증가하는 위협 속에서 최고의 글로벌 CISO가 조직을 보호하는 방법

blog-thumb-security-shielf-simple.png

새로운 데이터에 따르면, 주요 사이버 보안 경영진 그룹은 차세대 보안 정보 및 이벤트 관리(SIEM), 엔드포인트 탐지 및 대응(EDR), 확장 탐지 및 대응(XDR) 등 새로운 기능에 투자하고 있으며 대부분의 조직보다 훨씬 앞선 실행 사례를 보여줍니다. 이를 통해 복원력의 격차가 점점 증가하고 있음을 알 수 있습니다.  

Elastic이 공동 후원하는 “더 위험한 세상을 위한 사이버 보안 솔루션(Cybersecurity Solutions for a Riskier World)” 연구는 16개국 및 14개 산업에 걸쳐 총 1,252억 달러의 사이버 보안 비용을 지출한 1,200개 조직이 급증하는 위협 환경에 대응하여 어떻게 방어에 투자하고 있는지를 보여줍니다. 리서치 기업 ThoughtLab은 소수의 앞서가는 조직들을 밝혀냈으며, 긴급한 행동을 요구하고 있습니다. 그러나 설문 응답자 대다수가 사이버 보안 전략의 효율성을 향상시키기 위해 프로세스 및 기술 변화를 가속화해야 하며, 그렇지 않으면 뒤처질 위험이 있습니다. 

보고서를 다운로드하여 귀사가 얼마나 앞서 있는 상태인지 알아보세요.

(차세대) SIEM에 더 많은 투자 

설문 조사에 따르면, 조직의 거의 절반(44%)이 SIEM을 확장하거나 전환하기를 원하는 것으로 나타났습니다. 실제로, SIEM은 향후 2년 이내에 신원 및 액세스 관리(IAM)와 함께 사이버 보안 분야에서 최고의 투자 부문이 될 것입니다. 

현재, 조직이 투자하는 상위 사이버 보안 기술은 이메일 보안, 분산 서비스 거부(DDoS) 보호, 모바일 기기 관리, 클라우드 액세스 보안 브로커, 네트워크 보안 정책 관리, 보안 정보 및 이벤트 관리(SIEM) 등입니다. 하지만, 가까운 미래에 우선 순위는 달라질 것으로 보입니다. 2년 후, 가장 큰 기술 투자 부문으로 랭크된 영역은 SIEM, IAM, DDoS 보호, 클라우드 워크로드 보호 플랫폼, 이메일 보안 및 보안 액세스 서비스 에지(SASE) 등입니다.

아직 위협 탐지를 최적화하지 않은 조직은 이러한 추세를 고려하여 계획을 수립할 수 있습니다. SIEM은 "더 많은 가시성과 데이터 포인트를 제공하여 보다 세분화된 의사 결정을 내릴 수 있도록 도울 수 있다"고 University of Maryland Medical System의 Duc Lai CISO는 말했습니다. 

[Elastic을 통해 Log4Shell 이후 여러 환경에서 데이터를 로그하고 단일 플랫폼에서 동일한 데이터를 관찰하고 보호할 수 있는 방법을 알아보세요.]

SIEM 전환 또는 강화와 관련하여 조직은 무엇을 추구해야 할까요? 우선, 클라우드 네이티브 기능은 차세대 SIEM의 특징입니다. 

Elastic의 Mandy Andress CISO는 "SIEM 전환을 주도하는 큰 추세 중 하나는 클라우드"라며 "워크로드가 클라우드로 마이그레이션됨에 따라, 클라우드 배포를 모니터링하는 것은 비즈니스의 필수 요소가 된다"고 말했습니다. 또한 기존 SIEM은 많은 데이터를 수집할 수 있지만, 항상 분석을 포함하지는 않습니다. 차세대 SIEM은 집약적인 수동 작업 없이도 데이터를 상호 연관시키고 처리하여 적시에 대응할 수 있는 인사이트를 제공해야 합니다.

[SIEM에 대한 주요 고려 사항과 Elastic이 이러한 고려 사항을 어떻게 충족하는지 자세히 읽어보세요.]

