사이버 보안 관련 규정의 범위가 점점 확대되고 있다. CISO가 법무팀과 더욱 긴밀히, 거의 상시적으로 협력해야 할 이유다.
이미 앞선 CISO들이 규정 준수 및 위험 최소화를 위해 조직 내외의 법률 전문가와 협력하고 있다. 홉킨스 앤 칼리의 사이버 보안 변호사 키아라 포트너는 변호사가 위험을 완화할 방법을 찾는 데 중요한 역할을 한다고 말했다. 그는 "규제 부담이 증가하고 있다. 프로세스의 모든 단계에 법률 고문을 참여시키면 기업이 데이터 개인정보 보호법과 보안 규정을 효과적으로 탐색하는 데 도움이 된다"라고 포트너는 말했다.
포트너는 더 강력한 규제를 요구하는 목소리가 정부와 소비자의 두 측면에서 비롯되고 있다고 전했다. 자신의 정보를 보호받고자 하는 사람들의 인식이 높아지고 있다는 진단이다. 그는 "일반인들도 개인정보 보호와 보안에 대해 알아가고 있다. 웹사이트나 앱에서 더 많은 팝업과 요청을 보고 있으며, 그것이 실제로 무엇을 의미하는지 깨닫기 시작했다"라고 말했다.
.
보험 중개업체 우드루프 소여(Woodruff Sawyer)의 사이버 담당 부사장인 데이브 앤더슨은 "사이버 범죄자의 공격을 받은 기업을 '피해자'가 아닌 '관리 소홀'로 간주하는 패러다임의 변화가 출현하고 있다"라고 말했다.
.
그에 따르면 정보 보안과 법무 부서의 협업이 이제 기본적인 비즈니스 관행으로 자리잡고 있다. 데이터 유출로 인해 기업의 피해, 그리고 기업의 CISO나 법률 고문 등의 개인에게 미치는 영향이 점점 더 심각해짐에 따라서다.
앤더슨은 이러한 협력이 부족할 경우 집단 소송 및 규제 조사에서 엄청난 과실을 입증하는 것으로 간주될 수 있으며, 이는 결국 소송에서 문제가 될 수 있다고 주장했다. 그는 "향후 몇 년 동안 태만 과실(criminal negligence) 이론이 시험대에 오를 가능성이 높다"라고 말했다.
앤더슨에 따르면 CISO가 이러한 동향을 숙지해야 한다 "CISO는 회사의 법률 고문 또는 개인정보 보호 책임자의 도움을 받아 시스템이 존재하는 규제 환경을 더 잘 이해해야 한다"라고 그는 말했다.
사이버 리스크를 비즈니스 리스크로 재정의
조직이 준수해야 하는 규제 매트릭스는 점점 더 복잡해지고 있다. 즉, 금융 및 뱅킹을 비롯해 심각한 규제를 받는 산업별 규제 매트릭스, DNA를 다루는 의료 및 생물 정보학, 그리고 핵심 인프라에 해당하는 분야 목록이 확대되고 있다. 또한 모든 글로벌 온라인 운영 조직이 직면한 EU의 일반 데이터 보호 규정(GDPR)과 같은 국가 및 관할권 기반 요구사항도 증가하고 있다.
딜로이트의 사이버 리스크 파트너인 데이비드 오웬은 지난 몇 년간 조직들의 통제 부실을 해결하기 위해 사이버 규제가 발전해 왔다고 전했다. 오웬은 “규제는 재량권을 줄이고 통제 조치를 강화하는 것을 목표로 한다”라며, 특히 원칙에 기반한 규제는 해석을 필요로 한다고 지적했다.
오웬은 가령 ‘물질적 유해’(material harm )와 같은 용어를 법적으로 해석하는 것이 매우 중요하며, 사고에 앞서 이러한 준비를 갖출 필요가 있다고 강조했다. ‘물질적 유해’의 범위를 정의하면 사이버 보안 지출 비용에 대한 방정식이 바뀌게 된다. 이는 CISO가 리스크 프로파일을 낮추기 위해 사이버에 비용을 지출하는 것의 가치를 보여주는 비즈니스 사례를 작성하는 데 도움이 된다. 그는 “규제가 사이버 리더들에게 미치는 영향 중 하나는 그러한 재량권의 일부를 없애는 것이다”라고 말했다.
