대화가 길이다··· IT 리더가 나눠야 할 보안 논의 7가지

말이 그저 말일 뿐일 수 있겠지만, IT 보안에 있어서는 동료, 비즈니스 파트너 및 기타 관련 당사자와의 전략적 대화가 매우 중요하다. 기술 연구 및 자문 업체인 ISG의 사이버 보안 부서 공동 책임자인 로저 알브레히트는 지속적인 논의를 통해 사이버 보안 문제를 해결하는 것의 가치를 강조했다. 그는 이러한 논의가 효과적이고 강력한 전략에 대한 기업의 동조를 이끌어낸다고 덧붙였다.

그는 “논의를 통해 기업의 비즈니스 목적과 목표에 사이버 보안 이니셔티브와 리소스 요건을 확실히 통합할 수 있다. 이러한 논의는 변화하는 규제 및 규정 준수 요구사항을 다루고 위험완화를 위한 취약성과 위협을 드러낸다”라고 말했다.

알브레히트는 지속적인 IT 보안 대화를 통해 조직의 사이버 위험을 해결하고 전략적 목표에 도달해야 한다며 “이러한 대화는... 명확한 조치, 혜택, 일정, 격차를 해소하는 데 필요한 예산과 리소스의 명료화로 마무리되어야 한다”라고 설명했다.

보다 강력한 사이버 보안 전략을 수립하고자 하는 IT 리더를 위해 다음 7가지 질문을 정리했다. 대상은 최고 경영진, 비즈니스 파트너, IT 직원 모두일 수 있다.
 

1. 보안을 위해 시스템이 적절하게 현대화되어 있는가?
조직은 기술 인프라를 현대화해야 한다. 이 과정은 그저 보안 솔루션을 추가하는 것을 넘어 보안 아키텍처를 뒷받침하는 방안에 대한 논의를 요구한다고 필 베너블스 구글 클라우드 CISO는 말했다.

과거의 시스템은 현대적인 아키텍처(일반적으로 퍼블릭 또는 프라이빗 클라우드)에 맞춰 설계되지 않았기 때문에 본질적으로 결함이 있는 경우가 많다. 베너블스는 지난 10년 동안 기업들이 사이버 보안 제품에 많은 투자를 했지만 전반적인 IT 인프라를 업그레이드하거나 소프트웨어 개발에 대한 접근방식을 현대화하지 않은 사례가 많다고 지적했다.

그는 “이것은 모래 위에 건물을 짓는 것과 같다. IT현대화에 지속적으로 집중하고 투자하지 않으면 조직은 보안 발전의 이점을 충분히 누리지 못하고 악의적인 활동에 취약한 상태로 남게 된다”라고 말했다.

베너블스는 현대화 관련 대화가 이사회실, 경영진 회의, 사업부별 전략 세션에서 이루어져야 한다고 권장했다. 그는 “궁극적으로 올바른 이해관계자들 사이에서 논의가 이루어지고 로드맵이 활성화될 필요가 있다”라고 말했다.

2. 적절한 수준으로 사이버 시나리오를 다루고 있는가?
경영 컨설팅 회사인 아이스너 자문그룹의 파트너이자 아웃소싱 IT 서비스 리더인 라훌 마나는 팀 및 경영진 동료와 함께 시나리오 플레이를 하면 유용한 보안 인사이트를 얻을 수 있다고 전했다.

예를 들어, 주요 고객의 비즈니스가 사이버 공격으로 인해 중단된다면 어떻게 될까? 다음 단계는 무엇일까? 마나는 “이러한 유형의 사고 대응 계획은 고객과의 대화에서 매우 가치 있다”라고 강조했다. 이러한 보안 전략에 대한 대화는 일회성으로 끝나는 것이 아니라 지속적이고 주기적인 대화로 이어져야 한다고 그는 덧붙였다.

마나는 정기적인 대화 외에도 사고 대응 계획 테스트와 함께 매년 보안에 초점을 맞춘 회의를 개최하여 주요 경영진과 관리자에게 진화하는 정책, 관행 및 역할에 대한 최신 정보를 제공할 것을 권장했다.

아울러 사이버 공격에 대한 계획은 매우 귀중한 자산이며, 실행서를 통해 실질적으로 검증되고 정량화되어야 한다고 마나는 조언했다. “문서화된 지침을 지정된 보안 팀원들이 공유하여 사용할 수 있도록 하라. 보안 침해가 발생했을 때 신중한 대응 계획을 성공적으로 실행할 수 있도록 경로를 제공해야 한다”라고 그는 말했다.

3. 올바른 보안 문화를 조성했는가? 
조직의 IT 보안 전략에 대한 분위기가 중요하다고 아마존 웹서비스의 보안 부문 글로벌 파트너 책임자인 라이언 오시는 말했다. “개별 직원이 승인된 보안 가드레일 내에서 빠르게 움직일 수 있는 권한을 부여받는 보안 문화는 더 빠른 혁신 주기, 더 빠른 비즈니스 성과, 일반적으로 더 행복한 최종 고객으로 이어진다”라고 그는 전했다.

오시는 잘 정의된 보안 가드레일 내에서 개인이 혁신하고 신속하게 움직이는 구조가 효과적이라고 말했다. 그는 “애플리케이션 업데이트, 웹사이트 업데이트, 데이터베이스 변경 등의 항목을 게시하기 전에 보안팀의 승인을 요청하기 위한 티켓이 개설되고 있다면 보안 문화가 작동하지 않고 있을 가능성이 높다. 전사적으로 보안 문화를 통합하면 그 차이를 느낄 수 있을 것이다”라고 말했다.

