사이버 공격에 대응하는 기업의 자세

JiranSecurity

‘투자는 나름 하고 있는데 보안 효과는 미비…. 왜 그럴까?’모든 보안 담당자와 기업들은 사이버 공격을 막을 수 있는 효과적인 보안 방법을 고민합니다. 하지만 보안이 중요하다고 해서 무조건 예산을 투입하기에는 보안의 ROI(Return On Investment)가 발목을 잡습니다. 어떻게 하면 사이버 공격에 보다 똑똑하게 대응할 수 있을까요?

 

사이버 위협에 대응하는 기업들의 아이러니

 

카드사 정보유출부터 올 상반기 가장 뜨거운 이슈로 조명된 I사의 개인정보 2,665만건 유출까지, 사이버 공격의 규모는 나날이 커지고 있습니다. 게다가 2015년 PwC의 글로벌 정보보안 설문조사 결과에 따르면 2015년에 탐지된 보안 사고는 전년대비 38%나 증가했다고 합니다. 그렇다면 전년 대비 보안에 대한 투자가 줄었느냐, 그렇지 않습니다. 동 설문에 따르면 오히려 전세계적으로 정보보안 예산은 24% 가량 증가했다고 합니다. 그렇다면 혹시 빈도만 많아졌을 뿐 실질적인 피해는 줄어든 것이 아닐까요? 안타깝지만 금전적 손실의 감소율은 5%에 그쳤다고 합니다. 이렇듯 기업들의 사이버 보안 투자가 이렇게 아이러니한 결과를 낳고 있는 것은 ‘보안 = 보안 솔루션 도입’이라는 단순한 가설에 기반하고 있기 때문일 수 있습니다.

사이버위협에대응하는기업들의자세
출처 : The Global State of Information Security Survey 2016, PwC 수치 재가공

위의 수치에서 알 수 있듯이, 기업들의 보안 위협 노출과 규모는 지속 증가하고 있고, 많은 기업들이 자신들이 위협의 타겟이 될 수 있다는 점을 인지하고 있습니다. 반면 비즈니스의 주요 관리영역으로서 정보보안 프로세스 수립 및 투자에는 소극적인 자세를 취하고 있습니다. 즉, ‘보안’이 더욱 중요해지는 환경 변화 속도에 비해 기업 경영 프로세스로서의 보안으로 변화하는 속도가 턱없이 느리다는 것이죠.

 

정보보안 아이러니 해결을 위한 6가지 원칙

 

가트너에서는 이러한 아이러니를 해소하기 위해 기업이 지켜야하는 6가지 보안 원칙을 제안합니다. 이 원칙은 기술적 측면 혹은 투자 측면의 노력을 요구하는 것이 아니라 보안에 대한 기업의 ‘자세’에 관한 것입니다.

 

컴플라이언스 준수를 위한 보안에서 리스크 관리를 위한 보안

기존의 보안은 기업에 요구되는 컴플라이언스를 준수하고, 충족하지 못했을 시의 불이익을 피하기 위한 일종의 숙제와 같은 것이었습니다. 하지만 각기 다른 기업의 IT 환경을 고려하지 않고 컴플라이언스에서 제시하는 내용만 체크하다보면 기업의 특수한 환경과 맞지 않는 부분에서 빈틈이 생기기 마련이죠. 따라서 기업은 ‘보험’의 개념으로 보안을 이해하고 보안 사고가 발생했을 때 기업이 당면하게 될 가장 큰 리스크를 파악하고, 그에 맞는 보안을 설계해야 합니다.

 

정보 통제·제어에서 정보 흐름의 이해로

정보 유출을 막는다는 명목으로 기업들은 정보가 유통되는 그 순간을 통제하고 제어하려고 합니다. 하지만 기업이 파악할 수 없는 형태의 정보라면, 아무리 강력한 수문장이 지키고 있다 하더라도 보이지 않는 존재가 오고가는 것과 마찬가지입니다. 통제와 제어를 고민하기 이전에 기업 내부에 어떤 형태, 어떤 내용의 정보가 있는지 정보자산 현황의 파악과 그 정보들이 어떤 프로세스로 유통되는지에 대한 흐름을 파악하는 것이 선행되어야 보안의 효과가 제대로 발휘될 수 있습니다.