하이퍼프루프의 CISO인 케인 맥글래드리에 따르면 규제 부담이 증가함에 따라 사이버 리스크를 비즈니스 리스크의 관점에서 볼 필요가 있다. 사이버 리스크는 더 이상 단순한 기술 리스크가 아니다. 맥글래드리는 “문제는 조직적으로 기업들이 비즈니스 리스크 레지스터와 사이버 리스크 레지스터를 별도로 보유하고 있다는 것이다. 하지만 그런 방식은 더 이상 효과적지 못하다”라고 말했다.
그에 따르면 증권거래위원회(SEC), 연방거래위원회(FTC) 및 미국의 다른 규제 기관들이 비즈니스 리더들 간의 협업을 촉진하려 하는 이유가 사이버 리스크가 기능적으로 비즈니스 리스크이기 때문이다. 맥글래드리는 대부분의 CISO가 이를 이해하고 있지만, 비즈니스의 다른 리더들은 아닌 경우가 많다고 언급했다.
그는 이어 모든 CISO가 사이버 리스크의 비즈니스 사례를 잘 표현하고 전달할 수 있는 것은 아니라며, 사이버 보안의 비즈니스 가치를 보다 잘 표현하는 것이 중요하다고 지적했다. 비즈니스 리스크보다 규정 준수를 강조하는 기술적 배경을 가진 CISO은 지원 및 예산 확보가 더 어려울 수 있다고 그는 덧붙였다. 맥글래드리는 다음과 같이 설명을 이어갔다.
“근본적인 문제는 역사적으로 CISO가 IT 환경에서 비롯되었다는 것이다. 그들은 마치 IT 인력인 것처럼 말을 하고, IT에 대해 이야기를 나누었다. 따라서 이러한 커뮤니케이션의 대부분은 이사회나 고위 경영진에게는 관심 밖이거나 그들에게 메시지가 전달되지 못했다. CSIO의 과제는 모두가 이해할 수 있도록 점점 더 다양해지는 주제에 관해서 점점 더 많은 청중에게 어떻게 이야기할 것인가다. 각자에게 맞춤화 된 메시지가 필요할 수 있다.”
법률 부문과 긴밀하게 협력함으로써 CISO는 조직의 규제 환경을 이해하고 비즈니스 리스크의 언어를 채택할 수 있다. 이를 통해 규제 요건을 충족하려고 지출되는 사례를 개선하는 데 필요한 지원을 받을 수 있다. 단 CISO가 최신 법률 정보에 정통하기란 어렵다. 시간과 교육이 부족하고 전문 분야가 아니다. 그렇다면 CISO는 어떻게 해야 할까?
맥글래드리는 “CISO는 법적 시스템의 최신 흐름을 파악하는 데 책임을 지지 않아야 한다. CISO가 법률 지평을 살펴보고 법률 저널을 읽고 곧 진행될 소송이나 잠재적인 법률 또는 잠재적인 규제 변경 결과를 기반으로 전략 또는 보안 로드맵과 계획을 수정할 필요가 있는지 여부를 파악하는 것은 현실적으로 어렵다”라고 말했다.
맥글래드리는 “필요한 것은 무엇이 발생하고 무엇을 인식해야 하는지에 대한 논의다. 일단 법적 리스크를 CISO의 또 다른 리스크 벡터로 간주하면 정보를 더 잘 얻고 선제적으로 의사 결정을 내리는 데 도움이 된다”라고 말했다.
