2015.07.13

"사고·걱정·예산 늘었지만 기업 대응 능력은 제자리"

George V. Hulme | CSO
데이터 유출 사고가 늘어나고 있지만, 위협에 대처하는 기업의 역량은 제자리인 것으로 나타났다.  


이미지 출처: CSO staff

<CSO>는 최근 미국내 사이버범죄 현황을 조사한 결과, 사이버 범죄들에서 놀랄 만한 점을 발견했다. 지난해 홈디포와 JP 모건 체이스의 데이터 유출 사고가 있었고, 소니 픽쳐스의 사고, 최근에는 처음 알려진 것보다 심각한 미국 인사국(OPM)의 막대한 정보 유출 사고 등이 연이어 일어났다.

이런 계속된 사고들 속에서 사이버 범죄 의식이 역대 최고수준을 기록한 것은 놀라운 일이 아니다. 하지만 더욱 놀라운 점은 정보보안에 대해 지난 몇 년간 노력과 주의를 기울였는데도 대다수 기업들의 사이버 공격에 대한 대응 능력이 지지부진 하다는 것이다. 이런 사실은 우리가 미국의 비즈니스 중역, 법 집행 기관, 정부 기관 등 500여 곳 이상을 대상으로 한 2015년 미국 사이버범죄 현황 조사에서 드러난 가장 두드러진 사실 중 하나다. 이 조사는 PwC, <CSO>, 카네기멜론 대학의 소프트웨어 엔지니어링 인스티튜트의 CERT 부서, 미국 대통령 경호실 등의 공동 후원을 받았다.

올해 조사에서 정보보안 위험에 더 많이 걱정하게 됐다고 말한 응답자의 수는 1년 전 같은 조사의 59%에 비해 76%로 늘어났다. PwC의 최근 연례 글로벌 CEO 조사에서도 이와 비슷한 CEO들의 인식이 드러난다. PwC에 따르면, 사이버 공격이 경제 성장에 악영향을 미칠 수 있으며 이를 두려워하며 미국 내 CEO 87%가 이를 겁내고 있는 것으로 조사됐다.

현업-보안부서간 연결도 느슨하고 위험에 대한 가시성도 없어
정보보안이 이렇게 긴급한 과제인 상황에서 현업 임원들과 정보보안 팀은 좀더 공격에 강한 조직을 만드는데 왜 지금까지 계속 불화를 겪어왔던 것일까? 일리노이주 몰린에 있는 중장비 제조사 존 디어(John Deere)의 글로벌 보안 전략가 존 존슨은 “점점 더 많은 이사진들이 회사의 보안 프로그램의 격차를 인식해가고 있으며 조직 내에서 보안에 대한 더 큰 가시성과 성숙성을 요구하고 있다”고 밝혔다. 그런데도 내부의 과제들은 여전하다. 그 중에서도 중역 위계질서와 보고 체계가 가장 큰 관건이다. “문제는 보안 보고서가 CIO까지 올라가는 동안 그런 [보안] 변화들이 제시간과 효과를 잃어버릴 수 있다는 점이다”고 존슨은 지적했다.

“어떤 회사는 CISO를 CIO 아래에 두지 않고 별도로 두거나 CEO에게 직접 보고하는 체계를 만든다. 또 다른 회사들은 유출사고로 고통받을 때까지 버티고 나서 CISO 역할을 격상시킨다”고 존슨은 덧붙였다.

보안-비즈니스 접목은 모든 곳에서 느슨하거나 아예 존재하지 않는 것으로 응답자 대다수 사이에서 나타났다. 올해 조사에서는 응답자의 26%가 자신들의 CISO가 1년에 딱 1번 이사회에 보안 프레젠테이션을 하고, 28%는 어떠한 종류의 사이버보안 프레젠테이션도 하지 않는 것으로 파악됐다.

지난해에 비해 사이버보안 우려가 어떻게 달라졌나?



뉴욕시에 있는 사모펀드와 자산 관리 회사 블랙스톤 그룹(Blackstone Group)의 최고 정보보안 책임자 제이 릭은 일관성과 커뮤니케이션 부재를 전혀 느끼지 않는다고 강조했다. “나는 우리가 투명해질 수 있는 수준까지 우리의 보안 프로그램을 투명하게 운영해야 한다고 믿는다. 우리의 5대 원칙은 보호, 신뢰받는 조언자, 투명성, 의식, 측정이다”고 릭은 말했다.

“우리의 임무는 회사를 보호하는 것이지만 그보다 회사의 현업 임원들에게 신뢰받는 조언자 역할을 하는 게 더 중요하다. 리더들은 정보에 기반해 위험-기반 결정을 내릴 필요가 있고 나는 그들이 결정을 내려야 할 때 더 좋은 결정을 내리도록 조언해줘야 하기 때문이다. 우리는 회사에 더 큰 보안 의식을 불러오기 위해 이런 작업을 아주 투명한 방식으로 진행한다”고 그는 덧붙였다.

그런 노력의 큰 부분은 중역들이 사이버 범죄, 사이버 도청, 내부 위협, 해킹 행동주의 유형 조직들의 차이점을 이해하는데 도움을 줘서 각각 공격 이면의 동기에 대해 이해하고 왜 그 동기가 중요한지를 이해하는데 도움을 준다고 릭은 설명했다. “최근 18~24개월 사이에 우리가 발견한 새로운 위협들은 파괴, 보복, 불편 유발이었지 무엇을 훔치려는 시도가 아니었다. 이 점을 이해하는 것이 중요한데 이런 위협은 들어와서 나갈 것까지 걱정하는 게 아니라 그냥 들어오는 것만 신경 쓰면 되기 때문이다”고 그는 설명했다.




