CISO들은 보안팀의 업무가 어떻게 회사의 수익에 유용한지 보여줄 새로운 지표를 찾고 있다. 그 경우 사이버 보안 투자의 비즈니스 가치를 수치화할 필요가 있다.
오랫동안 보안 책임자로 일한 파멜라 푸스코는 전 직장이었던 제약 회사에서 사이버 보안 프로그램의 비즈니스 가치를 명확하게 수치화하고자 했다. 그래서 그는 이를 측정할 수 있는 지표를 고안했다.
당시 푸스코가 몸담았던 회사는 의약품 개발에 중요한 지적 자산을 보유한 다른 회사를 인수하는 과정에 있었다. 푸스코는 보안팀의 노력이 회사 제품의 시장 출시 속도에 어떤 영향을 미쳤는지에 초점을 맞춰, 인수 회사의 안전한 온보딩을 지원했던 팀의 작업 속도가 비즈니스 목표와 어떻게 연결되는지 계산했다.
정보 시스템 보안 협회(ISSA) 이사회 멤버이자 CISO를 역임하기도 한 푸스코는 “시장 출시와 보안이 인수 일정에 어떻게 도움이 되거나 해가 되는지를 다룬 지표였다. 이는 모두 비즈니스 가치와 관련이 있었다”라고 말했다.
푸스코는 이 지표를 통해 보안팀의 업무와 예산이 어떻게 회사를 보호하는지뿐만 아니라 실제로 비즈니스 수익에 어떻게 유용한지 보다 명확하게 파악할 수 있었다고 설명했다. 그는 “비즈니스 성장을 위해 CISO가 무엇을 하고 있는지 보여주고 싶을 터다. CISO의 업무는 비즈니스 가치를 항상 명확하게 설명하지는 못하기 때문에 때로는 숫자뿐 아니라 정보를 제공하기 위해 창의력을 발휘해야 한다”라고 조언했다.
쉽지 않은 CISO의 비즈니스 가치 입증
모든 경영진과 마찬가지로 CISO도 목표 달성과 관련한 효과와 진행 상황을 평가하기 위해 다양한 메트릭과 핵심 성과 지표를 사용한다.
그러나 매출과 수익에 대한 기여도를 보다 직접적으로 측정할 수 있는 다른 비즈니스 부문의 리더와 달리, CISO에게 비기술직 직원 대부분을 충분히 이해시키고 가치를 입증할 기성 지표는 많지 않다.
예를 들어 CISO가 부서의 성과를 측정하기 위해 일반적으로 사용하는 지표로 ‘패치 주기’가 있다. 이는 보안 리더가 팀의 효율성을 측정하는 데 도움이 되지만, 일반적으로 최고 경영진과 이사회 구성원에게 보안의 가치에 대한 설득력 있는 스토리를 제공하기는 어렵다.
발루시안(BALUSIAN)의 공동 창립자 겸 CISO, 사이버 보안 고문, AI 윤리 컨설턴트인 파블로 발라린은 “지표를 구성하는 것은 일종의 예술”이라고 표현했다.
그는 “왜냐하면 ‘구성’이기 때문이다. 보안 담당자가 하는 다양한 업무와 여러 곳에서 가져온 데이터로 스토리를 ‘구성’하는 일이다. 취약점이나 공격이 많다는 식의 스토리가 아니라 맥락에 맞춰 스토리를 구성해야 한다. 그리고 그 맥락이 회사가 하는 일과 리스크에 어떻게 연결되는지 파악해야 한다. 말로는 쉽지만 실제로는 매우 복잡하다”라고 설명했다.
보안의 가치를 드러내는 스토리 구축
더 많은 CISO가 더 자주 이사회에 보고하게 되면서 데이터 포인트에서 스토리를 구성하는 일은 시급한 문제가 되고 있다.
임원 조사 기업 히치파트너스(Hitch Partners)가 발표한 ‘2024 CISO 설문조사 보고서’에 따르면 비상장 기업의 CISO 중 약 40%가 분기별로 이사회에 보고하고, 13%는 반기별, 11%는 연별, 11%는 요청 시 보고하는 것으로 나타났다. 상장 기업의 경우 분기별 48%, 반기별 22%, 연별 11%, 요청 시 보고하는 CISO는 8%에 달했다.
