Offcanvas

CSO / 보안 / 비즈니스|경제

벤더 기고 | 사이버 보안 전략, 이젠 경영자도 나서야

2022.08.31 Dave Russell  |  CIO KR
매월 사이버 보안 관련 소송 뉴스가 쏟아져 나온다. 몇몇 기업은 자사의 클라우드 컴퓨팅 시스템 해킹 이후 개인정보 유출로 고객의 집단소송을 해결하기 위해 상당한 금액을 지불하기도 하고, 랜섬웨어 공격과 관련한 과실치사 혐의로 집단소송을 당하기도 한다. 대개 회사의 허술한 사이버보안 시스템이 문제의 원인으로 지목된다.

해킹, 랜섬웨어 피해 관련 뉴스는 기업들이 사이버 위협과의 지속적인 전쟁에서 직면하는 위험을 강조한다. 피해 기업은 다운타임, 데이터 손실, 매출 손실, 기업 이미지 하락, 규제 위반과 같은 사업적 위험에 노출된다. 사이버 사고가 점차 늘어가는 가운데 소비자, 투자자 등 이해관계자의 민감한 정보를 보호하기 위해 기업과 이사회는 더욱 부지런하고 민감하게 반응해야 할 필요성이 늘어나고 있다.

당연하게도 거의 모든 회사는 최근 몇 년 동안 사이버 보안을 상당 부분 개선하기 위해 몇 가지 조치를 취했다. IT 의사 결정권자는 기업 네트워크를 강화하고 정책을 강화했다. 물론 그 와중에도 몇몇 유명 기업은 데이터 침해 사고를 알리지 않거나 적절한 대응을 하지 않아 데이터 보호법 위반으로 벌금과 함께 브랜드 이미지에도 피해를 입었다.

데이터 보호법 위반은 계속 일어나고 있고 소송도 계속되고 있다. 문제는 많은 기업들이 여전히 사이버 보안을 기업의 우선순위로 올리지 못하고 있는 점이다. 대부분의 기업은 여전히 보안 전략을 수립하고 수행하기 위해 IT 관리자에게 의존하고 있다. 이처럼 많은 기업이 사이버 보안 전략에 비즈니스 리더를 충분히 참여시키지 않거나 사이버 위협을 IT 부서만의 일로 치부하고 이사회 의제로 상정하지 않았다.

하지만 사이버 보안은 이제 모든 기업에게 필수다. 기업은 리더십 차원에서 사이버 보안을 위해 다음과 같은 우선순위를 정해야 한다.

첫째는 이사회 구성원 자체가 현재 진행 중인 사이버 보안 사건에 대해 숙지하고 이에 대한 교육을 받아야 한다. 이러한 교육은 IT 및 비즈니스 리더들과 직원들에 대한 논의를 진행하는 것은 물론 폭 넓은 이해로 사이버 보안에 대한 대처를 스스로가 할 수 있게 된다.

이를 위해 이사회는 기업의 사이버 기술 수준을 평가하고 사이버 문제에 대한 전문 지식을 갖춘 구성원을 한 명 이상 고용하는 것으로 시작해 볼 수 있다. 이러한 사이버 전문가는 소위원회를 이끌고 비즈니스 및 IT 리더와 더 직접적으로 사이버 전략에 참여할 수 있다.

또한, 이사회는 지속적으로 변화하는 사이버 보안 환경을 이해하기 위해 최소 매년 또는 2년마다 교육을 받아야 한다. 사이버 문제에 정통한 이사회는 전략 결정을 내리는 데 필요한 위험, 책임 및 기술적 문제를 더 잘 해결할 수 있다.

이사회가 사이버 보안에 관심을 갖기 시작한다면, 둘째로 해야 할 것은 사이버 위험과 전략에 대한 일관된 커뮤니케이션 메커니즘을 개발하는 것이다. 관리자는 사이버 보안 위험과 관련된 계획, 절차 및 진행 중인 문제에 대한 집중적인 상호 작용을 위한 시간을 확보해야 한다. 커뮤니케이션 메커니즘에는 사업 관리에서 IT, 법률 직원, 인사 및 마케팅에 이르기까지 다양한 부서의 이해 관계자가 모두 포함되어야 한다. 사이버 보안 기술은 IT부서에 의해 관리되지만 전략 및 구현은 모든 부서와 관련되기 때문이다.

셋째로 필요한 것은 사이버 보안을 총괄하는 최고정보관리책임자(CIO, CISO) 또는 최고전략책임자(CSO) 설정이다. 이러한 담당자는 전체 계획을 개발할 필요는 없지만, 대응 계획을 직접 수립하면서 변화를 주도하고 조직 전반에 걸쳐 일치를 이룰 수 있는 권한을 가진 리더여야 한다.

기술보다는 수익 창출 활동 또는 운영과 관련된 비즈니스 리더를 이 역할에 배치하는 것이 더 합리적일 수도 있다. 최고의 대응 계획은 운영이 위반에 가장 잘 대비하고 위반이 발생할 경우 이를 유지하는 방법을 중심으로 수립되기 때문이다. 이 경우 기술 리더와 협력하되 비즈니스 전략에 초점을 맞춰 업무에 접근해야 한다.

넷째는 각 분야별 책임자의 적극적인 개입이다. CSO와 CISO는 기업의 보안을 위해 지속적으로 힘을 쓰겠지만, 다른 경영진의 적극적인 참여도 필요하다. 예컨대 최고재무책임자(CFO)는 회사의 모든 재무 프로세스에 보안 수준이 구축되어 있는지 확인해야 하고, 인사 책임자는 더 면밀하게 신입 사원이 보안 준수 수칙에 적응할 수 있도록 지원해야 한다. 영업 책임자는 원격 업무를 진행하면서 해커의 타깃이 되지 않도록 보안 위생을 항상 염두해야 한다.

오늘날 여러 비즈니스 리스크가 만연한 사회를 감안할 때, 기업들은 완벽한 사이버 보안을 구축하기는 힘들 것이다. 하지만 기업들은 이를 방어하는데 적극적인 역할을 할 수 있다. 사이버 보안을 IT 부서 단독으로 맡지 않고, 이사회 등 리더십 단계에서 논의하고 대응 방안을 만드는 것은 올바른 방향으로의 대비라 할 수 있다.

* 최근 빔 소프트웨어의 엔터프라이즈 전략 부사장으로 합류한 러셀은 스토리지 업계에서 28년간 근무한 경험이 가진 베테랑이다. 빔 소프트웨어 합류 전 그는 가트너에서 부사장 및 특임 애널리스트 직무를 수행했다. 가트너에서 그의 연구는 백업/복구, 스냅샷 및 복제, SDS(소프트웨어 정의 스토리지) 및 스토리지 관리에 중점을 둔 스토리지 전략 및 기술에 초점을 맞췄다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.