상담 및 논의를 통한 전체적인 사이버보안 리스크 관리
우드러프 소여의 앤더슨은 CISO에게는 전체적인 리스크 관리가 필요하며, 이는 PII와 보호된 데이터가 있는 모든 곳을 식별하는 것을 의미한다고 주장했다. 그는 “어떤 유형의 데이터를 얼마나 많이 담당하는지 알아야 한다”라고 말했다. 여기에는 클라우드 공급업체, 타사 공급업체 또는 데이터를 보유하는 회사의 공급망 내 기타 업체가 포함된다.
그는 “규정 준수, 개인 정보 보호, 여타 일반적인 법무 관련 상담을 통해 데이터 훼손 시 회사가 소송을 당하지 않는데 도움이 된다. CISO가 이를 통해 효과적인 데이터 관리 및 데이터 인벤토리 전략을 사용하면 사이버 공격 이후의 책임 범위를 파악하는데 유효하다”라고 말했다.
앤더슨은 CISO는 지식과 맥락 정보를 모두 필요로 하며 법률부문과 긴밀히 협력하면 규제 환경에 대응하는 전략을 구체화할 수 있으며 심지어 처벌을 경감할 수도 있다고 말했다. 그는 “공격을 받은 회사가 적절한 조치를 취하고 개인 정보 보호 및 규제 요건을 사전에 고려하는 데이터 보안 프로그램을 구축하기 위한 선의의 노력을 보여주었을 때 규제 당국이 관대한 경우가 많다”라고 말했다.
점점 더 복잡해지는 규제 환경에서 법적 해석과 지침을 갖는 것은 매우 중요하다. 딜로이트의 오웬에 따르면 엄격한 규정은 문맥을 고려하지 않는 경향이 있다. 기업에게 책임을 모두 묻는 식이다. 그는 “규제 기관이 정보가 어떻게 사용될 것인지에 대한 모든 맥락을 고려하는 규정을 작성할 수 없기 때문이다. 따라서 조직에게 통제가 무엇이어야 하는지를 알려주는 것이 아니라 조직이 입증하고 해결하기를 요구한다. 즉 좋은 비즈니스 결정을 내리려면 해석이 필요하다”라고 말했다.
오웬은 CISO가 규제의 의미와 맥락을 무엇인지에 대해 제대로 알지 못하고서 많은 돈을 지출할 가능성이 있다고 지적했다. 그는 “훌륭한 리스크 관리 프로그램을 할 수 있을지 모른다. 그러나 해당 프로그램은 법에 정의된 중요성에 대한 임계값 테스트(threshold test )와 연결되지 않기 때문에 실제로는 실패할 수 있다”라고 말했다.
임계값 테스트를 제대로 해석한다면 사고 발생 시 매우 이점이 많다. 오웬은 “예를 들어, 어떤 시점에서 소비자에게 통지해야 하는지 알 수 있다. 사고 도중, 또는 이후보타 사고 전에 그러한 임계값을 해석해두는 것이 좋다”라고 말했다.
하이퍼프루프의 맥글래드리는 CISO가 사고 와중에 법률 고문과 함께 정의를 찾아서는 안 될 것이며 “[이러한 정의를 알면] 사고 대응을 훨씬 매끄럽게 할 수 있다. 여전히 끔찍한 시간일 수 있지만 적어도 함께 일하는 사람을 신뢰할 수 있다”라고 말했다.
또한 법무팀과의 상시 협업은 CISO가 공급업체, 공급망 또는 고객과 계약할 때 도움이 될 수 있다. 증거가 필요하거나 계약 조건이 있는 경우, CISO는 불필요하거나 심지어 현명하지 못한 것에 대해 승인하기 전에 의견이나 조언을 얻을 수 있다. 맥글래드리는 “법무팀이 ‘그것을 공개할 필요가 없다’ 또는 ‘그것에 대해 확립된 정책을 가질 가치가 없다’라고 조언해줄 수 있다”라고 말했다.
리스크 허용 범위를 정의하는데 도움이 되는 법률 자문
포트너는 “사내의 변호사, CISO 또는 관리 팀을 막론하고 모두가 회사를 보호해야 하는 동일한 목표를 가지고 있다”라며, 핵심은 회사가 기꺼이 수용할 수 있는 위험 허용도와 이것이 실제로 무엇을 의미하는지 정의하는 것이고 말했다.