이처럼 이사회에 보고하는 CISO가 늘어나는 상황에서 이사회 구성원들은 사이버 보안 투자 수익에 대해 더 명확한 이해를 원하고 있다. 발라린은 “이해하지 못하면 이사회는 아마 ‘당신들이 많은 일을 한다는 건 알겠지만, 그 일들이 가치가 있는지 모르겠다’라고 말할 가능성이 높다”라고 설명했다.
가트너의 분석가들은 지난해 발간한 ‘사이버 보안 리더를 위한 효과적인 지표 관행’ 보고서에서 “보안 지표는 기업 가치와 관련이 있는 사이버 보안 스토리를 효과적으로 전달해야 한다”라며 더 나은 지표를 만들어야 할 필요성을 강조했다.
이 보고서는 또한 “보안 및 리스크 관리 리더는 이런 사실을 인지하고 있지만, 기술과 우선순위가 서로 다른 대상을 이해시키면서 기술 데이터를 이야기하는 데 어려움을 겪고 있다. 그 결과 최고 경영진과 이사회는 보안 지표를 보고 답변보다 질문이 많아지고, 사이버 보안은 비즈니스 목표 달성을 위한 전략적 자산이 아니라 기술적 장애물로 여겨지게 된다”라고 지적했다.
빠른 복구가 어떻게 매출을 정상 궤도에 올려놓는지 보여주기
가트너는 “보안이 기업 목표와 어떻게 연계되는지 설명하려면 결과 중심 지표를 사용해야 한다. 현재 역량을 평가하고 개선이 필요한 영역을 식별하기 위해 지표를 측정할 뿐만 아니라 비즈니스의 우선순위에 맞게 지표를 조정해야 한다. 다시 말해 지표를 비즈니스 성과와 명확하게 연결 지어야 한다”라고 조언했다.
발라린은 지난 1년 동안 어느 리테일 기업의 새로운 사이버 보안 책임자와 협력해 CISO와 보안팀이 오랫동안 사용해 온 지표보다 비즈니스 가치를 더 명확하게 보여주는 지표를 개발해 왔다.
예를 들어 이 보안 책임자는 액티브 디렉토리에 연결된 애플리케이션 관련 수치를 보고하는 대신 다른 지표를 시도했다. 기존 지표는 보안이 비즈니스 성공에 미치는 영향을 설명하지 못했기 때문이다. 그는 이벤트 발생 시 사고 대응 및 복구에 대한 투자가 예상 다운타임을 어떻게 단축하는지, 복구 시간이 단축되면 얼마나 많은 매출이 추가적으로 발생할 수 있는지에 대한 달러 가치를 공유했다.
발라린은 “모든 공격을 방어할 수는 없지만 재해가 발생하면 해야 할 일을 테스트했으며, 이를 더 짧은 시간 내에 복구해 매출을 증대시킬 수 있다는 식으로 비즈니스 가치와 연결 지었다”라고 설명했다.
더 나은 지표는 더 효과적인 커뮤케이션을 의미
비즈니스 가치를 나타내는 지표로 전환한다고 해서 보안팀이 오랫동안 사용해 온 지표의 필요성까지 부정되는 것은 아니다. 푸스코와 다른 보안 책임자는 평균 탐지 시간(MTTD), 평균 해결 시간(MTTR), 평균 차단 시간(MTTC) 및 기타 기본 측정값이 여전히 중요하고 유익하다고 언급했다.
푸스코는 “하지만 가장 중요한 건 지표에서 원하는 바가 무엇인지 이해하고 지표가 무엇을 증명하는지 아는 것이다. 아무 의미 없는 숫자만 보여줘선 안 된다”라고 말했다. 그는 기업 리더에게 중요한 지표를 개발하려면 CISO가 비즈니스, 목표, 로드맵, 리스크 허용 범위 및 규제 요구 사항을 알고 있어야 한다고 조언하면서, “이것이 바로 지표의 기반이 돼야 한다”라고 말했다.