 

기술을 위한 보안에서 실제 성과로 이어지는 보안

기업 경영 프로세스의 궁극적인 목적은 ‘이익’이라는 성과 창출이죠. 기업 경영의 일부인 보안도 마찬가지로 해석해야 합니다. 인프라를 안전하게 보호하는 것은 보안 제품의 목적이 아닌 기본 역할이며, 이 역할을 충실히 수행함으로써 기업 운영이 더욱 원활해지고 더 나은 성과를 창출할 수 있도록 돕는 것이 보안의 궁극적인 목표임을 인지해야 합니다.

 

기술 중심에서 사람 중심으로

전·현 임직원에 의한 보안 사고 비중은 62%에 달할 만큼 ‘사람’은 기업에 가장 위협적인 보안 Hole입니다. 피싱, 이메일에 첨부된 악성코드, 랜섬웨어 등 사람을 통해 유입되는 보안 위협이 증가하면서, 사람에 포커스된 보안이 주목받고 있습니다. 최근 많이 언급되는 UBA(User Behavior Analytics)와 같은 솔루션이 그 예입니다. 기술보다는 기술을 다루는 사람에 대한 보안과, 사람이 스스로 보안하도록 유도하는 방법을 고민해야 합니다.

 

방어를 위한 보안에서 업무 협업을 돕는 보안

앞서 성과로 이어지는 보안과 마찬가지로 보안이 까다롭고 어려운 절차로 업무 효율성을 떨어뜨려서는 안됩니다. 이는 기업이 보안 도입시 자사의 규모와 예산, 환경을 고려해야하는 이유이기도 합니다. 앞으로의 보안은 개개인이 업무를 진행함에 있어 걸림 없이 원활히 진행될 수 있는 수준에서 적용되고 조율되어야 하며, 또 보안과 편의성을 모두 만족시키는 방향으로 더 발전할 것입니다.

 

예방·사전 대응에서 빠른 탐지와 대응으로

얼마전까지만 해도 보안은 ‘사전 대응, 예방’의 키워드가 강조되었습니다. 하지만 오늘날의 위협은 대응이 불가능한 수준으로 빠르게 변화하고 있고 전혀 새로운 위협들에 대한 면역 시스템이 갖춰지지 않은 상황에서 사전 대응은 효과가 떨어질 수 밖에 없었습니다. 이에 ‘리스크 관리’ 측면에서는 유입된 보안 위협을 빠르게 탐지하고 리스크를 최소화할 수 있는 대응 기술을 도입하는 것이 효과적이라는 추세입니다.

 

 

정보보안은 더이상 ‘기술(IT)’가 아닌 ‘경영(Business Management)’ 입니다. 정보보안 위협의 급격한 변화로 이미 보안 트렌드는 ‘예방’보다 빠른 ‘탐지와 대응’으로 변하고 있으며, 이에 따라 어떻게 하면 사고 발생시 RISK(피해)를 최소화하고 빨리 자산과 임직원 모두가 원상복귀하느냐의 ‘회복력(Resilience)’이 정보보안의 중요한 키워드로 등장하고 있습니다. 따라서 앞으로의 사이버 보안은 경영 프로세스와 임직원 교육을 통해 기업의 경영 일상에 녹아져 있어야 하며, 솔루션은 그것을 돕는 툴(Tool)로서 활용되어져야 할 것입니다.

 

 

참고 :
– Opening Keynote: Manage Risk & Deliver Security in a Digital World, Gartner Security & Risk Management Summit 2015
– Prepare for and Respont to a Business Disruption After an Aggressive Cyberattack, Garter, 2016


※ 해당 사이트의 모든 콘텐츠는 저작자표시-비영리-변경금지 라이선스 정책이 적용됩니다. by-nc-nd
목록