보안이 사업의 부수적인 요소로 취급되는 때에 보안 전문가들은 열심히 정보 보호만 생각하면 되었다. 하지만 보안이 사업의 경영의 중심 요소가 되기 시작하면서 보안 전문가들은 예산도 고려해야만 하는 입장이 됐다.
[보안뉴스 문정후 기자] 기업의 정상적인 사업 운영의 곁다리 역할만 하던 정보 보안은 더는 존재하지 않는다. 사이버 공간에서 이뤄지는 각종 위협들이 얼마나 무섭게 진화했는지, 이제 어떤 기업이든 데이터 침해 사고를 늘 불안해 하고 염두에 둔 상태로 하루하루 사업을 해야 하는 상황이다. 그러므로 보안은 사건 발생 시에만 단일 비용이 들어가는 것이 아니라 주기적으로, 고정적인 지출을 해야만 하는 요소가 됐고, 더 이상 독자적으로 기능할 수 없으며, 사업의 중요한 한 축으로서 모든 것과 맞물리기 시작했다.
[이미지 = gettyimagesbank]
이처럼 보안이 보다 전체적인 접근법을 취해야만 한다는 필요성이 대두되는 것과 맞물려 미국의 증권거래위원회(SEC)는 올해 새로운 규정들을 여럿 신설했다. 심각한 사이버 보안 사고에 대해서는 어느 기업이라도 투명하게 공개해야 하며, 경영진들 중 누가 책임을 지고 후속 조치를 취하고 있는지도 알려야 한다는 내용이 포함되어 있다.
경영진이 사이버 보안과 관련된 일들을 맡아야 한다는 건 사이버 보안 사고가 터졌을 때 보안 책임자 혼자서 모든 걸 뒤집어써야 한다는 부담감에서 어느 정도 해방될 수 있다는 뜻이 된다. 그러므로 기업 전체가 보안 전략을 공유하고 적극 실천하며, 더 나아가 기업과 기업 사이의 정보 공유 역시 활발해질 수 있도록 유도한 것이라고도 볼 수 있다. 진작 마련되었어야 할 규정이지만, 지금이라도 늦지 않았다고 생각한다.
최근 월스트리트저널의 한 기사에 의하면 90%의 기업 입원진들이 아직 이러한 SEC의 새로운 규정을 제대로 준수할 준비가 되지 않은 상태라고 한다. 즉, CISO들은 물론 보안 팀과 경영진들이 한참 이러한 규정에 맞춰서 새로운 보안 전략을 수립하여 도입하는 중이라는 것이다. 단지 규정을 어기지 않기 위해서가 아니라, 이제 보안에 대한 전사적인 투자가 불가피한 것이 되었으니 이왕 하는 거 최대한의 값어치를 끌어내고 싶기 때문이다. 그러려면 미리 계획하여 집중적으로 투자할 곳을 찾고, 투자한 만큼 얻어낼 수 있는 것이 무엇인지를 파악하고 가늠해야 하는데, 이런 상황에서 재정에 대한 통찰력이 필요하다.
재정 통찰력과 사이버 보안
현재 사이버 공격은 빈도도 높아지고 있지만 고차원적으로 변하고 있기도 하다. 양적으로나 질적으로나 방어한다는 게 쉽지 않다는 뜻이다. 기업들은 이러한 사실이 가져다주는 의미부터 확실하게 인지해야 한다. 공격이 이런 식으로 변한다는 건 방어 역시 양적, 질적 팽창을 필요로 한다는 의미가 된다. 백신 하나 구매한 걸로 생색낼 수 없다는 뜻이다. ‘다단계 보안’ 혹은 ‘심층 보안’과 같은 개념이 왜 대두되는지 이해해야 한다.