많은 보안 조치가 문제로 이어진다. 사용자의 피로, 마찰 또는 너무 많은 클릭유도를 유발하고 허용 가능한 수준의 투명성을 달성할 수 있는지에 대한 질문으로 이어진다. 포트너는 “합리적인 것과 타당한 것의 균형을 유지하되, 투명성과 정직성을 유지하는 것을 항상 명심해야 한다”라고 덧붙였다.
법률 자문은 특정 툴이나 플랫폼을 추천하는 수준에는 이르지 못하지만, 리스크 및 잠재적 책임에 대한 조언을 제공할 수는 있다. 이들은 리스크에 대한 대화를 제공하고 CISO가 특정 조치에 투자하지 않거나 특정 보호 조치를 취하지 않을 경우 발생할 수 있는 잠재적 결과를 명확하게 설명할 수 있도록 지원할 수 있다.
그러한 조언과 논의를 바탕으로 문제를 방지하기 위해 얼마나 많은 비용을 들이는가와, 아니면 대신 문제를 보험으로 이전하기 위해 들이는 비용을 합리화할 수 있다.
한편 리스크 프로파일에 따라 CISO는 최종 결정을 스스로 내리는 과정에 법률 자문역과 파트너 관계를 맺을 수 있다. 때로는 최종 의사 결정자가 되지 않을 필요가 있기 때문이다. 미국의 경우 CISO가 선임된 과정이 조직을 상대로 소송이 제기될 중요하다. 맥글래드리는 CISO가 이사회 정책에 따라 선임된 것이 아니라면, 개인적 책임으로부터 배교적 자유로울 수 있다. “이것은 당신의 법률 자문역과 파트너 관계를 맺고 유지해야 하는 이유다”라고 말했다.
여전히 많은 CISO는 법률 자문역과 정기적으로 협력하지 않는다. 침해나 사고가 발생한 경우에만 대화하곤 한다. 그러나 규제 환경이 까다로워짐에 따라 변화의 필요성이 커지고 있다. 맥글래드리는 “규제가 엄격해지고 상황이 점점 더 복잡해짐에 따라 CISO 직무를 수행하기가 점점 더 어려워질 것이다”라고 말했다. ciokr@idg.co.kr
VPN (가상 사설 네트워크, Virtual Private Network)은 인터넷 사용자에게 개인 정보 보호와 보안을 제공하는 중요한 도구로 널리 인정받고 있다. VPN은 공공 와이파이 환경에서도 데이터를 안전하게 전송할 수 있고, 개인 정보를 보호하는 데 도움을 준다. VPN 서비스의 수요가 증가하는 것도 같은 이유에서다.
동시에 유료와 무료 중 어떤 VPN을 선택해야 할지 많은 관심을 가지고 살펴보는 사용자가 많다. 가장 먼저 사용자의 관심을 끄는 것은 별도의 예산 부담이 없는 무료 VPN이지만, 그만큼의 한계도 있다.
무료 VPN, 정말 괜찮을까?
무료 VPN 서비스는 편리하고 경제적 부담도 없지만 고려할 점이 아예 없는 것은 아니다.
보안 우려
대부분의 무료 VPN 서비스는 유료 서비스에 비해 보안 수준이 낮을 수 있다. 일부 무료 VPN은 사용자 데이터를 수집해 광고주나 서드파티 업체에 판매하는 경우도 있다. 이러한 상황에서 개인 정보가 유출될 우려가 있다.
속도와 대역폭 제한
무료 VPN 서비스는 종종 속도와 대역폭에 제한을 생긴다. 따라서 사용자는 느린 인터넷 속도를 경험할 수 있으며, 높은 대역폭이 필요한 작업을 수행하는 데 제약을 받을 수 있다.
서비스 제한
무료 VPN 서비스는 종종 서버 위치가 적거나 특정 서비스 또는 웹사이트에 액세스하지 못하는 경우가 생긴다. 또한 사용자 수가 늘어나 서버 부하가 증가하면 서비스의 안정성이 저하될 수 있다.
