정보가 유출되는 것이 무섭다는 응답자는 2위, 이미지 손상이 1위
평소부터 꾸준히 보안을 알려줘야... 보안 작업 문서화시키면 효과적
[보안뉴스 문가용 기자] 리스크 관리는 사업 운영에 있어 반드시 해결해야 하는 문제지만 정보 유출 사고가 가장 큰 걱정거리인 것은 아닌 듯 하다. 즉 보통 기업체들에게 있어 리스크란 ‘정보 유출 사고’ 외의 것이라는 뜻이 된다. 조사 결과 이는 기업 명성에 손상이 가는 것이라고 한다.
.jpg)
리스크 관리 전문업체인 리스크비전(RiskVision)은 리스크 관리 프로그램에 투입된 임직원 641명을 대상으로 조사를 벌이고, 최근 ‘기업 리스크 지능 보고서(The Imperative to Raise Enterprise Risk Intelligence)’라는 보고서를 발표했다. 응답자의 63%가 ‘기업 명성에 손상이 가는 게 제일 무섭다’고 답했으며, ‘업무가 마비되는 것’과 ‘정보가 유출되는 것’이 공동 2위에 올랐다.
리스크비전의 CEO인 조 판투치(Joe Fantuzzi)는 이 결과를 두고 “의외였다”고 말한다. “아무리 보안 사고가 일어나고 보안이 중요하다고 말해도, 생각을 바꾼 사람은 얼마 되지 않는다고 말할 수 있습니다. 늘 사업해오던 대로 하고, 늘 무서워하던 것을 무서워하고 있다는 거죠. 하지만 다시 생각해보면 ‘이미지 손상’이라는 리스크 안에 여러 가지 사이버 보안 사고가 포함된 것일 수도 있습니다.”
그렇지만 운영회의 같은 곳에서는 여전히 ‘자금과 관련된 리스크’, ‘시장 점유 측면에서의 리스크’, ‘환율 리스크’, ‘신용 리스크’가 훨씬 더 많이 논의된다. IT 리스크나 보안 리스크와 같은 개념을 활발히 이야기하기에는 아직 시간이 좀 더 필요하다. “회사 임원이라면 아직 기술 관련 문제를 아랫사람들에게 맡기고 싶어 합니다. 주가 변동과 여론 현황처럼 보다 큰 그림을 보는 게 자신들의 일이라고 생각하는 거죠.”
위 설문에 참여한 사람들 중 24%만이 ‘회사 내 명확히 규정된 리스크 관리 전략이 존재한다’고 답했다. 그런 전략이 전혀 존재하지 않는다고 답한 수가 33%로 더 높았다. 게다가 24%의 응답자 중에서 ‘전략이 매우 효과적이다’라고 평한 사람은 37%에 그쳤다. 아직 기업들은 사이버 공격에 대처할 줄 모른다고 결론을 내려도 괜찮을 정도의 결과다.
왜 그런 걸까? 뭐가 그리 어려운 걸까? 이에 대해 53%의 응답자는 ‘금융, 운영, 법무, IT, 리스크 관리 팀 간의 협업 분위기를 조성하는 게 너무나 어렵다’고 답했다. 아주 근소한 차이의 응답자(52%)들은 ‘재정 문제’가 가장 큰 산이라고 말했다. 그 뒤를 이어서는 자원 부족(44%), 복잡한 구조(44%), 결단 부족(43%)이 꼽혔다.
그렇지만 아예 발전이 없는 건 아니다. 이 조사는 18개월 전에도 똑같이 진행된 바 있는데, 당시에는 ‘회사 내 명확히 규정된 리스크 관리 전략이 존재한다’고 답한 기업이 21%였던 것이다. 또, 리스크 관리만을 위한 예산이 따로 마련되어 있다고 답한 응답자들 중 58%가 10억에서 50억 정도를 투자할 것이라고 밝히기도 했다.
IT 보안 리스크 관리를 너무 어려워할 것 없다고 판투치는 설명한다. “먼저 가지고 있는 IT 자산의 목록 정리부터 하면 됩니다. 아마 보안 담당자뿐만 아니라 네트워크 관리자들 중에서도 IT 자산 목록을 가지고 있는 사람은 얼마 없을 겁니다. 가지고 있다고 하더라도 제 때 최신화를 하는 사람은 더더욱 없을 것이고요. 앱이 몇 개나 있고, 네트워크 서버가 몇 대 돌아가는지 파악하는 것과는 달라요. 누가 앱을 설치했고, 소유자는 누구로 등록되어 있으며, 어떤 취약점을 통해 무슨 방법으로 공격 들어오는 게 가능한지를 아이템 별로 같이 정리해야 한다. 물론 어떤 데이터가 어느 경로로 오가는지도 파악하는 것도 포함된다.
