2019.11.11

칼럼 | CISO의 40%가 이사회에 '전혀' 보고하지 않는 현실

마크 윌첵 | CIO
보안 유출 사고가 일상적으로 뉴스면을 채우지만 사이버 위협으로부터 스스로를 적극적으로 보호하는 조직은 소수에 불과하다. 포네몬 인스티튜트의 연구를 보면, 63%의 CISO가 이사회에 정기적으로 보고를 하지 않고, 40%는 이사회에 전혀 보고를 하지 않는 것으로 나타났다. 

대다수 기업은 여전히 사이버 보안에 반응적 조치, 즉 사건이 발생하면 그 때서야 대처하는 방식을 취한다. 이는 기업을 사이버 범죄에 훨씬 더 취약하게 만들고, 디지털 트랜스포메이션 전략을 위험에 빠뜨린다. 

이사회 개입과 책임의 부재 
현대의 회사에게 IT시스템은 언제나 가동 중인 상태여야 하지만, 최고 임원들과 이사회 위원들은 사이버 위험 전략과 관련해 반응적 접근법을 고수한다. 10명의 CISO 가운데 4명이 이사회에 보고를 하지 않고 있다는 설문 조사 결과는 책임의 만성적 부족을 드러낸다. 사이버 범죄는 급증하고 있고, 대응하려면 더 많은 비용을 필요로 하지만, 단지 14%만이 보안 유출이 발생한 이후에 이사회에 보고하고, 이는 이미 늦은 상황인 것이 보통이다.

또 기업 이사 다수는 회사의 절박한 사이버 보안 문제를 알고 있을 때조차 행동하려 들지 않는다. 포네몬 설문조사에 응한 CISO의 3분의 1이 이사회나 CEO가 회사의 적정한 사이버 위험 수준을 결정하거나 승인한다고 말했고, 불과 21%만이 이사회나 CEO가 인수 합병 중 사이버 보안을 실사하도록 주문한다고 말했다. 

새로운 M&A 거래가 성사될 때 보안 유출이 드러날 경우 막대한 규제적 및 법률적 벌금이 부과될 수 있음에도 불구하고 그렇다. 대기업이 인수하는 혁신적인 신생기업의 예를 들어보자. 예컨대, GDPR은 벌금을 회사 매출을 기준으로 부과하고, 이는 새롭게 인수되어 합병되는 개체의 매출보다 훨씬 더 많은 것이 보통이다. 

전체적으로, 위 설문조사는 최고 임원과 이사회 위원이 회사의 사이버 위험에 대해 충분한 책임을 지고 있지 않음을 보여준다. 결과적으로, 사이버 위험은 시시하게 취급되고 폄하된다. 그리고 임원들은 무슨 일이 일어나고 있는지, 그리고 중요한 기업 데이터, 인프라, 여타 디지털 자산이 어떤 위험에 처할 수 있는지를 알지 못한다. 이 안이한 태도가 시사하는 메시지는 긍정적이지 않다. 

사이버 위험의 대응이 아닌 예방 
즉 조직 다수는 정기적으로 모니터링과 분석을 하는 것이 아니라, 그냥 무사하기를 바라다가 사고가 나면 그 때에서야 대응하는 경우가 대부분이다. 예를 들어 70%에 가까운 CISO가 자신의 조직이 이런 식으로 사이버 보안에 접근한다고 말했고, 63%는 지금의 것보다 우수한 모니터링 툴을 사용할 수 있을 것이라고 응답했다. 

다시 말해 회사들은 사이버 보안에 안이한 태도를 취하고 있을 뿐 아니라, 대다수가 자신 앞에 놓인 실질적 위협에 대해 무지하기까지 하다. 설문조사 응답자의 절반 이상이 IT 보안 장비에 허점이나 결함이 있어서 사이버 범죄에 매우 취약한 상태임을 인정했다. 

사실, 불과 24%의 응답자가 자신의 측정 및 지표 프로그램이 ‘성숙하다’고 응답했고, 30%는 ‘불완전하다’고 응답했다. 나머지 응답자는 잡다한 프로그램을 보유하고 있는 듯하다. 아울러, 무려 40%의 CISO가 회사의 사이버 태세를 수량화하거나 모니터링하지 않는다고 인정했고, 불과 39%만이 자신이 발견한 사실을 이사회에 제시했다. 

가치 체인 및 공급 체인을 서로 연결하기 위해 인프라를 개방할 필요성, 그리고 엄청난 양의 데이터를 고려한다면, 사이버 위협을 계속 추적하는 일은 한층 어려워진다. 