2015.07.13

"사고·걱정·예산 늘었지만 기업 대응 능력은 제자리"

George V. Hulme | CSO
데이터 유출 사고가 늘어나고 있지만, 위협에 대처하는 기업의 역량은 제자리인 것으로 나타났다.  


이미지 출처: CSO staff

<CSO>는 최근 미국내 사이버범죄 현황을 조사한 결과, 사이버 범죄들에서 놀랄 만한 점을 발견했다. 지난해 홈디포와 JP 모건 체이스의 데이터 유출 사고가 있었고, 소니 픽쳐스의 사고, 최근에는 처음 알려진 것보다 심각한 미국 인사국(OPM)의 막대한 정보 유출 사고 등이 연이어 일어났다.

이런 계속된 사고들 속에서 사이버 범죄 의식이 역대 최고수준을 기록한 것은 놀라운 일이 아니다. 하지만 더욱 놀라운 점은 정보보안에 대해 지난 몇 년간 노력과 주의를 기울였는데도 대다수 기업들의 사이버 공격에 대한 대응 능력이 지지부진 하다는 것이다. 이런 사실은 우리가 미국의 비즈니스 중역, 법 집행 기관, 정부 기관 등 500여 곳 이상을 대상으로 한 2015년 미국 사이버범죄 현황 조사에서 드러난 가장 두드러진 사실 중 하나다. 이 조사는 PwC, <CSO>, 카네기멜론 대학의 소프트웨어 엔지니어링 인스티튜트의 CERT 부서, 미국 대통령 경호실 등의 공동 후원을 받았다.

올해 조사에서 정보보안 위험에 더 많이 걱정하게 됐다고 말한 응답자의 수는 1년 전 같은 조사의 59%에 비해 76%로 늘어났다. PwC의 최근 연례 글로벌 CEO 조사에서도 이와 비슷한 CEO들의 인식이 드러난다. PwC에 따르면, 사이버 공격이 경제 성장에 악영향을 미칠 수 있으며 이를 두려워하며 미국 내 CEO 87%가 이를 겁내고 있는 것으로 조사됐다.

현업-보안부서간 연결도 느슨하고 위험에 대한 가시성도 없어
정보보안이 이렇게 긴급한 과제인 상황에서 현업 임원들과 정보보안 팀은 좀더 공격에 강한 조직을 만드는데 왜 지금까지 계속 불화를 겪어왔던 것일까? 일리노이주 몰린에 있는 중장비 제조사 존 디어(John Deere)의 글로벌 보안 전략가 존 존슨은 “점점 더 많은 이사진들이 회사의 보안 프로그램의 격차를 인식해가고 있으며 조직 내에서 보안에 대한 더 큰 가시성과 성숙성을 요구하고 있다”고 밝혔다. 그런데도 내부의 과제들은 여전하다. 그 중에서도 중역 위계질서와 보고 체계가 가장 큰 관건이다. “문제는 보안 보고서가 CIO까지 올라가는 동안 그런 [보안] 변화들이 제시간과 효과를 잃어버릴 수 있다는 점이다”고 존슨은 지적했다.

“어떤 회사는 CISO를 CIO 아래에 두지 않고 별도로 두거나 CEO에게 직접 보고하는 체계를 만든다. 또 다른 회사들은 유출사고로 고통받을 때까지 버티고 나서 CISO 역할을 격상시킨다”고 존슨은 덧붙였다.

보안-비즈니스 접목은 모든 곳에서 느슨하거나 아예 존재하지 않는 것으로 응답자 대다수 사이에서 나타났다. 올해 조사에서는 응답자의 26%가 자신들의 CISO가 1년에 딱 1번 이사회에 보안 프레젠테이션을 하고, 28%는 어떠한 종류의 사이버보안 프레젠테이션도 하지 않는 것으로 파악됐다.

지난해에 비해 사이버보안 우려가 어떻게 달라졌나?



뉴욕시에 있는 사모펀드와 자산 관리 회사 블랙스톤 그룹(Blackstone Group)의 최고 정보보안 책임자 제이 릭은 일관성과 커뮤니케이션 부재를 전혀 느끼지 않는다고 강조했다. “나는 우리가 투명해질 수 있는 수준까지 우리의 보안 프로그램을 투명하게 운영해야 한다고 믿는다. 우리의 5대 원칙은 보호, 신뢰받는 조언자, 투명성, 의식, 측정이다”고 릭은 말했다.

“우리의 임무는 회사를 보호하는 것이지만 그보다 회사의 현업 임원들에게 신뢰받는 조언자 역할을 하는 게 더 중요하다. 리더들은 정보에 기반해 위험-기반 결정을 내릴 필요가 있고 나는 그들이 결정을 내려야 할 때 더 좋은 결정을 내리도록 조언해줘야 하기 때문이다. 우리는 회사에 더 큰 보안 의식을 불러오기 위해 이런 작업을 아주 투명한 방식으로 진행한다”고 그는 덧붙였다.

그런 노력의 큰 부분은 중역들이 사이버 범죄, 사이버 도청, 내부 위협, 해킹 행동주의 유형 조직들의 차이점을 이해하는데 도움을 줘서 각각 공격 이면의 동기에 대해 이해하고 왜 그 동기가 중요한지를 이해하는데 도움을 준다고 릭은 설명했다. “최근 18~24개월 사이에 우리가 발견한 새로운 위협들은 파괴, 보복, 불편 유발이었지 무엇을 훔치려는 시도가 아니었다. 이 점을 이해하는 것이 중요한데 이런 위협은 들어와서 나갈 것까지 걱정하는 게 아니라 그냥 들어오는 것만 신경 쓰면 되기 때문이다”고 그는 설명했다.


X