“자산의 모든 것을 이렇게 정리했다면, 다음으로는 임계, 즉 위험한 정도를 파악하고 관리해야 합니다. 이는 기업의 성격에 따라 달라질 수 있습니다. 기업이 진행하는 사업을 고려했을 때 어떤 데이터가 특히 더 중요한지, 어떤 취약점이 더 큰 위험을 내포하고 있는지, 어떤 종류의 비상상태가 특히나 더 사업에 치명적인 손해를 끼치는지를 파악해야 하는 겁니다. 여기서 정말 중요한 건 그러한 취약점의 우선순위를 정하는 겁니다.”
이렇게 순위가 정해진 취약점들이 문서화된다면 사고가 발생했을 때 올바른 대처 결정을 내리는 게 한결 쉬워진다. “무엇보다 이런 문서 하나 가지고 있어야 아무 것도 모르는 임원들이 ‘보안 책임자인 당신은 뭐하고 있었느냐’고 하는 말에 뭔가를 제시할 수 있습니다. 책임 회피나 면피 목적으로 문서를 가지고 있으라는 게 아닙니다. 누가 책임을 지고 옷을 벗네 마네 하는 소모적인 논쟁으로 시간을 벌이지 않아도 된다는 겁니다. 최소 보안 담당자는 그러한 현장에서 물러나 진짜 사건을 조사해야 하지 않겠습니까?”
판투치는 보안 비전문가가 봐도 이해할 수 있을 만한 자료를 평소부터 갖춰놓는 게 중요하다고 말한다. “사람들은 이해할 수 있는 일에 신경을 써주기 시작합니다. 이해도 안 가는 걸 어떻게 신경 씁니까? 임원진들이 사이버 보안 리스크를 잘 이야기 하지 않는 건 잘 모르기 때문입니다. 그러므로 이들을 평소에도 꾸준히 이해시키도록 해야 합니다. 또한 이를 문서화 시키면 급박한 상황에서 설명에 할애할 시간을 아낄 수 있고, 진짜 필요한 일에 시간을 투자할 수 있어 효율적입니다. 면피가 아니라 배려입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
평소부터 꾸준히 보안을 알려줘야... 보안 작업 문서화시키면 효과적
[보안뉴스 문가용 기자] 리스크 관리는 사업 운영에 있어 반드시 해결해야 하는 문제지만 정보 유출 사고가 가장 큰 걱정거리인 것은 아닌 듯 하다. 즉 보통 기업체들에게 있어 리스크란 ‘정보 유출 사고’ 외의 것이라는 뜻이 된다. 조사 결과 이는 기업 명성에 손상이 가는 것이라고 한다.
리스크 관리 전문업체인 리스크비전(RiskVision)은 리스크 관리 프로그램에 투입된 임직원 641명을 대상으로 조사를 벌이고, 최근 ‘기업 리스크 지능 보고서(The Imperative to Raise Enterprise Risk Intelligence)’라는 보고서를 발표했다. 응답자의 63%가 ‘기업 명성에 손상이 가는 게 제일 무섭다’고 답했으며, ‘업무가 마비되는 것’과 ‘정보가 유출되는 것’이 공동 2위에 올랐다.
리스크비전의 CEO인 조 판투치(Joe Fantuzzi)는 이 결과를 두고 “의외였다”고 말한다. “아무리 보안 사고가 일어나고 보안이 중요하다고 말해도, 생각을 바꾼 사람은 얼마 되지 않는다고 말할 수 있습니다. 늘 사업해오던 대로 하고, 늘 무서워하던 것을 무서워하고 있다는 거죠. 하지만 다시 생각해보면 ‘이미지 손상’이라는 리스크 안에 여러 가지 사이버 보안 사고가 포함된 것일 수도 있습니다.”
그렇지만 운영회의 같은 곳에서는 여전히 ‘자금과 관련된 리스크’, ‘시장 점유 측면에서의 리스크’, ‘환율 리스크’, ‘신용 리스크’가 훨씬 더 많이 논의된다. IT 리스크나 보안 리스크와 같은 개념을 활발히 이야기하기에는 아직 시간이 좀 더 필요하다. “회사 임원이라면 아직 기술 관련 문제를 아랫사람들에게 맡기고 싶어 합니다. 주가 변동과 여론 현황처럼 보다 큰 그림을 보는 게 자신들의 일이라고 생각하는 거죠.”
