당신은 IT 보안 리더인가? 정말로?

정말이지 이해되지 않을 정도도 많은 조직들이, 자신들의 보안 프로그램에 대해 선도적인 리스크(risk) 관리 능력을 갖추고 있다고 믿고 있다.

이는 CSO, CIO 매거진이 프라이스워터하우스쿠퍼스(PwC, PricewaterhouseCoopers)와의 파트너십을 통해 개최한 이번 연례 국제 정보 보안 서베이(Global Information Security Survey)의 가장 뜨거운 주제 중 하나였다.

이 설문에는 전 세계 9,600명 이상의 비즈니스 및 테크놀로지 임원들이 참여했다. 설문 응답자의 43%가 자신들의 기업을 IT 보안의 리더라고 평가하고 있는 것으로 조사됐다. 응답자들에게 제시된 다른 선택 항으로는 전략가(strategist), 전술가(tactician), 그리고 후발주자(follower)가 있었다.

명확히 정의한다면, 이들 기업 모두를 보안 리더로 평가하기에는 분명 무리가 있다. 이와 관련하여 PwC 고문 서비스 부서의 총장인 마크 로벨은 “내가 보기에 이러한 ‘리더' 중 대부분은, 그들의 보안 수준에 대하여 착각하고 있다”고 말했다.

정규 분포 곡선(Bell Curve)에 앞서
설문에 응답한 기업들 중 진정으로 정보 보안 리더라는 호칭을 붙여줄 만한 기업을 걸러내기 위하여, PwC는 자격 요건을 설정해 공개했다.

첫째, 최고정보보안책임자(CISO, Chief Information Security Officer)가 중견 임원진에게 문제를 직접 보고할 수 있는 체계가 갖추어져 있어야 한다.

둘째, 기업은 적절한 IT 보안 전략과, 이를 제대로 시행할 수 있는 능력을 갖춰야 한다.

셋째, 지난 해의 보안 전략에 관한 리뷰가 이루어져야 한다.

마지막으로, 만일 기업이 데이터 붕괴(data breach)를 겪었다면, 그들은 그 붕괴의 원인을 이해하고 있어야 한다.

검토에 따르면, 위의 설문에 응답한 기업들 중 5%만이 실질적으로 이들 기준을 충족시키는 것으로 평가됐다.

응답 기업의 절반 가량은 하나, 혹은 복수의 데이터 붕괴 문제를 경험했으며, 지난 해 붕괴 문제를 겪지 않은 기업은 전체의 3 분의 1에 불과했다.

응답 기업들 중 약 8%는 그들 기업 내부에서 붕괴가 발생했는지 조차 파악하지 못하고 있는 상태였다. 한 가지 다행스러운 사실은, 보안 문제가 그들의 네트워크에서 발생한다는 것을 이해하고, 어느 애플리케이션이나 시스템에 침입이 일어났는지 파악하고 있는 기업이 점점 더 증가하고 있다는 점이다.

그러나, 최근 몇 년 간 이뤄지고 있는 악성 코드의 고도화를 고려했을 때, 이러한 자신감은 일면 부적절한 것으로 보인다. 이와 관련, 어큐번트 랩스(Accuvant Labs)의 리서치 컨설팅(research consulting)  실행 매니저 숀 모이어는 “우리에게 국제적으로 이뤄지는 침입에 대한 대처의 어려움을 토로하는 기업들은 점점 더 늘어나고 있다. 우리가 모니터링하는 모든 네트워크, 그리고 모든 대형 고객들은, 그들 내부의 어딘가에서 맞춤형 악성 코드의 침입 문제를 겪고 있다”고 설명했다.

미 중서부에 위치한 한 제조 기업의 보안 매니저는 “많은 임원들이 보안에 관하여 잘못된 생각을 가지고 있다. 우리 기업의 경우, 많은 상급 매니저들은 다른 시장에서 작성된 보고서를 쉽게 믿어버린다. 만일 그 보고서에 어떤 시스템이 탄탄하고 안정적이라고 소개되어 있다면, 경영진은 곧바로 이를 받아들일 것이다”라고 말했다.

즉, 많은 기업이 그들의 보안 상태를 과신하고 있는 것이다. 그렇다면, 진정으로 앞서나가는 보안 리더가 되기 위해 요구되는 IT 보안 프로그램의 특징은 무엇일까?

프로바이던스 헬스 & 서비스(Providence Health and Services)의 CSO 에릭 카우퍼스웨이트는 다음과 같이 말했다.

