인 비즈니스 부서는 비용 지불은 고사하고 보안 계층을 추가하는 것 자체를 주저하곤 한다.

사이버보안 교육 기관인 SANS 인스티튜트(SANS Institute)에서 최신 보안 트렌드를 담당하는 존 페스카토어는 보안 팀이 비즈니스 부서와 효과적으로 협력해 보안 조치가 비즈니스 부서의 목표 실현에 어떻게 기여하는지를 명확히 입증함으로써 기꺼이 비용을 치르도록 유도하는 사례도 있다고 말했다.

페스카토어는 마케팅 부서가 소셜 미디어 보안 솔루션 비용을 지불하고, 데브옵스 팀이 개발 주기 단축 효과를 인정하고 개발 프로세스의 초기에 보안 툴 추가 비용을 치르는 경우를 예로 들었다.

페스카토어는 “조직에서 이는 진보된 보안 프로그램을 나타내는 신호다. 보안 팀에 대한 수요가 높고 사업부가 보안 조치에 소요되는 비용을 기꺼이 지불한다면 이미 성공적인 보안 팀이다. 사업부가 보안 조치의 혜택을 이해한다는 뜻”이라고 말했다.

- 효율성 입증
CISO는 보안 부서의 업무 성과를 측정하기 위해 평균 탐지 시간과 같은 지표를 수집하고 제시하는 데 익숙하지만 페스카토어는 강력한 보안 프로그램이라면 이제 효율성도 측정해야 한다고 말했다. 회사 매출 대비 IT 비용의 비중 등 CIO가 IT 팀의 효율성을 정량화하는 데 사용했던 지표와 비슷하다.

페스카토어는 “이는 유능한 CIO가 사용했던 방법”이라면서 노드당 SOC 인원 수, IT 인원 수 대비 보안 인원 수의 비율, 보안 관련 요청에 대하 평균 승인 시간과 같은 보안 지표를 효율성 지표로 사용하는 경우가 많다고 덧붙였다.

페스카토어는 “핵심은 효과와 효율성을 모두 높이는 것”이라며 이와 같은 지표가 개선된다면 비즈니스가 필요한 속도를 내는 데 있어 보안이 제대로 역할을 하고 있다는 의미로 해석할 수 있다고 말했다.

- 자문 요청
CISO는 자신이 조직에서 신뢰할 수 있는 비즈니스 파트너로 보이기를 원한다. 가드너는 동료들이 자신이나 보안팀원에게 조언을 구할 때 그렇게 느낀다.

가드너는 이전에 일했던 회사에서 있었던 일화를 들었다. 그 회사의 개발자들은 개발 중인 애플리케이션의 로그인 메커니즘과 관련한 문제에 직면했는데 자문을 보안 팀에 구했다. 가드너는 “뭔가 잘못되었음을 발견하고 조언을 구하러 온다면 보안 팀을 잘 알고 신뢰한다는 뜻”이라며 “신뢰하기 때문에 도움을 요청한다”고 말했다.

- 이사진 및 기타 경영진과의 원활한 관계
마찬가지 맥락으로, 가드너는 회사 이사 및 기타 고위 경영진과의 긍정적인 관계 역시 강력한 보안 프로그램을 나타내는 지표로 본다. 가드너는 “이사 및 임원급 인사와 상시 대화를 나누고 있다면 그 사람이 나를 신뢰할 수 있는 자문으로 본다는 의미”라고 말했다.

이런 환경에서 CISO는 단순히 브리핑을 하는 것이 아니라 자신의 관점을 전달하고 자문을 제공하며 전략 수립을 돕는다. 가드너는 “CISO뿐만 아니라 조직의 모든 사람에게 해당되는 이야기다. 경영진이 보안 팀을 알고 인정할 때 제대로 잘 하고 있음을 확신할 수 있다”고 말했다.

- 높은 성숙도 측정 지표
보안 책임자는 NIST, ISO/IEC 27001 IS 표준과 같이 정립된 보안 프레임워크에서의 높은 점수가 성숙하고 안정적인 프로그램을 나타내는 지표라고 말한다.

데이터브릭스(Databricks)의 보안 담당 부사장인 칼렙 시마는 NIST 매트릭스를 포함한 업계 표준을 사용해서 보안 부서를 위한 성숙도 모델을 개발했다. 시마는 회사의 보안 프로그램이 얼마나 성숙했는지를 확인하고 시간 경과에 따른 개선 정도를 추적하기 위한 도표를 만들었다.