한편, 사이버 공격을 완화하는데 있어 속도는 피해를 최소화하는데 필수적이다. 사이버 전문 인력이 너무 부족하고, 아울러 사람만 투입한다고 해서 문제가 해결될 거라는 생각은 망상이다. 게다가, 인간 오류는 여전히 IT 서비스가 실패하는 가장 큰 이유 중 하나이다. 대신, 위협과 경보에 즉각 대응할 수 있으려면 자동화와 머신러닝을 이용해야 한다.

새로운 사고 방식의 필요 
수많은 조직이 IT인프라를 업그레이드했고, 새로운 기술, 앱, 디지털 플랫폼에 투자했다. 한편으로는 낡고 지속될 수 없는 프로세스 및 거버넌스 모델이 존재한다. 거의 절반에 가까운 조직이 사이버 위험을 측정하거나 추적하지 않고, 그렇게 하는 조직이라도 이를 이사회에 보고하는 경우가 그리 많지 않다. 

이는 아날로그 세계에서는 문제가 없었을지 모르지만, 디지털 시대에서는 위험을 불필요하게 증가시키고, 그냥 더 이상 적절하지 않다. 디지털 비즈니스에는 새로운 위험이 불가피하게 따라오기 마련이다. 매출, 수익, 평판은 탄력적 IT 운영에 갈수록 좌우된다. 따라서 CISO는 이사회에서 발언권이 높아져야 한다. 이를 무시하거나 위임해버리는 것은 단순히 태만한 것에 불과하다. 

필요한 것은 패러다임 전환이다. 사이버 탄력성을 중요시하고 존중하며, 나아가 IT서비스와 데이터의 무결성 및 가용성이 디지털 경제에서 차별화 요인임을 이해하는 새로운 기업 사고방식이 요구된다. 그러나 이를 달성하는 유일한 방법은 이사회가 이를 우선 순위에 두는 것이라고 포네몬은 강조하고 있다. 

포네몬 인스티튜트의 설립자이자 회장인 래리 포네몬은 “기업 문화는 상부에서 형성된다. 기업 리더가 강력한 사이버 보안 태세에 적극 개입하지 않는다면, 사이버 보안이 중대한 문제가 아니라는 메시지를 보내는 것이다”라고 말했다.

* 마크 윌첵은 ICT 분야에서 20년 년 이상 활동해온 디지털 전략가이자 CIO 컨설팅 전문가다. ciokr@idg.co.kr



2019.11.11

칼럼 | CISO의 40%가 이사회에 '전혀' 보고하지 않는 현실

마크 윌첵 | CIO
보안 유출 사고가 일상적으로 뉴스면을 채우지만 사이버 위협으로부터 스스로를 적극적으로 보호하는 조직은 소수에 불과하다. 포네몬 인스티튜트의 연구를 보면, 63%의 CISO가 이사회에 정기적으로 보고를 하지 않고, 40%는 이사회에 전혀 보고를 하지 않는 것으로 나타났다. 

대다수 기업은 여전히 사이버 보안에 반응적 조치, 즉 사건이 발생하면 그 때서야 대처하는 방식을 취한다. 이는 기업을 사이버 범죄에 훨씬 더 취약하게 만들고, 디지털 트랜스포메이션 전략을 위험에 빠뜨린다. 

이사회 개입과 책임의 부재 
현대의 회사에게 IT시스템은 언제나 가동 중인 상태여야 하지만, 최고 임원들과 이사회 위원들은 사이버 위험 전략과 관련해 반응적 접근법을 고수한다. 10명의 CISO 가운데 4명이 이사회에 보고를 하지 않고 있다는 설문 조사 결과는 책임의 만성적 부족을 드러낸다. 사이버 범죄는 급증하고 있고, 대응하려면 더 많은 비용을 필요로 하지만, 단지 14%만이 보안 유출이 발생한 이후에 이사회에 보고하고, 이는 이미 늦은 상황인 것이 보통이다.

또 기업 이사 다수는 회사의 절박한 사이버 보안 문제를 알고 있을 때조차 행동하려 들지 않는다. 포네몬 설문조사에 응한 CISO의 3분의 1이 이사회나 CEO가 회사의 적정한 사이버 위험 수준을 결정하거나 승인한다고 말했고, 불과 21%만이 이사회나 CEO가 인수 합병 중 사이버 보안을 실사하도록 주문한다고 말했다. 

새로운 M&A 거래가 성사될 때 보안 유출이 드러날 경우 막대한 규제적 및 법률적 벌금이 부과될 수 있음에도 불구하고 그렇다. 대기업이 인수하는 혁신적인 신생기업의 예를 들어보자. 예컨대, GDPR은 벌금을 회사 매출을 기준으로 부과하고, 이는 새롭게 인수되어 합병되는 개체의 매출보다 훨씬 더 많은 것이 보통이다. 