위 설문에 참여한 사람들 중 24%만이 ‘회사 내 명확히 규정된 리스크 관리 전략이 존재한다’고 답했다. 그런 전략이 전혀 존재하지 않는다고 답한 수가 33%로 더 높았다. 게다가 24%의 응답자 중에서 ‘전략이 매우 효과적이다’라고 평한 사람은 37%에 그쳤다. 아직 기업들은 사이버 공격에 대처할 줄 모른다고 결론을 내려도 괜찮을 정도의 결과다.
왜 그런 걸까? 뭐가 그리 어려운 걸까? 이에 대해 53%의 응답자는 ‘금융, 운영, 법무, IT, 리스크 관리 팀 간의 협업 분위기를 조성하는 게 너무나 어렵다’고 답했다. 아주 근소한 차이의 응답자(52%)들은 ‘재정 문제’가 가장 큰 산이라고 말했다. 그 뒤를 이어서는 자원 부족(44%), 복잡한 구조(44%), 결단 부족(43%)이 꼽혔다.
그렇지만 아예 발전이 없는 건 아니다. 이 조사는 18개월 전에도 똑같이 진행된 바 있는데, 당시에는 ‘회사 내 명확히 규정된 리스크 관리 전략이 존재한다’고 답한 기업이 21%였던 것이다. 또, 리스크 관리만을 위한 예산이 따로 마련되어 있다고 답한 응답자들 중 58%가 10억에서 50억 정도를 투자할 것이라고 밝히기도 했다.
IT 보안 리스크 관리를 너무 어려워할 것 없다고 판투치는 설명한다. “먼저 가지고 있는 IT 자산의 목록 정리부터 하면 됩니다. 아마 보안 담당자뿐만 아니라 네트워크 관리자들 중에서도 IT 자산 목록을 가지고 있는 사람은 얼마 없을 겁니다. 가지고 있다고 하더라도 제 때 최신화를 하는 사람은 더더욱 없을 것이고요. 앱이 몇 개나 있고, 네트워크 서버가 몇 대 돌아가는지 파악하는 것과는 달라요. 누가 앱을 설치했고, 소유자는 누구로 등록되어 있으며, 어떤 취약점을 통해 무슨 방법으로 공격 들어오는 게 가능한지를 아이템 별로 같이 정리해야 한다. 물론 어떤 데이터가 어느 경로로 오가는지도 파악하는 것도 포함된다.
“자산의 모든 것을 이렇게 정리했다면, 다음으로는 임계, 즉 위험한 정도를 파악하고 관리해야 합니다. 이는 기업의 성격에 따라 달라질 수 있습니다. 기업이 진행하는 사업을 고려했을 때 어떤 데이터가 특히 더 중요한지, 어떤 취약점이 더 큰 위험을 내포하고 있는지, 어떤 종류의 비상상태가 특히나 더 사업에 치명적인 손해를 끼치는지를 파악해야 하는 겁니다. 여기서 정말 중요한 건 그러한 취약점의 우선순위를 정하는 겁니다.”
이렇게 순위가 정해진 취약점들이 문서화된다면 사고가 발생했을 때 올바른 대처 결정을 내리는 게 한결 쉬워진다. “무엇보다 이런 문서 하나 가지고 있어야 아무 것도 모르는 임원들이 ‘보안 책임자인 당신은 뭐하고 있었느냐’고 하는 말에 뭔가를 제시할 수 있습니다. 책임 회피나 면피 목적으로 문서를 가지고 있으라는 게 아닙니다. 누가 책임을 지고 옷을 벗네 마네 하는 소모적인 논쟁으로 시간을 벌이지 않아도 된다는 겁니다. 최소 보안 담당자는 그러한 현장에서 물러나 진짜 사건을 조사해야 하지 않겠습니까?”
판투치는 보안 비전문가가 봐도 이해할 수 있을 만한 자료를 평소부터 갖춰놓는 게 중요하다고 말한다. “사람들은 이해할 수 있는 일에 신경을 써주기 시작합니다. 이해도 안 가는 걸 어떻게 신경 씁니까? 임원진들이 사이버 보안 리스크를 잘 이야기 하지 않는 건 잘 모르기 때문입니다. 그러므로 이들을 평소에도 꾸준히 이해시키도록 해야 합니다. 또한 이를 문서화 시키면 급박한 상황에서 설명에 할애할 시간을 아낄 수 있고, 진짜 필요한 일에 시간을 투자할 수 있어 효율적입니다. 면피가 아니라 배려입니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
