가끔은 가장 간단한 아이디어가 가장 효과적이다. 제품이나 서비스를 설계할 때부터 보안에 유의한다면, 차후 보안 문제로 인한 추가적인 비용 지출이나 명예 훼손을 피할 수 있다는 생각 역시 그렇다.
사이버 보안 산업에서 모범적인 핵심 원칙으로 여기는 보안 내재화는 어떤 이슈든 생산 이후에 해결했을 때 비용과 위험이 배가 된다는 점을 기반으로 한다. 일견 간단한 아이디어이지만, 많은 기업들이 보안 내재화를 성공적으로 시행하기 위해서 여러 문화적, 구조적, 그리고 기타 제약들을 넘어야하는 국면에 처해 있다.
최근 트렌드마이크로에서 시행한 조사는 이러한 제약들을 더욱 분명하게 드러내는 동시에, 기업 차원의 보안 전략을 개선할 수 있는 단서를 제시한다. 기업 내 IT 담당자들과 C레벨 간 적극적인 소통과 참여가 그 첫 단계이다.
사이버 위험은 IT 시스템이 존재하는 순간부터 존재해왔다. 그러나 기술과 기업, 사회가 더욱 긴밀하게 연결되면서 위협은 기하급수적으로 늘어났다. 여러 기술 중에서도 소프트웨어 산업이 이러한 현상을 뚜렷하게 보여주고 있다.
소프트웨어 기반 시스템으로 비행기가 날고, 병원이 운영되고, 우리에게 매 끼니가 보장된다. 눈 깜짝할 사이에 세계의 경제가 관리되기도 한다. 소프트웨어가 세상을 지배한지 많은 시간이 흘렀으나 IT인프라의 중요성은 오늘날, 전에 없이 커졌다.
가트너 조사에 따르면, 코로나19 팬데믹을 기점으로 조직들은 머신러닝, 사물인터넷(IoT), 엣지, 모바일 에코시스템은 말할 것도 없이, 퍼블릭 클라우드 서비스에 투자한 금액이 2700억달러에 달한다. 전에 없었던 상황에 빠르게 대응하기 위해 시작된 디지털 전환은 이제 시대에 속도를 맞추는 것을 넘어서 시장을 선도하기 위한 수단에 가깝게 여겨진다. 디지털 전환의 실패가 기업의 실패와 연결되어 있다.
여러 전문가들이 경고했듯, 이사회가 더 많은 비용을 지출하는 프로젝트 일수록 더 큰 사이버 공격 표면이 형성된다. 방어 방안과 공격자의 잠재적 진입 경로가 너무나도 많아, 점점 관리가 어려워지고 있다.
이럴 때, 확장된 보안 팀을 위해 강력한 기능을 제공하는 똑똑하고, 자동화된 플랫폼이 효과적인 대응을 제공한다. 보안 내재화를 시행하는 기관 모든 프로젝트는 설계 과정부터 보안 전문가 컨설팅을 바탕으로 자동화된 기능이 구축된다.
안타깝게도, 이러한 보안 내재화의 사례는 흔하지 않다. 왜냐하면, 대부분의 사례에서 C레벨이 보안에 전혀 관여하지 않기 때문이다. 사이버 보안 지식이 있어도 급격하게 변화하는 사이버 보안 위협 생태계가 위험의 진화를 이해하려는 시도 자체를 압도할 수 있다.
이로 인한 IT 담당자와 이사회의 불협화음은 트렌드마이크로 보고서에서 자세히 나타난다.
보고서에 따르면 IT 의사결정자 50%만이 C레벨이 사이버 위험을 완벽히 이해한다고 여겼으며, 절반 이상 응답자가 자신의 조직이 사이버 위험에 대해 일관적인 태도를 취하지 않는다고 응답했다. 결국 이해 부족은 의사결정에 혼란을 야기하고 경영진은 근본적인 해결을 위한 전략을 강구하는 대신 문제에 대해 무의미한 투자를 지속하게 된다.
조사에 따르면 또 42% 응답자가 자신의 조직이 사이버 공격 대응에 가장 많은 돈을 투자한다고 밝혔다. 이는 디지털 전환(36%), 업무환경 전환(27%)에 비해 높은 수치임에도, 반 이하가 실제 조직 내에서 '사이버 보안 관리'라는 개념이 희미하다고 응답했다.
설상가상으로, 90% IT및 비즈니스 의사 결정권자는 디지털 혁신, 생산성 향상 등의 목표를 위해 기업 사이버 보안에 대해 타협할 의향이 있다고 밝히며, 보안 기반이 잘 갖춰져야만 비즈니스 목표를 성공적으로 실현할 수 있다고 가정하는 보안 내재화 사고와는 반대되는 경향을 보였다.
이러한 기업이 선제적으로 취해야할 태도는 딱 한 가지이다. 바로 IT 및 비즈니스 의사 결정자들 간 긴밀하고 분명한 소통이다. 조사에 응한 글로벌 기업 절반 정도만이 C레벨과 일주일 한 번 정도 정기적 IT-C레벨 간 논의를 가진다고 답했다. 그리고 대부분(82%)이 이사회에 전달하는 사이버 위험의 심각성을 검열하거나 축소해야 한다는 압박을 느낀 적이 있다고 답했다.
이런 관례를 유지하는 대신, IT 및 비즈니스 의사 결정자들은 정기적 회의를 진행해 이사회가 이해할 수 있는 비즈니스 위험 언어로 사이버 보안 현황을 공유해야 한다. 이를 통해 C레벨 임원진이 적극적으로 참여하게 하고, 사이버 위험이 비즈니스 성장에 끼치는 위협 정도를 인식하게 함으로써 최고 경영진에게 보안 내재화의 중요성을 제고해야 한다.
마지막으로, 대부분의 응답자가 최고경영자(CEO), 최고재무책임자(CFO), 최고마케팅책임자(CMO)를 필두로 사이버 위험을 관리하고 완화할 수 있는 책임을 가진 인력을 더 확보하길 원했다. 책임감과 전문성을 갖춘 인력은 필수적이고, 고도화된 도구의 적용 및 효과적인 직원 교육 과정 역시 해결 방안의 일부이다. 하지만 이사회 구성원 모두가 사이버 보안을 ‘알기’ 전까지는 전사적 변화가 이루어지지 않을 것이다. 더 나은 사이버 보안을 위한 첫 단계는 C레벨의 적극적인 참여를 통한 기업 내 문화의 재정렬이어야 한다.