전체적으로, 위 설문조사는 최고 임원과 이사회 위원이 회사의 사이버 위험에 대해 충분한 책임을 지고 있지 않음을 보여준다. 결과적으로, 사이버 위험은 시시하게 취급되고 폄하된다. 그리고 임원들은 무슨 일이 일어나고 있는지, 그리고 중요한 기업 데이터, 인프라, 여타 디지털 자산이 어떤 위험에 처할 수 있는지를 알지 못한다. 이 안이한 태도가 시사하는 메시지는 긍정적이지 않다. 

사이버 위험의 대응이 아닌 예방 
즉 조직 다수는 정기적으로 모니터링과 분석을 하는 것이 아니라, 그냥 무사하기를 바라다가 사고가 나면 그 때에서야 대응하는 경우가 대부분이다. 예를 들어 70%에 가까운 CISO가 자신의 조직이 이런 식으로 사이버 보안에 접근한다고 말했고, 63%는 지금의 것보다 우수한 모니터링 툴을 사용할 수 있을 것이라고 응답했다. 

다시 말해 회사들은 사이버 보안에 안이한 태도를 취하고 있을 뿐 아니라, 대다수가 자신 앞에 놓인 실질적 위협에 대해 무지하기까지 하다. 설문조사 응답자의 절반 이상이 IT 보안 장비에 허점이나 결함이 있어서 사이버 범죄에 매우 취약한 상태임을 인정했다. 

사실, 불과 24%의 응답자가 자신의 측정 및 지표 프로그램이 ‘성숙하다’고 응답했고, 30%는 ‘불완전하다’고 응답했다. 나머지 응답자는 잡다한 프로그램을 보유하고 있는 듯하다. 아울러, 무려 40%의 CISO가 회사의 사이버 태세를 수량화하거나 모니터링하지 않는다고 인정했고, 불과 39%만이 자신이 발견한 사실을 이사회에 제시했다. 

가치 체인 및 공급 체인을 서로 연결하기 위해 인프라를 개방할 필요성, 그리고 엄청난 양의 데이터를 고려한다면, 사이버 위협을 계속 추적하는 일은 한층 어려워진다. 

한편, 사이버 공격을 완화하는데 있어 속도는 피해를 최소화하는데 필수적이다. 사이버 전문 인력이 너무 부족하고, 아울러 사람만 투입한다고 해서 문제가 해결될 거라는 생각은 망상이다. 게다가, 인간 오류는 여전히 IT 서비스가 실패하는 가장 큰 이유 중 하나이다. 대신, 위협과 경보에 즉각 대응할 수 있으려면 자동화와 머신러닝을 이용해야 한다.

새로운 사고 방식의 필요 
수많은 조직이 IT인프라를 업그레이드했고, 새로운 기술, 앱, 디지털 플랫폼에 투자했다. 한편으로는 낡고 지속될 수 없는 프로세스 및 거버넌스 모델이 존재한다. 거의 절반에 가까운 조직이 사이버 위험을 측정하거나 추적하지 않고, 그렇게 하는 조직이라도 이를 이사회에 보고하는 경우가 그리 많지 않다. 

이는 아날로그 세계에서는 문제가 없었을지 모르지만, 디지털 시대에서는 위험을 불필요하게 증가시키고, 그냥 더 이상 적절하지 않다. 디지털 비즈니스에는 새로운 위험이 불가피하게 따라오기 마련이다. 매출, 수익, 평판은 탄력적 IT 운영에 갈수록 좌우된다. 따라서 CISO는 이사회에서 발언권이 높아져야 한다. 이를 무시하거나 위임해버리는 것은 단순히 태만한 것에 불과하다. 

필요한 것은 패러다임 전환이다. 사이버 탄력성을 중요시하고 존중하며, 나아가 IT서비스와 데이터의 무결성 및 가용성이 디지털 경제에서 차별화 요인임을 이해하는 새로운 기업 사고방식이 요구된다. 그러나 이를 달성하는 유일한 방법은 이사회가 이를 우선 순위에 두는 것이라고 포네몬은 강조하고 있다. 

포네몬 인스티튜트의 설립자이자 회장인 래리 포네몬은 “기업 문화는 상부에서 형성된다. 기업 리더가 강력한 사이버 보안 태세에 적극 개입하지 않는다면, 사이버 보안이 중대한 문제가 아니라는 메시지를 보내는 것이다”라고 말했다.

* 마크 윌첵은 ICT 분야에서 20년 년 이상 활동해온 디지털 전략가이자 CIO 컨설팅 전문가다. ciokr@idg.co.kr

X