Offcanvas

CIO / CSO / HR / 랜섬웨어 / 리더십|조직관리

포스트 팬데믹 시대, CISO의 체크포인트 4가지

2021.05.27 Cynthia Brumfie  |  CSO
코로나19 이후를 준비해야 할 시점이다. 원격 작업자의 증가, 건강 데이터 보안, 좀더 진화한 사이버 범죄 생태계가 CISO를 기다리고 있다. 

포스트 팬데믹 세상에서 CISO는 새로운 문제들에 직면한다. 많은 보안 전문가들이 재구성된 직장과 직원 건강 고려사항 뿐만이 아니라 위협 증가 등의 문제를 떠맡게 되었다고 지난주 RSA 컨퍼런스(RSA Conference)에 참석한 전문가 연사들이 밝혔다.

시스코 시큐어(Cisco Secure)의 자문 CISO이자 전 오하이오 주립대학교 CISO 헬렌 패튼은 “코로나19가 처음 닥쳤을 때, 우리는 비상시국에 임하는 마음가짐을 가졌다. 우리는 사생결단 모드로 진입했다. 우리는 오랫동안 이 속도로 달려왔다. 스트레스와 탈진감을 느끼고 있다”라고 말했다.
 
Image Credit : Getty Images Bank

직업-생활 균형에 대한 집중
패튼은 이어서 “직원들은 18개월 이상 100%로 가동했다. 이제 다른 계획이 필요하다. 즉 우리가 지치지 않도록 팀 계획을 세워야 한다”라고 말했다. 

많은 조직들이 팬데믹 중 사기를 높이기 위해 특전과 인센티브를 제공함으로써 보안팀의 스트레스트를 완화하기 위해 노력했다. 마켈(Markel)의 CISO 겸 CPO 패티 타이터스는 “아이들이 있는 집에 아동용 선물이 든 상자를 발송하는 크레이트조이(Cratejoy)라는 서비스를 이용했다. 우리는 사람들과 지속적으로 소통하는 방법에 대한 기존의 상식을 깨뜨렸으며, 더 큰 유대감이 형성되었다고 믿는다”라고 말했다.

노스웨스턴 뮤추얼(Northwestern Mutual)의 CISO 로라 디너는 보안 근로자들이 극한까지 몰렸지만 위기 중 조성된 공동체의식이 위로가 된다는 사실을 발견했다는 점에 동의했다. 그녀는 “모두가 함께 모이는 모습이 보기 좋았다”라고 말했다.

직원들의 업무 유연성 향상
많은 직원들이 사무실로 복귀하고 있지만 이 공간은 이전과 달라졌다. 마이크로소프트의 부사장 겸 CISO 브렛 아스놀트는 “우리는 자택에 대기했고 이런 것들을 꽤 빠르게 진행했다. 72시간 만에 10% 재택근무에서 97% 재택근무로 전환했다. 우리는 기술 업계에서 운 좋게도 팬데믹 기간 중 업무를 계속할 수 있었다”라고 말했다.

이제 일터라는 환경이 변화해야 할 상황이다. 아스놀트는 “직장으로 복귀하면 사회적 거리두기, 위생 환경, 기타 계획되지 않은 것들이 준비되어야 한다”라며, “이를 위해 할 일이 많다. 4명 이상이 한 사무실 안에 머무르지 않아야 한다. 그 공간에서 모두의 보안과 프라이버시를 유지해야 한다. 전혀 다른 직장으로 복귀하게 되는 것이다”라고 말했다.

일부 직원들은 재택근무 환경을 유지하게 된다. 이 때문에 회의와 기타 모임을 조직하는 것이 더 힘들어질 것이다. 아스놀트는 “업무 양태가 훨씬 다양화될 것이다. 사람들은 단지 재택근무만 하는 것이 아니라 가족들과 먼 곳으로 또는 가까운 곳으로 이사할 것이다. 생활권에 대한 생각이 완전히 달라질 것이다”라고 말했다

건강 데이터 수집 및 보호에 대한 새로운 요건
조직들은 이제 직원들로부터 많은 건강 데이터를 수집할 것이다. 이 데이터 수집에는 새로운 수준의 보안 보호와 프라이버시 활동이 요구될 것이고, 이것은 CISO의 업무에 포함될 가능성이 높다.

폴 헤이스팅스(Paul Hastings LLP)의 애런 차푸스는 “고용주들이 직원으로부터 수집하는 정보의 기준치가 높아졌다. 전통적으로 개인적이라 여겨졌던 정보를 수집하는 것이 자연스러워졌다”라고 말했다.

차푸스는 정말로 필요한 정보의 범위, 이를 수집하여 보관하는 최선의 방법, 긍정적인 테스트 결과 보고 및 연락처 추적에 대한 국가 및 지방 정부의 의무사항을 적용하는 방법을 결정하는 것을 중심으로 중요한 문제가 있다는 사실을 깨달았다. 그는 “예전에는 이 모든 것들을 생각할 필요가 없었다”라고 말했다.

차푸스에 따르면 조직 중 76%는 직원들이 고용주에게 코로나19 진단을 받았는지 여부를 알리도록 요청받았고 53%는 직원들에게 어디로 여행을 다녀왔는지 질문한 것으로 나타났다. 게다가 고용주 중 35%는 가구 구성원의 코로나19 상태에 관해 질문했고 고용주 중 23%는 직원들이 들어올 때 직원의 체온을 물리적으로 측정했다.

고용주들이 직면한 실질적인 문제는 이 모든 정보를 수집하거나 보관하는 범위이다. 차푸스는 “직원들에게서 그 정보를 얻어야 하는가? 이를 보관해야 하는가? 보관한다면 얼마나 오랫동안 보관할 것인가? 우리가 이를 수집하여 영원히 보관한다면 그 자체로도 여러 문제가 야기될 수 있다”고 말했다. 

그는 이어 “HIPAA(Health Insurance Portability and Accountability Act) 등의 의료 데이터에 관한 연방법을 준수하는 것 외에도 정보를 보호하겠다고 약속하는 방식에 주의를 기울여야 한다”라고 덧붙였다.

사이버 공격 및 데이터 유출
SPB(Squire Patton Boggs LLP)의 선임 회원 에리카 존슨은 포스트 팬데믹 세상의 지속적인 재택근무로 인해 랜섬웨어 공격과 기타 데이터 유출 노력에 대응하기가 더 어려워지고 있다고 말했다. 

“코로나19로 인해 실제로 사이버 사고가 증가했다. 공격자들이 랜섬웨어 공격 배치 전에 데이터를 유출시키고 데이터 전체를 암호화하는 이중 공격을 수행하고 있다”라고 그는 설명했다.

또한 조직들은 이제 피싱과 소셜 엔지니어링 공격에 더 취약해졌다. 존슨은 자신 또한 CEO가 복잡한 부동산 거래에 관해 설명하는 것처럼 위장하는 ‘매우 정교한’ 위협 활동자 사건을 처리해야 했다고 전했다.

일반적인 상황이라면 피해자가 CEO의 사무실을 방문하여 500만 달러 수준의 금액을 송금하고 싶은지 확인했을 것이다. “하지만 우리는 재택 환경에 있기 때문에 이런 위협 활동자가 소셜 엔지니어링 공격을 사용하여 훨씬 쉽게 우리를 공격할 수 있다”라고 그는 지적했다.
  ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.