'막연한 필요성만으론 부족해'··· 사이버 보안 성과 측정법 4단계

사이버 보안 업무의 가치와 효과를 제대로 측정하는 기업이 얼마나 될까? 최신 조사 결과를 보면 전 세계 기업 대부분이 이를 제대로 하지 않는 것으로 나타났다. 보안 현황 정보를 생성해 보여주는 정보 보안 시스템을 가진 기업도 많은 경우 이를 제대로 읽어내지 못했다.



사이코틱(Thycotic)의 수석 보안 사이언티스트 조셉 칼슨은 "많은 기업이 사이버 보안에 투자하고 있지만 대부분은 '이 보안 시스템이 실제 어떻게 도움이 되는가'라는 측면에서 그 효과를 검증하지 않는다. 비즈니스 영향 분석은 거의 하지 않고 단지 컴플라이언스를 충족하는지 정도만 확인한다. 이렇다 보니 보안 평가 기준도 여기에 맞춰져 있다"라고 말했다.

사이코틱은 PAM(Privileged Account Management)과 엔드포인트 관리 솔루션 업체로, ISO 27001 보안 표준과 업계의 성공 사례 등을 기반으로 보안 평가 지표(Security Measurement Index, SMI)을 만들어 보급하고 있다.

보안과 리스크 관리 문제를 분석하고 연구하는 비영리기관인 ISF(Information Security Forum)의 매니징 디렉터 스티브 더빈도 "보안 관점과 비즈니스 관점, 두 측면에서 동시에 평가하는 작업이 부족하다. 두 측면에서 보안 시스템의 효과를 측정하고 더 강화할 수 있는 방법론이 필요하다"라고 말했다.

사이버 보안 효과 평가에 실패하는 이유
사이코틱은 최근 전 세계 400곳 이상의 기업과 보안 전문가를 설문 조사해 'SMI 벤치마크 서베이' 결과를 발표했다. 그 결과 응답자의 58%가 보안 투자 대비 성과에서 낙제점을 받았다. 매년 기업이 사이버 보안에 투자하는 금액은 1000억 달러 이상이다. 그러나 이 중 32%는 보안 기술 구매를 결정할 때 주먹구구식인 것으로 나타났다. 응답자의 80% 이상은 투자 결정 과정에서 현업 사용자를 참여시키지 않았고, 비즈니스 효과와 보안 투자 관련 위험을 검토하는 위원회도 구성하지 않았다.

ISF도 이와 비슷한 문제의식을 느끼고 있다. 많은 CISO가 잘못된 KPI(key performance indicators)와 KRI(key risk indicators)를 사용하고 있다는 것이다. 더빈에 따르면, 잘못된 KPI/KRI를 사용하는 이유는 CISO 대부분이 보고하는 대상인 임원들과 충분히 대화하지 않기 때문이다. 임원이 원하는 것을 어림짐작만 하다보니 보고서를 작성할 때 정보 보안 효과성이나 운영 위험, 정보 보안 계획 같은 문제에 대해 무엇이 중요한지 방향을 잡지 못한다는 것이다.

더빈은 "상대방이 원하는 것을 모르는데 일을 제대로 할 수 있겠나? 결국 가정의 가정을 할 수 밖에 없고 일이 완전히 잘못되는 것이다. 예를 들어 보안 담당자는 항상 예산이 부족하다고 말한다. 그렇다면 현업 임원에게 이렇게 이야기해보자. '봐봐, 이 데이터가 정말 중요하면 이걸 보호하는 것을 도와줄게. 하지만 예산이 충분치 않아' 그러면 현업은 문제를 해결할 예산을 확보하기 위해 여기저기 전화할 것이다. 이제 예산은 보안 담당자의 문제가 아니라 현업의 문제가 되는 것이다"라고 말했다.