시마는 “도표를 보면 지금 어디에 있고 1년 내에 어디까지 가야 하는지를 알 수 있다. 이를 통해 효과적인 보안 체계를 갖추고 있는지, 앞으로 진전하고 있는지 여부를 확인한다”면서, "보안 직원뿐만 아니라 회사 경영진과 다른 부서 소속 직원에게도 보안 현황을 알려주는 데 도움이 된다"고 말했다. 시마는 “기술에 기반한, 매우 전술적인 접근 방법”이라고 덧붙였다.

- 긍정적인 사용자 경험 보고
시마는 성공적인 보안 프로그램을 나타내는 또 다른 지표는 사용자 기대를 얼마나 잘 충족하고 있는지, 그리고 긍정적인 사용자 경험을 제공하는지 여부라고 말했다.

시마는 회사 직원을 상대로 보안 팀이 일을 잘 하고 있는지 여부를 묻는 설문을 실시했는데, 3개의 사용자 그룹(제품 엔지니어, IT, 나머지 인력)에 대해 3가지 설문을 사용했다. 시마는 “프로그램을 성숙시키면서 동시에 적절한 관계 피드백을 얻는다면 그것이 곧 좋은 프로그램을 나타내는 지표”라고 말했다.

- 서드파티 승인
기술 서비스 제공업체 위덤(Withum)의 사이버 및 정보 보안 서비스 사업부 책임자인 매튜 페란테는 외부 기관의 승인도 성공의 중요한 지표라고 말했다.

페란테는 “서드파티의 제대로 된 독립적 감사가 필요하므로 업체를 잘 선택해야 한다”면서 CISO는 “좋게 포장된 결과”를 제공하는 업체를 피하고 보안 정책과 프로세스, 절차, 기술을 철저히 검사하는 업체를 선택해야 한다고 덧붙였다.

페란테는 “외부의 시각은 보안이 정상 궤도에 있고 제대로 움직이고 있음을 보여주는 데 도움이 된다”고 말했다. 보안 조직 ISC2 CIO 브루스 빔 역시 같은 생각이다. 빔은 서드파티가 보안 팀의 업무를 점검하고 승인했음을 나타내는 PCI DSS(Payment Card Industry Data Security Standard)와 같은 인증을 받기 위해 노력하며, 협력업체를 대상으로도 이와 같은 인증이 있는지 확인한 이후에 네트워크에 연결하도록 허용한다고 말했다.

- 긍정적인 ROI
보스턴 컨설팅 그룹에 속한 BCG 플래티니언(BCG Platinion)의 사이버보안 부문 글로벌 리더 마이클 코든은 보안 팀이 긍정적인 투자수익을 측정하고 입증하는 것이 견고한 엔터프라이즈 프로그램임을 입증하는 길이라고 말했다.

코든은 "조직에서 보안 기술, 프로세스, 절차, 교육에 투자하는 비용보다 더 큰 위험 감소 효과를 봐야 한다"면서, "만일 다중 요소 인증을 구현하거나 새로운 교육 프로그램을 시행하는 데 1,000만 달러를 투자했는데 위험은 10억 달러만큼 감소했다면 아주 좋은 ROI"라고 말했다. 코든은 BCG 플래티니언이 사이버 도플러(Cyber Doppler)라는 자동화된 툴을 사용해 위험을 정량화하고 이 수치를 ROI 계산에 사용한다고 설명했다.

- 보편적인 보안 인식
전 회사에서 보안 팀을 이끌었던 브루스 빔은 당시 높은 업무 성과를 달성한 여러 직원에게 보상을 주고자 각 직원에게 50달러 전자 기프트 카드를 선물했다. 그런데 직원들은 그것이 피싱이라고 생각해 클릭하지 않았다.

빔은 "직원들의 이 같은 반응에 놀랐지만 생각해 보니 회사의 건강한 보안 문화를 나타내는, 지극히 정상적인 반응이었다"고 말했다. 보안이 회사 문화에 단단히 자리를 잡아 모든 부서의 직원이 보안을 가장 우선시하는 자세를 갖는 것, 빔은 그게 바로 자신이 원하는 모습이라고 말했다. editor@itworld.co.kr

X