4. 위협에 대한 최신 정보를 제대로 파악하고 있는가?
사이버 범죄자들은 빠르게 진화하고 있다. 비즈니스 관리 자문 회사인 모건프랭클린 컨설팅의 차장인 그리핀 애쉬킨은 “사이버 위협의 새로운 특성에 대해 반드시 매우 직접적인 대화를 나누어야 한다”라고 강조했다.

최근의 경험에 따르면 사이버 범죄자들은 이제 랜섬웨어를 넘어 사이버 협박으로 나아가고 있다고 애쉬킨은 경고했다. 그는 “사이버 범죄자들은 조직 직원의 개인 식별 정보(PII)를 외부로 유출하겠다고 협박하여 직원을 신원 도용의 심각한 위험에 빠뜨리고 있다”라고 말했다.

애쉬킨은 또 보안 리더가 가능한 한 온프레미스 인프라를 재배치해 사이버 보호 책임을 클라우드 제공업체에게 이전하기 위해 노력해야 한다고 주장했다. 또한 정기적으로 예정된 경영진과의 대화를 통해 증강 보안 도구에 대한 잠재적 투자, 업데이트된 보안 인식 교육 자료, 최종 사용자와의 커뮤니케이션, 직원 위험을 해결하고 완화하는 데 필요한 기타 관련 조치 등을 구체화해야 한다고 그는 덧붙였다.

5. 효과적인 사고 대응 계획이 마련되어 있는가?
모든 기업은 사고 대응에 초점을 맞춘 대화를 나누어야 한다고 사이버 보안 회사 카멜롯 시큐어의 솔루션 엔지니어링 디렉터인 자카리 폴크는 권고했다.

폴크는 계획이 중요하다고 말했다. 논의에는 CIO, CISO, CTO, 사고대응 팀 코디네이터 및 모든 부서장을 포함한 기업의 경영진이 참여해야 한다. 회의와 대화는 사고 대응 계획의 개발 또는 업데이트로 이어져야 한다. 또한 자산과 우선순위를 검토하고 공격이 미칠 수 있는 영향을 평가하며 가능성이 높은 공격 위협을 식별할 필요성도 있다.

기업의 위험 관리 접근방식을 매트릭스 기반 측정(높음, 중간, 낮음)에서 정량적 위험 감소로 변경하면, 여러 변수에 대한 잠재적 영향에 대한 기준으로 삼을 수 있다. 폴크는 “간단한 몬테카를로 시뮬레이션과 기업에서 수집한 데이터를 사용하여 고위 직원에게 실제 손실 확률, 잠재적 발생 가능성 및 영향을 제시할 수 있다”라고 말했다.

6. 보안 투자에 ROI를 달성하고 있는가?
IT 자산 가시성 및 사이버 보안 기업 세브코의 CSO인 브라이언 콘토스는 이제 보안 ROI에 대한 논의를 새롭게 살펴볼 때라고 말했다. 기업들은 CMDB, SIEM, SOAR, EDR, 취약성 관리 및 관련 솔루션에 막대한 투자를 해왔다고 그는 지적했다.

그는 “이러한 솔루션의 가치를 실현하려면 자산 인텔리전스와 같이 솔루션으로 유입되는 정보가 정확하고 중복되지 않도록 해야 한다”라고 말했다. 엔터프라이즈급 보안 솔루션 내의 강력한 자산 인텔리전스는 위험을 더 잘 완화하는 데 도움이 될 뿐만 아니라 투자에 대한 ROI를 개선할 수 있다는 설명이다.

또 보안, IT 운영 및 GRC(거버넌스, 위험 및 규정 준수) 팀은 ROI 대화를 통해 환경에 대한 더 나은 가시성을 확보할 수 있어야 한다고 콘토스는 말했다. 빠른 개선이 필요한 영역을 식별하면서 좋은 점과 나쁜 점에 모두 초점을 맞춰야 한다. 그런 다음 라이선싱, 프로세스 개선, 취약점 찾기, 보안 제어 가시성, 규제 의무와 같은 주제를 해결하기 위해 우선순위가 지정된 조치를 적절한 팀에 할당할 수 있다.

그는 “궁극적으로 자산 인텔리전스를 활용하여 보안, IT 운영, GRC에 초점을 맞춘 기존 도구의 효과를 강화할 때 위험을 완화하고 ROI를 극대화가 모두 가능할 수 있다”라고 조언했다.

7. 현실적 재무 위험은 어느 정도인가?
아마도 가장 중요한 IT 보안 전략 대화는 한 가지 질문에 답하는 데 초점을 맞추고 있을 것이다: “IT 시스템이 다운되면 고객은 어떤 재정적 손실을 입게 될 것인가?”

이러한 논의의 목표는 안전하고 견고하며 탄력적인 IT 환경을 구축하는 것이며, 고객이 중단 없이 제품과 서비스를 제공할 수 있도록 계속 가동 상태를 유지할 수 있어야 한다고 관리형 서비스 및 IT 전략 업체인 블루 맨티스의 현장 CISO인 롭 피츠제랄드는 말했다.

피츠제럴드는 이러한 대화는 적어도 1년에 한 번 이상 이루어져야 하며, CIO와 CISO가 적절히 계획할 수 있기 때문에 예산 시즌 전에 이루어지는 것이 이상적이라고 조언했다. 또 비즈니스에 중대한 영향을 미치는 이벤트가 발생하면 그 기간 동안에도 대화가 이루어져야 한다. 

그는 “예를 들어, 조직이 어떤 부서를 매각하거나 다른 조직을 인수하려는 한다면 CIO와 CFO는 조직의 IT 시스템을 사용할 수 없게 될 경우 고객이 직면하게 될 재정적 손실을 재평가해야 할 책임이 있다”라고 말했다. ciokr@idg.co.kr