“보다 성숙한 관점에서 보자면, 당신의 기업에는 보안의 중요성을 이해하는 중견 매니저나 하급 임원이 필요하다. 이것이 나의 제 1 기준이다. 당신의 기업이 앞서나가고 있는 지를 확인하기 이전에, 기업 내부에 보안 문제를 주도적으로 이끌고, 이와 관련한 기업의 인정을 받아낼 수 있는 인물이 있는 지를 먼저 확인하라. 또한 이러한 인물은 충분한 실질적 권위를 보여줄 수 있을 정도로 높은 지위를 지니고 있어야 한다. 두 번째 요소는 전략을 세우는 것이다. 여기에서 전략이란 단순히 어떠한 테크놀로지를 배치할 지의 문제가 아닌, 어떻게 당신의 시스템과 데이터를 안전하게 지켜낼 수 있을지를 고민하는 과정이다.” 그의 지적은 PwC의 정의에도 부합하는 것이다.

사실 이 글의 제목은 중요한 문제가 아니다. 아카마이 테크놀로지(Akamai Technologies)의 CSO 앤디 엘리스는 “당신이 진짜 보안 리더인지가 중요한가? 중요한 것은 당신이 기업의 비즈니스 요구에 부합하여 효율적으로 리스크를 감소시키고 있는 지이다”라고 말했다.

이는 반박할 수 없는 발언이지만, 설문 참가자 중 엘리스의 기준을 만족시키는 이들은 거의 없을 것이다. 자신들의 보안 노력에 대하여 검증을 거치는 기업은 드물기 때문이다. 설문 결과를 살펴봐도, 응답 기업의 63%가 전반적인 IT 보안 전략을 수립하고 있고, 또한 85%는 CISO나 CSO를 고용하고 있지만, 그들 중 이러한 그들의 노력에 대한 평가를 진행하고 있는 기업은 전체의 절반에도 미치지 못하고 있었다.

또한, 전반적인 정보 보안 전략을 수립한 기업은 63%에 달하는 반면, 자신들의 외부 파트너에 대한 보안 기준을 세우고 있는 기업은 40% 수준이며, 기업 내부에 중앙 보안 정보 관리 프로세스를 갖추고 있는 기업 역시 43%에 불과했다.

설문에 따르면 신원 관리 전략(41%), 비즈니스 지속성 및 위기 회복 계획(39%), 리스크 기반 인증 시스템(34%) 등에 대한 대비 역시 미흡한 상황이었다.

비즈니스에의 영향
보안 리더나 전략을 갖추지 못한 기업, 혹은 전략을 실행하거나 실행한 전략을 평가할 능력이 없는 기업은 보다 많은 위기을 겪을 것이다. 이는 명백한 사실이다. 여기에서 나아가, 보안 서비스 벤더 제커디스(Jacadis)의 회장 겸 CEO 더글라스 데이비슨은 이러한 기업들이 비즈니스적 측면에서도 보다 많은 손실을 입게 될 것이라고 지적했다.

그는 “분명히, 그들은 (비즈니스) 기회를 놓치고 있는 것이다. 우리는 소규모 기업들과 함께 작업한다. 그리고 그들은, 그들의 대형 고객이나 비즈니스 파트너들의 보안 프로그램 (표준)을 따라왔다. 그들은 이러한 보안 프로그램을 도입함으로써 경쟁 우위를 확보했고, 이를 통해 실직적 수익을 올려왔다”고 설명했다.

어떻게 보안이 수익으로 이어질 수 있을까? 이는 보안 프로세스를 통해 파트너와 고객의 신뢰를 얻음으로써, 또한 고객에게 새로운 서비스를 전달함으로써 가능해진다. 데이비슨은 최근의 한 예를 인용하며, “일부 은행의 경우 문서를 인쇄하여 전달하는 프로세스를 진행한다. 그러나 시장의 프린터 대부분은 이 필수적인 프로세스의 보안을 담보하지 못한다. 그러던 중 한 프린터가 그들 서비스에 적절한 보안 성능을 지원하게 되었다. 곧 그들은 은행 비즈니스에 도입되게 되었고, 머지 않아 그들의 판매 영역을 다른 시장의 고객들에게까지 확대될 수 있었다”라고 소개했다.

이 일화는 IT 보안이 특정 시장에 제한적으로 시행되는 전략이 아니라는 사실을 보여준다. 이는 비즈니스 전반에 대한 통합적 작업이다. 카우퍼스웨이트는 “일정 규모 이상의 기업에서 정보 보안은 비즈니스 기능의 핵심 요소이다. 정보 관리가 그들 비즈니스 기능의 핵심 요소이기 때문이다”라고 설명했다.

이제는 IT 보안이 기업 비즈니스의 핵심 요소임을 이해하거나, 최소한 보안 노력에 대한 기본적 개념을 갖춰야 할 때다. ciokr@idg.co.kr