2021년 기업들의 66% 이상이 랜섬웨어 공격에 최소 한 번은 당했다. 2020년에 비해 78%가 증가한 수치다. 랜섬웨어 피해액도 200억 달러로 자연스럽게 늘어났다. 그리고 지금, 랜섬웨어는 새롭게 전성기를 맞이하는 중이다. 올해가 다 끝나기 전에 2021년을 훨씬 능가하는 피해가 기록될 것이 기정 사실화 되어가고 있다. 보안의 기술이 공격자들의 기술보다 못해서일까? 그렇지 않다. 기술의 발전도 중요하지만 우리에게 ‘재정 통찰력’이 제대로 발휘되지 않고 있다는 것이 매우 큰 요인으로 작용하고 있을 뿐이다. 재정 통찰력이 데이터 보안을 어떤 식으로 강화하게 되는지 한 번 자세히 살펴보자.
1) 데이터 침해 사고의 ‘비용’을 이해한다 : 기존 사이버 보안 사고들을 분석하는 방법들에는 여러 가지가 있는데, 그 중 하나는 ‘비용’을 계산하는 것이다. 이전 사고들 때문에 어떤 비용들이 얼마나 발생했는지 알게 된다면 다음에 발생할 사고로 어떤 일이 벌어질 것인지 ‘금액적으로’ 예상할 수 있게 된다. 그러므로 피해 감소 차원에서 어떤 자원을 어떻게 분산 투자해야 하는지도 파악할 수 있게 된다.
보안 사고에 대하여 이런 식으로 접근하게 된다면 보안 강화와 데이터 보호를 위해 돈을 써야 한다는 사실에 대해서도 기업은 자연스럽게 받아들이게 된다. 예를 들어 데이터 암호화를 위한 도구들이 어떤 가치를 가지고 있는지 이해하게 된다는 뜻이다. 또한 데이터 보호를 위한 임직원 교육과 사건 대응 계획이 내포하고 있는 가치들 역시 따로 입증할 필요가 없어진다. 거부감이 아예 사라지는 건 아니겠지만 기술적으로만 얘기하는 것보다 금액적으로 얘기하는 것은 언제나 더 효과적이다. 보안이 그만큼 강해진다.
2) 투자수익률을 평가한다 : 위 1)번과 이어지는 내용인데, 보안에 대한 투자수익률을 계산하고 예측하는 것은 매우 중요한 일이다. 안전하기 위해서 그 어떤 돈도 투자할 수 있다는 태도보다, 투자 비용을 높은 효율로 뽑아내겠다는 마음가짐이 더 중요하다. 그래야 기업은 보안 솔루션들로 인해 비대해지지 않은 채 튼튼한 조직으로 변화할 수 있게 된다. 솔루션과 기술이 지나치게 많아진다면, 그 자체로 보안 구멍이 된다. 어떤 보안 솔루션이나 기술이 좋을지 몰라 고민이 된다면 재정 통찰력을 가지고 다시 한 번 검토하는 게 좋다. 싼 걸 사라는 게 아니다. 투자 대비 가장 많은 가치를 끌어낼 수 있는 걸 찾는 게 중요하다.
3) 위험 관리에 필요한 것들을 고루 도입한다 : 재정 통찰력은 위험 관리 방안을 마련하는 데에도 큰 도움이 된다. 보안 사고로 인한 재정적 손실을 평가한 후 보안을 바라보는 기업의 시각은 달라질 수밖에 없다. 어떤 부분에서 가장 큰 손해가 났는지 알게 되니, 어떤 부분을 보완해야 하는지 보다 명확하게 이해할 수 있게 된다. 이미 많은 경영자들은 재정 차원에서의 리스크 관리라는 것에 익숙할 것이다. 그러한 지식과 노하우를 고스란히 보안에 적용할 때 경영진은 보안과 관련된 리스크에 대해서도 높은 이해도를 갖추게 되며, 정확한 결정을 내릴 수 있게 된다.
4) 규정 준수만 잘 해도 돈을 아낄 수 있다 : 데이터 침해 사고와 관련된 벌금은 갈수록 커지고 있다. 단순히 ‘커진다’라고 말하는 게 부족하게 느껴질 정도로 거대해지고 있다. GDPR과 CCPA처럼 기업을 통째로 휘청이게 할 만한 벌금을 요구하는 규정들이 경쟁하듯 여러 지역에서 생겨나면서 기업들은 이제 개인정보를 목숨 걸고 지켜야만 하게 됐다. 기업들도 이러한 사실을 잘 알고 있고, 그래서 데이터 침해 사고를 어떻게든 예방하려고 애쓰는 중이다.