EDR 및 XDR을 통해 고급 분석 기능 확장

EDR 및 XDR도 조직의 최우선 과제입니다. 실제로, 5개 조직 중 1곳은 EDR을 2년간의 가장 큰 기술 투자로 꼽고 있습니다. EDR은 머신 러닝을 사용하여 랜섬웨어 및 Malware를 방지하고 지능적 위협을 탐지하며 대응자에게 중요한 컨텍스트를 제공합니다. 머신 러닝과 관련하여, 이 기술은 대부분의 조직에서 현재 격차를 개선해 줍니다. 보안 취약점과 위협을 파악하기 위해 인공 지능, 머신 러닝 등 고급 분석을 사용한다고 답한 조직은 26%에 불과했습니다.  

[Elastic이 2022년 2분기 Forrester Wave™: 엔드포인트 위협 탐지 및 대응(EDR) 서비스 제공자 부문에서 우수 기업(Strong Performer)으로 선정된 이유에 대해 알아보세요.]

한편, XDR은 EDR 기능과 머신 러닝 기반 분석을 결합하여 활동을 상호 연관시키고 위협을 식별합니다. Andress CISO는 "처리 속도와 실시간 분석이 주요 장점"이라고 말했습니다. 앞서가는 조직 5개 중 1곳은 향후 2년 안에 XDR에 투자할 계획입니다.

이러한 맥락에서 흥미롭게도, 앞서가는 조직 3개 중 1곳은 포인트 솔루션 배포와 달리 일련의 기능을 제공하는 보안 기술을 "플랫폼"으로 채택하고 있다고 말합니다. XDR은 일반적으로 여러 다른 도구들에서 통합시켜 분석가를 위한 단일 참조점 역할을 하는 통합 보안 플랫폼으로 제공됩니다. Andress CISO는 "보다 새로운 XDR 플랫폼은 몇 가지 내장된 기능으로 더욱 광범위한 보안 운영을 지원한다”며 "이러한 기능에는 클라우드별 기본 제공 규칙, 이상 징후를 도출하기 위한 분석 및 머신 러닝, 더 빠르고 심층적인 조사를 위한 통합 엔드포인트 기능, 대응 자동화를 위한 워크플로우 통합 등이 포함된다"고 말했습니다.

클라우드의 미래를 위한 계획 

클라우드 투자는 지난 1년 동안 25% 증가했습니다(IT 지출에서 차지하는 비율). 조직이 클라우드 서비스 제공자, 서비스 및 다른 기술들과의 상호 연결을 더욱 더 많이 이용하게 되면서 어디에 초점을 두어야 하는지가 드러나고 있습니다.

더 많은 클라우드 네이티브 기술을 채택함에 따라, 조직은 안전하게 채택하는 것을 고려해야 합니다. 절반에 가까운 조직(49%)은 향후 2년 동안 잘못된 구성이 위반의 근본 원인으로 증가할 것으로 예상하고 있습니다. 이는 가장 중요한 최근 위반의 다른 근본 원인들보다도 많은 수치입니다. 애플리케이션, 시스템 및 서버에서 보안 설정 및 프레임워크를 적절히 구성하면 공격자가 방어를 침해할 수 있는 기회가 줄어듭니다.

이를 고려하면, 클라우드 보안에 대한 투자는 매우 중요합니다. 앞서가는 조직들은 클라우드 워크로드 보호 플랫폼을 이메일 보안에 이어 현재 투자하고 있는 가장 효과적인 기술 중 두 번째로 꼽았습니다. 또한 5개 조직 중 1곳은 네트워크, 클라우드 및 인프라를 포함해, 엔드포인트 이상의 위협에 대한 가시성이 부족하다고 말합니다. 더 많은 조직이 하이브리드 멀티 클라우드 환경으로 확장됨에 따라, 클라우드 워크로드 보호 플랫폼은 보안 팀이 서버 워크로드를 보호하고 일관된 가시성을 확보할 수 있도록 지원할 수 있습니다.

데이터 당면 과제로서 보안 해결

위협 탐지 및 데이터 보안과 관련하여, 앞서가는 조직들과 다른 조직들 간에 큰 차이가 있습니다. 지속적인 모니터링, 이상 징후 탐지 및 신원 관리와 같은 활동에 대한 당면 과제는 일부 조직이 데이터에 대한 적절한 가시성을 확보하고 데이터를 안전하게 유지하는 데 있어 어려움을 겪고 있음을 시사합니다.

