“단순 숫자 아닌 리스크 신호”···이사회 눈높이에 맞는 보안 지표는 무엇인가

보안 조직은 숫자의 세계에서 일한다. 대시보드에는 차단된 공격 건수, 피싱 클릭 수, 발견된 취약점, 적용된 패치, 분류된 경고, 종결된 사고 건수가 표시된다. 지난 10년간 사이버 보안 업계는 활동을 점점 더 정밀하게 측정하는 데 능숙해졌다.

그러나 전문가들은 이런 측정치가 과연 이사회가 리스크를 관리하는 데 실질적인 도움을 주는지는 여전히 일관되지 않다고 지적한다. 이사와 최고경영진에게 보안 지표 보고의 목적은 노력의 양을 나열하는 데 있지 않다. 조직이 얼마나 노출돼 있는지, 위험이 어떤 방향으로 움직이고 있는지, 사고 발생 시 어떤 결과가 초래되는지를 이해하는 데 있다.

의사결정자는 리스크가 증가하는지 감소하는지, 통제가 효과적으로 작동하는지, 예방이 실패했을 때 조직이 피해를 제한할 수 있는지를 알고 싶어 한다. 지표는 이런 질문을 명확히 해줄 때 의미를 갖는다.

사이버 보안 기업이 코어라이트(Corelight)의 전략담당가 리처드 베이트리치는 CSO와의 인터뷰에서 “시간은 누구나 이해할 수 있는 보편적인 지표”라며 “문제를 얼마나 빨리 탐지하고, 얼마나 빨리 차단하는지가 핵심이다. 침입 후 체류 시간과 대응 시간, 이것이 전부”라고 말했다.

베이트리치는 모든 침입을 막을 수는 없지만, 침입을 얼마나 신속히 인지하고 차단하는지는 측정할 수 있다고 설명했다. 이런 지표는 기술적 배경이 없는 사람에게도 직접적인 영향을 전달할 수 있다. 탐지와 차단 속도는 회피된 비즈니스 손실을 보여주는 대리 지표로 작동한다.

재무적 노출 vs. 운영 가시성

보안 컨설팅 기업 파이시스 인터내셔널(Pisces International)의 CTO 마이크 해밀턴은 이사회 차원의 보안 보고를 철저히 수탁 책임의 관점에서 해석한다. 해밀턴은 지표가 의미를 가지는 경우는 재무적 결과와 직접적으로 연결될 때뿐이라고 본다.

해밀턴은 CSO와의 인터뷰에서 “이사회가 관심을 두는 것은 결국 돈”이라며 “복잡한 해외 해커의 버퍼 오버플로 같은 기술적 위협에는 큰 관심이 없다. 재무적 영향이 핵심”이라고 말했다.

이어 “CISO는 평균 탐지 시간이나 평균 대응 시간 같은 지표에 관심을 가질 수 있다. 그러나 이사회는 기업 가치를 보호하는 역할을 맡고 있다”며 “탐지 속도, 취약점 관리, 피싱 대응 역량이 중요한 이유는 재무 손실과 규제 리스크, 운영 중단을 줄이기 때문”이라고 설명했다. 해밀턴은 “이사회가 진짜로 알고 싶어 하는 것은 사업에 영향을 주는 부정적 결과의 발생 가능성을 어떻게 낮추고 있는지”라고 밝혔다.

반면 리처드 베이트리치는 일정 기간 동안 발생한 침입 건수처럼 운영 기반의 다양한 지표도 이사회가 충분히 이해할 수 있다고 주장한다. 다만 그 수치가 실제 결과와 함께 제시돼야 의미가 생긴다고 강조했다. 베이트리치는 “실제 데이터 유출로 이어진 침해였는지, 아니면 피해 없이 끝난 무단 접근이었는지가 중요하다”고 말했다.

또한 “이사회가 설명을 이해하지 못한다고 느낀 적은 없다”며 “다만 배경 설명 없이 기술 용어로만 이야기하면 도움이 되지 않는다”고 덧붙였다.