규정 준수를 준비할 때도 재정 통찰력이 필요하다. 법적 규정과 기술적 방법들에 더해 ‘어떤 규정을 어기게 됐을 때 어느 정도 규모의 벌금을 내게 되는가’의 시선으로 규정 준수 문제에 접근하면 방대하고 모호하기만 한 규정이 어느 새 구체적이고 실질적인 실천 사항으로 다시 보인다. 따라서 규정을 준수하기 위한 전략도 기틀을 잡게 된다. 누가 데이터에 접근하고 있는지, 그 데이터는 어디에서 왔는지 등을 보다 철저하게 살피게 되는데, 이것이 보안 강화의 좋은 시작점이 된다.
5) 사이버 보험 납부금을 재평가 한다 : 재정 통찰력을 발휘해야 하는 또 다른 보안 분야는 ‘사이버 보험’ 상품이다. 많은 기업들이 보안 사고를 두려워 하고 있기 때문에 보험에도 가입하고 있는데, 사이버 보험이라는 게 워낙 복잡하여 엉뚱한 지출이 되기도 하며, 나중에 사고가 발생했을 때 제대로 보상을 받지 못하여 보험사와 길고 긴 싸움을 하게 되는 경우도 부지기수다. 보안 담당자는 재정 통찰력을 발휘하여 이런 부분도 미리 점검해야 한다. 그랬을 때 기업은 보다 안정적인 대비책을 갖추게 된다.
정보 보안이라는 것은 예산 및 재정 관리와 깊은 연관성을 가질 수밖에 없는 분야로 변모하고 있다. 주변의 액세서리와 같은 요소였을 때야 큰 상관이 없었지만, 보안이 사업 경영의 중심으로 들어온 지금은 그렇지 않다. 그러니 보안 전문가들이라면 이제 IT와 관련된 이야기를 돈과 관련된 이야기로 풀어낼 수 있어야 한다. 거기서부터 설득력이 탄생한다. 그리고 그 설득력은 보안 강화로 이어진다.
글 : 크리스 헤트너(Chris Hetner), 보안 고문 의장, Panzura
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 기업의 정상적인 사업 운영의 곁다리 역할만 하던 정보 보안은 더는 존재하지 않는다. 사이버 공간에서 이뤄지는 각종 위협들이 얼마나 무섭게 진화했는지, 이제 어떤 기업이든 데이터 침해 사고를 늘 불안해 하고 염두에 둔 상태로 하루하루 사업을 해야 하는 상황이다. 그러므로 보안은 사건 발생 시에만 단일 비용이 들어가는 것이 아니라 주기적으로, 고정적인 지출을 해야만 하는 요소가 됐고, 더 이상 독자적으로 기능할 수 없으며, 사업의 중요한 한 축으로서 모든 것과 맞물리기 시작했다.
[이미지 = gettyimagesbank]
이처럼 보안이 보다 전체적인 접근법을 취해야만 한다는 필요성이 대두되는 것과 맞물려 미국의 증권거래위원회(SEC)는 올해 새로운 규정들을 여럿 신설했다. 심각한 사이버 보안 사고에 대해서는 어느 기업이라도 투명하게 공개해야 하며, 경영진들 중 누가 책임을 지고 후속 조치를 취하고 있는지도 알려야 한다는 내용이 포함되어 있다.
경영진이 사이버 보안과 관련된 일들을 맡아야 한다는 건 사이버 보안 사고가 터졌을 때 보안 책임자 혼자서 모든 걸 뒤집어써야 한다는 부담감에서 어느 정도 해방될 수 있다는 뜻이 된다. 그러므로 기업 전체가 보안 전략을 공유하고 적극 실천하며, 더 나아가 기업과 기업 사이의 정보 공유 역시 활발해질 수 있도록 유도한 것이라고도 볼 수 있다. 진작 마련되었어야 할 규정이지만, 지금이라도 늦지 않았다고 생각한다.