이런 요소에 기반해 보안의 가치를 지표로 설명하는 것은 M&A 같은 활동에도 적합하다. 푸스코는 “결국 기업은 전반적인 리스크 상태를 알고 싶어 하고, 그것이 바로 보안 책임자의 이야기다”라고 언급했다.
또한 CISO가 보다 비즈니스 지향적인 지표를 사용해야 보안 투자 수익을 수치화하고 보안 전략, 비용, 예상 결과를 더 효과적으로 전달할 수 있다. 푸스코는 “이를 통해 정보에 입각한 의사 결정을 내릴 수 있다”라고 덧붙였다.
가트너 역시 ‘2024 사이버 보안 주요 트렌드’ 보고서에서 이 점을 언급하며 “더 효과적인 사이버 보안 투자의 의사 결정을 촉진하기 위해 결과 중심 지표가 점점 더 많이 채택되고 있다”라고 설명했다.
사이버 보안을 비즈니스 성공과 연계
결과 중심의 지표를 사용하고 있는 CISO들은 이런 측정 방법의 개발이 어렵다는 사실을 인정하며, 현재 보편적으로 적용할 수 있는 공식이 거의 없다고 말했다. 이들은 사이버 보안 노력이 조직의 경제성, 경쟁력 또는 시장 지위와 준비 태세에 미치는 영향을 수치화하고 개선하는 방법을 파악하려면 경영진 동료들과 협력해야 한다고 조언했다.
엘라스틱의 CISO인 맨디 안드레스는 “보안 활동을 비즈니스 성공에 맞추는 방법은 조직에 따라 다르며, 일부 산업이 다른 산업보다 쉬울 수 있다”라고 언급했다.
그는 공유할 지표를 만들기 위해 FAIR인스티튜트의 FAIR 표준을 활용하고 있다. “정보 보안 및 운영 리스크에 대한 유일한 국제 표준 정량 모델”이라고 소개되기도 하는 FAIR 표준은 정보 리스크 요인 분석(Factor Analysis of Information Risk)의 약자다.
안드레스는 이런 계산이 최고 경영진 및 이사회뿐만 아니라 보안팀에게도 보안 투자의 가치를 유익한 정보로 제공했다고 언급했다. 일례로 보안팀은 피싱 공격과 관련된 회사의 위험 노출을 분석하는 데 FAIR 표준을 사용했는데, 리스크를 제한하는 몇 가지 제어 방법의 기대 수익을 측정하는 작업이었다. 그 결과 보안팀이 가치가 높을 것이라고 생각한 접근 방식이 실제로 다른 방식보다 성능이 월등히 뛰어나다는 사실을 발견했다.
보안을 비즈니스 성과로 연결
이런 재무적 계산은 모든 기업 리더가 보안 프로그램의 가치를 더 잘 이해하고, 제한된 리소스의 우선순위를 더 쉽게 정하도록 돕는다.
보안 리더들은 보안 검토가 평가 프로세스의 일부인 거래에서, 강력한 보안 태세가 어떻게 경쟁 업체에 우위를 점할 수 있는지를 CISO가 보여줄 수 있다고 말했다. 가령 M&A를 진행하는 기업에서 근무하는 CISO는 보안 노력이 어떻게 통합 속도를 높이고 시장 가치를 끌어올릴지 보여줄 수 있다.
또는 보안 노력이 사고와 관련된 평판 손상 위험을 낮추는 방법을 입증하고, 평판이 손상됐을 때 발생할 재정적 손실을 방지하는 데 드는 비용을 계산하는 등 보다 추상적인 계산을 수행해야 할 수도 있다.
CISO가 어떤 옵션을 택하든 중요한 것은 “보안 활동과 비즈니스를 연결시키는 것”이라고 안드레스는 말했다. 그는 “비즈니스, 위험 환경, 가능성 및 이와 관련된 비용에 대한 이해를 바탕으로 해야 한다. 이를 통해 보안 우선순위에 대해 대화를 나누고 수치화 관점에 따라 예산과 로드맵을 결정할 수 있다”라고 말했다.
* Mary K. Pratt는 미국 매사추세츠주에 거주하는 프리랜서다. ciokr@idg.co.kr