광고 및 추적
일부 무료 VPN은 광고를 삽입하거나 사용자의 온라인 활동을 추적하여 광고주에게 판매할 수 있다. 이 경우 사용자가 광고를 보아야 하거나 개인 정보를 노출해야 할 수도 있다.
제한된 기능
무료 VPN은 유료 버전에 비해 기능이 제한될 수 있다. 예를 들어, 특정 프로토콜이나 고급 보안 기능을 지원하지 않는 경우가 그렇다.
유료 VPN의 필요성
최근 유행하는 로맨스 스캠은 인터넷 사기의 일종으로, 온라인 데이트나 소셜 미디어를 통해 가짜 프로필을 만들어 상대를 속이는 행위다. 이러한 상황에서 VPN은 사용자가 안전한 연결을 유지하고 사기 행위를 방지하는 데 도움이 된다. VPN을 통해 사용자는 상대방의 신원을 확인하고 의심스러운 활동을 감지할 수 있다.
그 외에도 유료 VPN만의 강점을 적극 이용해야 하는 이유는 다음 3가지로 요약할 수 있다.
보안 강화
해외 여행객이 증가함에 따라 공공 와이파이를 사용하는 경우가 늘어나고 있다. 그러나 공공 와이파이는 보안이 취약해 개인 정보를 노출할 위험이 있다. 따라서 VPN을 사용하여 데이터를 암호화하고 개인 정보를 보호하는 것이 중요하다. 서프샤크 VPN은 사용자의 개인 정보를 안전하게 유지하고 해킹을 방지하는 데 유용하다.
개인 정보 보호
인터넷 사용자의 검색 기록과 콘텐츠 소비 패턴은 플랫폼에 의해 추적될 수 있다. VPN을 사용하면 사용자의 IP 주소와 로그를 숨길 수 있으며, 개인 정보를 보호할 수 있다. 또한 VPN은 사용자의 위치를 숨기고 인터넷 활동을 익명으로 유지하는 데 도움이 된다.
지역 제한 해제
해외 여행 중에도 한국에서 송금이 필요한 경우가 생길 수 있다. 그러나 IP가 해외 주소이므로 은행 앱에 접근하는 것이 제한될 수 있다. VPN을 사용하면 지역 제한을 해제해 해외에서도 한국 인터넷 서비스를 이용할 수 있다. 따라서 해외에서도 안전하고 편리하게 인터넷을 이용할 수 있다.
빠르고 안전한 유료 VPN, 서프샤크 VPN
뛰어난 보안
서프샤크 VPN은 강력한 암호화 기술을 사용하여 사용자의 인터넷 연결을 안전하게 보호한다. 이는 사용자의 개인 정보와 데이터를 보호하고 외부 공격으로부터 사용자를 보호하는 데 도움이 된다.
다양한 서버 위치
서프샤크 VPN은 전 세계 곳곳에 여러 서버가 위치하고 있어, 사용자가 지역 제한된 콘텐츠에 액세스할 수 있다. 해외에서도 로컬 콘텐츠에 손쉽게 접근할 수 있음은 물론이다.
속도와 대역폭
서프샤크 VPN은 빠른 속도와 무제한 대역폭을 제공하여 사용자가 원활한 인터넷 경험을 누릴 수 있도록 지원한다. 온라인 게임, 스트리밍, 다운로드 등 대역폭이 필요한 활동에 이상적이다.
다양한 플랫폼 지원
서프샤크 VPN은 다양한 플랫폼 및 디바이스에서 사용할 수 있다. 윈도우, 맥OS, iOS, 안드로이드 등 다양한 운영체제 및 디바이스에서 호환되어 사용자가 어디서나 안전한 인터넷을 즐길 수 있다.
디바이스 무제한 연결
서프샤크 VPN은 무제한 연결을 제공하여 사용자가 필요할 때 언제든지 디바이스의 갯수에 상관없이 VPN을 사용할 수 있다.