최근 월스트리트저널의 한 기사에 의하면 90%의 기업 입원진들이 아직 이러한 SEC의 새로운 규정을 제대로 준수할 준비가 되지 않은 상태라고 한다. 즉, CISO들은 물론 보안 팀과 경영진들이 한참 이러한 규정에 맞춰서 새로운 보안 전략을 수립하여 도입하는 중이라는 것이다. 단지 규정을 어기지 않기 위해서가 아니라, 이제 보안에 대한 전사적인 투자가 불가피한 것이 되었으니 이왕 하는 거 최대한의 값어치를 끌어내고 싶기 때문이다. 그러려면 미리 계획하여 집중적으로 투자할 곳을 찾고, 투자한 만큼 얻어낼 수 있는 것이 무엇인지를 파악하고 가늠해야 하는데, 이런 상황에서 재정에 대한 통찰력이 필요하다.
재정 통찰력과 사이버 보안
현재 사이버 공격은 빈도도 높아지고 있지만 고차원적으로 변하고 있기도 하다. 양적으로나 질적으로나 방어한다는 게 쉽지 않다는 뜻이다. 기업들은 이러한 사실이 가져다주는 의미부터 확실하게 인지해야 한다. 공격이 이런 식으로 변한다는 건 방어 역시 양적, 질적 팽창을 필요로 한다는 의미가 된다. 백신 하나 구매한 걸로 생색낼 수 없다는 뜻이다. ‘다단계 보안’ 혹은 ‘심층 보안’과 같은 개념이 왜 대두되는지 이해해야 한다.
2021년 기업들의 66% 이상이 랜섬웨어 공격에 최소 한 번은 당했다. 2020년에 비해 78%가 증가한 수치다. 랜섬웨어 피해액도 200억 달러로 자연스럽게 늘어났다. 그리고 지금, 랜섬웨어는 새롭게 전성기를 맞이하는 중이다. 올해가 다 끝나기 전에 2021년을 훨씬 능가하는 피해가 기록될 것이 기정 사실화 되어가고 있다. 보안의 기술이 공격자들의 기술보다 못해서일까? 그렇지 않다. 기술의 발전도 중요하지만 우리에게 ‘재정 통찰력’이 제대로 발휘되지 않고 있다는 것이 매우 큰 요인으로 작용하고 있을 뿐이다. 재정 통찰력이 데이터 보안을 어떤 식으로 강화하게 되는지 한 번 자세히 살펴보자.
1) 데이터 침해 사고의 ‘비용’을 이해한다 : 기존 사이버 보안 사고들을 분석하는 방법들에는 여러 가지가 있는데, 그 중 하나는 ‘비용’을 계산하는 것이다. 이전 사고들 때문에 어떤 비용들이 얼마나 발생했는지 알게 된다면 다음에 발생할 사고로 어떤 일이 벌어질 것인지 ‘금액적으로’ 예상할 수 있게 된다. 그러므로 피해 감소 차원에서 어떤 자원을 어떻게 분산 투자해야 하는지도 파악할 수 있게 된다.
보안 사고에 대하여 이런 식으로 접근하게 된다면 보안 강화와 데이터 보호를 위해 돈을 써야 한다는 사실에 대해서도 기업은 자연스럽게 받아들이게 된다. 예를 들어 데이터 암호화를 위한 도구들이 어떤 가치를 가지고 있는지 이해하게 된다는 뜻이다. 또한 데이터 보호를 위한 임직원 교육과 사건 대응 계획이 내포하고 있는 가치들 역시 따로 입증할 필요가 없어진다. 거부감이 아예 사라지는 건 아니겠지만 기술적으로만 얘기하는 것보다 금액적으로 얘기하는 것은 언제나 더 효과적이다. 보안이 그만큼 강해진다.