예를 들어, 앞서가는 조직의 81%가 탐지 프로세스를 관리하거나 최적화한 반면, 다른 조직의 47%만이 이러한 진전을 달성했습니다. 지속적인 모니터링과 관련해서는 앞서가는 조직의 66%가 자체적으로 높게 평가했고, 이에 비해 다른 조직은 28%가 자체적으로 높게 평가했습니다. 이상 징후 및 이벤트 탐지에 대해서도 마찬가지입니다. 이 경우, 앞서가는 조직은 68%이지만 다른 조직은 25%로 큰 격차를 보여줍니다. 

이는 데이터 보안 영역에서도 유사합니다. 앞서가는 조직의 69%가 데이터 보안을 관리하거나 최적화한 반면, 다른 조직의 44%만이 이를 수행했습니다. 전반적으로, 신원 관리 및 액세스 제어의 성공률은 상대적으로 낮은데, 앞서가는 조직의 57%가 진전을 이루었고, 다른 조직의 경우에는 24%만이 진전을 이루었습니다. 

이 두 분야에서, 앞서가는 조직의 상당수가 개선되고 있습니다. 향후 2년간 프로세스 이니셔티브의 일환으로, 앞서가는 조직의 34%가 보안 모니터링과 위협 탐지 기능 개발 및 유지관리에 투자하고, 36%는 사이버 보안을 데이터 개인 정보 보호 이니셔티브와 긴밀하게 조정하는 데 투자할 계획입니다. 후자는 정기적인 위험 평가, 감사, 스트레스 테스트 및 침투 테스트 수행, 사이버 사고 대응 및 복구 계획 개발 및 유지관리와 함께 상위 프로세스 투자로 묶여 있습니다.

팀 교육 및 기술 향상

보다 정교한 위협의 유입에 대비해 이러한 위협으로부터 조직을 보호할 수 있는 보다 강력하고 준비된 팀이 필요합니다. 이는 인력 부족 상황을 헤쳐나가고 있는 업계에서 절대 쉬운 일이 아닙니다. Andress CISO는 "Malware, 랜섬웨어, 데이터 침해의 위협이 계속 증가 추세인 상황에서, 많은 보안 임원들이 직면하는 가장 큰 당면 과제는 차세대 사이버 보안 전문가를 찾는 것"이라고 말했습니다. 

숙련된 사이버 보안 전문가의 부족은 현재 24%의 조직의 당면 과제였으며, 2년 후 조직의 27%가 해결해야 할 과제로 증가할 것으로 예상됩니다. 직원이 더 많은 대기업인 경향이 있는 앞서가는 조직에는 더 많은 IT 및 데이터 보안 인력이 있으므로 사이버 보안 대비에 차이가 있을 수 있습니다.

이러한 당면 과제를 해결하기 위해 전체 조직의 46%가 사이버 보안 및 IT 직원의 기술 향상에 투자하고 있습니다. 가장 일반적인 두 가지 침해의 원인을 생각할 때, 사람에 대한 지속적인 훈련과 투자는 훨씬 더 중요합니다. 조직은 피싱/소셜 엔지니어링 및 인적 오류가 향후 2년 동안 침해의 원인으로 가장 많이 증가할 것으로 예측하고 있으며 랜섬웨어가 그 뒤를 잇고 있습니다. 

동시에, CISO는 조직의 비즈니스 및 디지털 전환 계획에 더 큰 영향을 미치면서 더욱 전략적으로 변모하고 있습니다. 예를 들어, 조직의 42%는 CISO가 고객 및 내부자 부정 행위를 더 잘 관리하고 있다고 보고합니다. 또한 조직의 최고 경영진 전반에 걸쳐 사이버 보안은 팀 작업으로 진화하고 있으며, CEO, COO, CIO, 법무, 리스크, 개인 정보 보호 및 규정 준수 책임자와 같은 경영진은 보안을 전략적 필수 요소로 보고 있습니다. CISO의 역할 확대와 동료들과의 협업 강화는 조직이 보안 인식 교육과 내부자 부정 행위 같은 위험을 완화하는 기술 향상에 계속해서 초점을 맞추는 데 도움이 될 수 있습니다.

사이버 보안 전략 평가

사이버 보안에 대한 귀사의 접근 방식은 어떤 면에서 탁월한가요? 어떤 면에서 개선이 필요한가요? 보고서 전문을 읽어보면서 가장 앞서가는 조직들로부터 더 자세히 알아보고 자체 사이버 보안 상태를 평가해 보세요.