AI / CIO / CSO / How To / IoT / SNS / 데브옵스 / 디지털 트랜스포메이션 / 머신러닝|딥러닝 / 보안 / 비즈니스|경제 / 클라우드
디지털 변혁(DX)은 프로세스와 서비스를 디지털화해서 기업의 민첩성과 운영 효율성을 높이는 것이 목적이다. 그 범위는 고객 서비스 제공부터 공급망 협력업체와의 프로세스 개선까지 다양하다. 마케팅팀은 제품 홍보 방식을 혁신하고자 하고 HR부서는 채용을 개선하고자 하며 IT팀은 온라인 서비스를 즉시 반복하고자 한다.
DX 프로젝트를 시작하려는 조직들은 계획 및 전략 단계에서 인력과 프로세스, 기술을 한데 모아야 한다. 데이터 분석, 사물인터넷(IoT), 모바일, 소셜 등과 같은 기술들이 어디에서 차이를 만들어낼 수 있는지 확인할 기회를 제공해야 한다. 그런데 이 과정에서 정보보안이 너무 자주 배제된다고 보는 사람들이 많다.
보안 없는 디지털 변혁, 위험을 키운다
애자일과 데브옵스 같은 신속한 IT 및 업무 계획 덕분에 제품 출시가 빨라짐에 따라, 보안의 역할은 위험 및 보안에 미치는 연쇄 반응에 대해 나중에야 질문하는 식으로 제한돼 있다. 즉, 디지털 변혁은 고객(또는 그에 상응하는 대상)에 대한 가치 제공에 지나치게 집중한 나머지, 핵심 보안 기능에 미치는 영향은 거의 신경 쓰지 않는다.
데이터 유출과 취약점 사례가 늘어나면서 보안 없는 디지털 변혁이 조직들을 더 큰 위험에 노출시킨다는 지적도 나왔다. 최근 가트너는 보안 팀의 디지털 위험 관리 능력 부재로 2020년까지 디지털 기업의 60%가 중대한 서비스 장애를 겪을 것으로 예측했다.
가트너 보고서는 “디지털 사업이 전통적인 사업에 비해 빠른 속도로 움직인다. 통제를 극대화하는 전통적인 보안 접근법은 새로운 디지털 변혁의 시대에는 더 이상 통하지 않는다”고 지적했다.
보안이 디지털 변혁에서 소외됐나?
기존 DX 프로젝트들은 보안을 뒤늦게야 개입하거나 전혀 개입하지 않아서 실패하는 경우가 많다. 이는 델과 디멘셔널 리서치(Dimensional Research)의 조사 결과 사실로 확인되었다. 기업 임원들이 보안 팀 개입을 꺼리는 주된 이유는 디지털 변혁 활동을 방해하거나 차단할 가능성을 우려했기 때문이다.
작은 조짐들을 보면 흐름이 바뀌고 있음을 알 수 있다. 사상 최고 건수의 데이터 유출, 버그투성이의 IoT 소프트웨어, 보안 내재화(security-by-design) 운동 (EU의 GDPR로 인해 강화된 것이 분명함) 등으로 보안에 관한 관심이 전체적으로 커졌다. CCS 인사이트(CCS Insight)의 기업 조사 활동을 지휘하는 애널리스트 닉 맥콰이어는 “오늘날 보안은 모든 조직과 CIO에게 중대한 사안으로 자리 잡은 것을 볼 수 있다”고 밝혔다.
그는 계속해서 다음과 같이 말했다. “미국과 유럽 전역의 설문 조사 대상 기업 중 70% 이상은 보안 예산이 늘고 있다고 응답했다. 절반 가까이는 향후 몇 년 내에 사이버공격을 받을 가능성이 높다고 답했다. 데이터 보안은 디지털 작업장에서 투자 1순위이며 디지털 변혁 전략의 일부인 모바일 애플리케이션을 내놓을 때 해결해야 할 주된 과제다. 확실히 바뀐 것은 오늘날 보안은 기술의 핵심적인 우선순위일뿐 아니라 업무의 우선순위로 자리잡았다는 점이다.”
모두가 이렇게 생각하는 것은 아니다. 제이 골드 어소시에이츠(J. Gold Associates, LLC)의 창업주 겸 수석 애널리스트 잭 골드는 “여러 회사들과 대화를 나눠 본 경험에 의하면 그들은 보안에 대해 말로만 떠들고 (보안을) 디지털 변혁 과정의 주요 부분으로 삼지 않는다”고 지적했다.
그는 이 문제의 원인으로 CEO들을 지목했다. CEO는 (보안이) 중요하다는 것을 알지만 그 의미를 모르고, 다른 여러 업체의 다양한 솔루션이 필요한 기술적 ‘패치 작업’에 대해서도 모른다는 것이다. 골드는 “그 모든 것을 갖추기란 정말 어렵다”고 밝혔다.