CISO는 이미 사이버보안 관련해서 많은 버거운 업무를 감당하고 있지만, 필요한 데이터와 함께 보안을 제공해야 하는 역할은 특히 중요하다. 칼슨은 "CIO의 핵심 역할은 기업이 올바른 의사결정을 하는 데 필요한 정보를 확실히 확보하는 것이다. 이를 위해서는 기업의 가장 중요한 핵심 자산을 식별해 이를 다른 것과 구분해야 한다. 그 이후에 이 자산을 보호하기 위해 CISO와 협업해야 한다"라고 말했다.


KPI와 KRI를 만드는 4단계
이처럼 보안 부서와 현업이 함께 현실적인 KPI와 KRI를 만들 수 있도록 ISF는 4단계 방법론을 개발했다. 더빈은 "이를 이용하면 정보 보안 부서가 현업의 요구에 선제적으로 대응할 수 있다"라고 말했다. 이 방법론의 핵심은 논의해야 할 적임자를 찾아 명확하게 의사소통하는 것이다. ISF의 방법론은 규모나 업종과 관계없이 모든 기업이 활용할 수 있으며 다음 4단계로 구성된다.

1. 관련성 확인: 현업의 상황을 이해하고 공통의 이해를 찾아 이를 반영한 KPI과 KRI 개발
2. 인사이트 생성: KPI/KRI를 만들어 조정하고 수정
3. 효과 높이기: 공통의 이해와 관련된 추천안을 만들고 이후 단계에 대한 의사 결정을 내림
4. 교육과 개선: 교육과 개선 계획을 마련

ISF 방법론의 핵심은 참여다. 참여는 관계를 만들고 서로의 이해를 높여 보안 체계에 현업의 요구를 더 잘 반영할 수 있도록 한다.

참여는 정확한 데이터에서 시작된다
참여는 관련성을 확인하는 것부터 시작된다. ISF 방법론을 보면 이것은 정확한 데이터를 확보하는 것을 의미한다. 이 데이터는 올바른 대상자를 위한 올바른 구조를 통해서만 측정하고 지원될 수 있다. 일단 수집된 데이터는 계속해서 기업 전반에 걸쳐 활용돼야 한다. ISF에 따르면 이 관련성을 확인하는 작업은 6단계로 구성된다.

1. 현업의 상황 이해
2. 지지자와 협업 대상을 확인
3. 공통의 이해 확인
4. 제1순위 정보 보안 확인
5. KPI/KRI 설계
6. KPI/KRI 검증 후 최종 확정

일단 데이터를 확보하면 여기서 인사이트를 찾아야 한다. ISF에 따르면, 가치 있는 인사이트는 KPI와 KRI를 제대로 이해해야 뽑아낼 수 있다. 인사이트를 찾는 과정은 다음 3단계 과정을 거친다.

1. 데이터 수집
2. KPI/KRI 개발 및 수정
3. 인사이트 추출을 위해 KPI/KRI 활용

인사이트를 찾아냈다면 이제 이를 통해 실제 성과를 만들어야 한다. 이를 최고경영진에 보고하고 직원 모두가 이를 이해하고 수용할 수 있도록 해야 한다. 이는 다음과 같은 과정을 거치며 결과적으로 올바른 의사결정과 행동으로 이어진다.

1. 결론과 제안, 추천안에 대한 동의
2. 보고서 작성 및 발표
3. 보고서 공개 및 배포 준비
4. 보고서 공개 및 다음 단계로 이행 합의

마지막 단계는 이런 과정을 통해 학습한 모든 것을 기반으로 교육과 개선 계획을 마련하는 것이다. ISF의 방법론에 따르면 이를 통해 정확한 성과와 리스크를 기반으로 더 세련된 의사결정을 할 수 있다. 정보 보안 업무가 우선순위와 현업의 다른 요구에 대해 선제적으로 대응할 수 있기 때문이다. 칼슨은 "여기서 끝이 아니다. 계속해서 혁신하는 태도를 유지해야 한다. 이것은 문화이자 의식적인 프로젝트다. 언제나 현재진행형이어야 한다"라고 말했다. ciokr@idg.co.kr