2) 투자수익률을 평가한다 : 위 1)번과 이어지는 내용인데, 보안에 대한 투자수익률을 계산하고 예측하는 것은 매우 중요한 일이다. 안전하기 위해서 그 어떤 돈도 투자할 수 있다는 태도보다, 투자 비용을 높은 효율로 뽑아내겠다는 마음가짐이 더 중요하다. 그래야 기업은 보안 솔루션들로 인해 비대해지지 않은 채 튼튼한 조직으로 변화할 수 있게 된다. 솔루션과 기술이 지나치게 많아진다면, 그 자체로 보안 구멍이 된다. 어떤 보안 솔루션이나 기술이 좋을지 몰라 고민이 된다면 재정 통찰력을 가지고 다시 한 번 검토하는 게 좋다. 싼 걸 사라는 게 아니다. 투자 대비 가장 많은 가치를 끌어낼 수 있는 걸 찾는 게 중요하다.
3) 위험 관리에 필요한 것들을 고루 도입한다 : 재정 통찰력은 위험 관리 방안을 마련하는 데에도 큰 도움이 된다. 보안 사고로 인한 재정적 손실을 평가한 후 보안을 바라보는 기업의 시각은 달라질 수밖에 없다. 어떤 부분에서 가장 큰 손해가 났는지 알게 되니, 어떤 부분을 보완해야 하는지 보다 명확하게 이해할 수 있게 된다. 이미 많은 경영자들은 재정 차원에서의 리스크 관리라는 것에 익숙할 것이다. 그러한 지식과 노하우를 고스란히 보안에 적용할 때 경영진은 보안과 관련된 리스크에 대해서도 높은 이해도를 갖추게 되며, 정확한 결정을 내릴 수 있게 된다.
4) 규정 준수만 잘 해도 돈을 아낄 수 있다 : 데이터 침해 사고와 관련된 벌금은 갈수록 커지고 있다. 단순히 ‘커진다’라고 말하는 게 부족하게 느껴질 정도로 거대해지고 있다. GDPR과 CCPA처럼 기업을 통째로 휘청이게 할 만한 벌금을 요구하는 규정들이 경쟁하듯 여러 지역에서 생겨나면서 기업들은 이제 개인정보를 목숨 걸고 지켜야만 하게 됐다. 기업들도 이러한 사실을 잘 알고 있고, 그래서 데이터 침해 사고를 어떻게든 예방하려고 애쓰는 중이다.
규정 준수를 준비할 때도 재정 통찰력이 필요하다. 법적 규정과 기술적 방법들에 더해 ‘어떤 규정을 어기게 됐을 때 어느 정도 규모의 벌금을 내게 되는가’의 시선으로 규정 준수 문제에 접근하면 방대하고 모호하기만 한 규정이 어느 새 구체적이고 실질적인 실천 사항으로 다시 보인다. 따라서 규정을 준수하기 위한 전략도 기틀을 잡게 된다. 누가 데이터에 접근하고 있는지, 그 데이터는 어디에서 왔는지 등을 보다 철저하게 살피게 되는데, 이것이 보안 강화의 좋은 시작점이 된다.
5) 사이버 보험 납부금을 재평가 한다 : 재정 통찰력을 발휘해야 하는 또 다른 보안 분야는 ‘사이버 보험’ 상품이다. 많은 기업들이 보안 사고를 두려워 하고 있기 때문에 보험에도 가입하고 있는데, 사이버 보험이라는 게 워낙 복잡하여 엉뚱한 지출이 되기도 하며, 나중에 사고가 발생했을 때 제대로 보상을 받지 못하여 보험사와 길고 긴 싸움을 하게 되는 경우도 부지기수다. 보안 담당자는 재정 통찰력을 발휘하여 이런 부분도 미리 점검해야 한다. 그랬을 때 기업은 보다 안정적인 대비책을 갖추게 된다.
정보 보안이라는 것은 예산 및 재정 관리와 깊은 연관성을 가질 수밖에 없는 분야로 변모하고 있다. 주변의 액세서리와 같은 요소였을 때야 큰 상관이 없었지만, 보안이 사업 경영의 중심으로 들어온 지금은 그렇지 않다. 그러니 보안 전문가들이라면 이제 IT와 관련된 이야기를 돈과 관련된 이야기로 풀어낼 수 있어야 한다. 거기서부터 설득력이 탄생한다. 그리고 그 설득력은 보안 강화로 이어진다.
글 : 크리스 헤트너(Chris Hetner), 보안 고문 의장, Panzura
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
