사이버 보안에 모든 직원이 참여해야 하는 이유와 시작하기 위한 4단계

해를 거듭할수록 기업들은 사이버 보안에 더 많은 자금을 쏟아붓고 있습니다. 약 20년 전 35억 달러 수준에서 2021년에는 총 2,620억 달러 이상으로 증가했습니다. 그런데도 매년 공격, 침해 및 손실은 계속 증가하고 있습니다. 동일한 전술을 사용하면서 다른 결과를 기대하는 것은 사이버 보안 위험을 관리할 수 있는 합리적인 접근 방식이 아닙니다. 

물론 허용 가능한 위험 수준 정의, 위험의 일부를 전가할 수 있는 책임 보험 사용, 피해 발생 시 완화 등 일부 보안 전술은 여전히 공격의 영향을 줄이는 데 중요합니다. 그러나 비즈니스 리더는 조직의 전략을 재검토해야 합니다. 수년간 엔터프라이즈 보안은 소수의 전문가가 전담해 왔지만, 계속 이들 손에만 맡기기에는 엔터프라이즈 보안의 중요도가 너무 높습니다. 엔터프라이즈의 모든 구성원이 보안에 참여해야 합니다. 

다음은 CISO가 사이버 위험 관리를 개선하기 위해 고려해야 할 네 가지 전략입니다.

1. 사이버 보안 위험에 대한 사고 전환

먼저, 조직은 사이버 위험에 대한 생각을 바꾸어야 합니다. 사이버 공격은 전통적으로 다른 기업 위험 관리와는 별개인 고유하고 생소한 이질적 위협으로 여겨져 왔습니다. 이는 바뀌어야 합니다. 

사이버 위험은 비즈니스 위험입니다. 사이버 위험은 모든 회사의 위험 관리 프레임워크에 통합되고 금융 및 운영 위험 모델링에 사용되는 것과 동일한 방법론으로 관리되어야 합니다. CFO 및 COO가 밤에 숙면을 취할 수 있다면 CISO나 CSO도 그럴 수 있어야 합니다.

여러 면에서 사이버 보안은 기술 문제가 아니라 조직의 문제입니다. 보안 프로세스는 직원을 온보딩하거나 뛰어난 고객 경험을 설계하는 것만큼 기업에 필수적인 프로세스가 되어야 합니다. 다른 모든 필수 비즈니스 기능과 동일한 선상에서 고려되고 그에 합당한 자금 및 인력이 배정되어야 합니다. 

또한 보안은 대응적인 성향을 줄이고 사전 예방적으로 수행되어야 합니다. 제품이 출시되기 전에 영업 담당자를 미리 채용하듯이 대형 사고가 발생하기 전에 사이버 보안 팀에 자금을 지원하고 적절한 프로세스를 갖춰야 합니다.

조직이 계속해서 심각한 침해를 견뎌야 하는 것은 기정사실입니다. 여기에서 더 중요한 것은 이를 예방하기 위해 적절한 조치를 취했는지와 얼마나 효과적으로 대응하는지입니다. 

2. 집중의 순서는 인력, 프로세스, 기술

다음으로, CISO는 리소스를 어디에 집중하고 있는지 다시 검토할 필요가 있습니다. 예산은 명확하게 정의된 일련의 우선순위에 따라야 하며, 대부분의 경우 기술이 최우선이 되어서는 안 됩니다. 최우선 순위는 인력입니다. 즉, 직원들에게 올바른 보안 위생을 교육하고, 팀을 교육하고 새로운 기술을 습득시키고, 보안 문화를 강화하는 데 투자해야 합니다.

그다음 지출 우선순위는 내부 프로세스가 되어야 합니다. 랜섬웨어 공격이 발생하면 취할 조치를 얼마나 철저하게 연습했는가를 예로 들 수 있습니다. 내부와 외부 커뮤니케이션, 운영 연속성 계획, 공격자와 접촉 방법(또는 여부)에 대한 계획은 위기 상황이 닥치기 전에 모두 빈틈없이 수립되어 있어야 합니다.

셋째, CISO는 인력 및 프로세스와 관련된 가장 시급한 문제가 해결된 후에야 위협을 줄이고 관리하는 데 도움이 되는 기술에 투자해야 합니다. 

3. 채찍보다는 당근

스탠퍼드 대학 연구진의 최근 연구 조사에 따르면 데이터 침해 10건 중 거의 9건이 사람의 실수로 발생한다고 합니다. 기업이 보안 인식 교육에 매년 10억 달러 이상을 지출하고 있지만, 이러한 결과는 변하지 않을 것으로 보입니다. 기업은 우수한 보안 관행을 보상할 수 있는 새로운 방법을 찾아야 합니다.

예를 들어 직원의 보안 실수를 공개적으로 문책하는 것은 경계를 강화하는 데 도움이 되지 않습니다. 오히려 직원들이 겁을 먹고 침묵하거나 말을 꺼리게 할 가능성이 더 높습니다. 또는 스스로 문제를 해결하려다가 상황을 더 악화시킬 수도 있습니다. 규제가 심한 산업의 경우 이는 제재로 이어질 수 있습니다.

대신, 조직은 보안에 개방적인 문화를 조성하여 직원들이 질문하고 경고 신호를 보내도록 유도해야 합니다. 일부 기업은 시뮬레이션된 피싱 공격을 수행하고 이를 성공적으로 식별한 직원에게 보상으로 기프트카드 및 기타 특전을 제공합니다. 필수 보안 교육을 통과한 직원들에게 시상하는 기업도 있습니다. 어떤 형태이든 긍정적인 인정은 올바른 방향으로 한걸음 내디딘 것입니다.

4. 보안 도구의 사용 편의성 개선

기업이 보안 기술에 지출하는 수십억 달러 중 상당 부분이 전혀 사용되지 않는 도구에 투자되고 있습니다. 이러한 도구는 사용 방법을 이해하는 전문가가 필요한 복잡한 도구인 경우가 많으며 이러한 전문가는 그 수가 부족합니다. Information Systems Security Association(ISSA)과 산업 분석 기관인 Enterprise Strategy Group(ESG)에 따르면 보안 인력 부족이 곧 해소되지는 않을 것으로 보이므로 보안 기술은 더욱더 쉽게 사용할 수 있어야 합니다.

도구가 간단하면 CISO가 필수 보안 기능을 처리할 인력을 더 많이 채용할 수 있을 뿐만 아니라 각기 다른 배경과 기술 전문성을 갖춘 더 다양한 사람들로 범위를 넓힐 수 있습니다. 또한 엔지니어는 이해하기 쉬운 대시보드를 제공하는 데 더 많은 시간을 할애하여 고위 경영진과 비기술 인력이 현재 위험 상태를 이해할 수 있도록 해야 합니다.

Elastic에서 무료 개방형 기술 스택을 제공하는 이유 중 하나가 활발한 기여자 커뮤니티를 장려하고 활성화하기 위해서입니다. Elastic은 제품을 더 많은 개발자에게 개방하면 제품이 더 안전해진다고 믿습니다.

엔터프라이즈 보안이 전문가 팀에서 처리하는 고립된 기능으로 남아서는 안 됩니다. 보안은 모든 사람의 책임이 되어야 합니다. 이를 통해 기업은 단순히 위기에 대응하는 것을 넘어 새로운 패러다임으로 나아가 사이버 보안을 다른 위험과 마찬가지로 효율적으로 관리할 수 있습니다.

Nate Fick은 Elastic의 보안 책임자입니다.