숫자 세기의 유혹

지표가 지나치게 기술적이지 않고 비즈니스 영향과도 연결돼 있더라도 또 다른 문제가 발생한다. 무엇을 측정하느냐에 따라 정작 중요한 사안이 가려질 수 있다는 점이다.

전직 CISO이자 현재 EPSD 고문으로 활동 중인 웬디 네이더는 측정을 곧 이해로 동일시하는 데 경계해야 한다고 지적했다. 네이더는 CSO와의 인터뷰에서 “이사회에 보고할 때는 수치로 셀 수 없더라도 반드시 공유해야 할 사안이 있다”고 말했다.

사고 사례, 큰 사고로 이어질 뻔한 근접 사례, 보안 프로그램 운영에 대한 전제를 바꾸는 사건 등이 대표적이다. 네이더는 “보안 프로그램을 관리하는 방식에 대한 가정을 바꾸는 요소라면, 수치화할 수 없더라도 이사회에 보고해야 한다”고 설명했다.

정기적인 지표는 예측 가능한 흐름을 만들어낸다. 그러나 이런 예측 가능성이 오히려 이사회에 잘못된 안도감을 줄 수 있다. 네이더는 “지표는 매우 매력적”이라며 “정기적으로 집계할 수 있는 항목에 집중하게 만든다”고 말했다. 그 결과 구조적 리스크나 새롭게 드러나는 취약점이 가려질 수 있다고 경고했다.

지표는 조직 전반의 행동에도 영향을 미친다. 피싱 대응 프로그램의 경우 네이더는 실수를 처벌하기보다 신고를 장려하는 지표를 선호한다. 네이더는 “신고를 유도하고, 신고한 직원을 긍정적으로 평가해야 한다”고 밝혔다. 결국 이사회가 무엇을 측정하느냐에 따라 조직의 행동 방식이 달라진다는 설명이다.

비즈니스 자문 기업 뉴포트(Newport)의 파트너 조지 찬테스는 보안 프로그램의 효과를 입증하는 데 과도한 시간이 투입되는 현실을 지적했다. 찬테스는 CSO와의 인터뷰에서 “여러 이사회와 기업을 만나보면 실제로 리스크를 줄이는 일보다 스스로를 증명하는 데 더 많은 시간을 쓰는 경우가 적지 않다”고 말했다.

이런 현상은 규제가 강한 환경에서 특히 두드러진다. 보증과 감사 대응 업무에 자원이 집중되면서, 그 자원이 본래 리스크 감소에 투입되지 못하는 경우가 많다. 규제 당국의 지적은 우선순위도 바꿔놓는다. 찬테스는 “기존에 우선순위 20위였던 항목도 규제 기관이 문제 삼으면 곧바로 1순위가 된다”고 설명했다.

찬테스는 이사회가 이런 선택과 집중의 변화를 명확히 인지해야 한다고 강조했다. 성숙한 보안 프로그램이라면 입증을 위한 부담을 가능한 한 줄이고, 문서 작성이 아니라 실제 리스크 감소에 역량을 집중해야 한다는 것이다.

AI가 이사회 차원의 사이버 지표를 재점검

AI 도입이 사이버 보안 운영 전반을 재편하고 있지만, 아직 이사회 차원의 별도 보안 지표 체계가 새롭게 정립된 것은 아니다. 대신 인공지능은 보안 활동을 이사회가 활용할 수 있는 리스크 신호로 전환하는 기존 방식의 취약점을 드러내고 있다.

전문가들은 이사회가 아직 인공지능 전용 대시보드를 요구하고 있지는 않다고 말한다. 다만 인공지능이 조직의 노출 범위를 확대하는지, 기존 통제를 약화하는지, 사고 발생 시 피해를 제한하는 역량을 바꾸고 있는지에 대해서는 점점 더 질문하고 있다.

코어라이트(Corelight)의 리처드 베이트리치는 “아직 결과 기반 지표는 없는 것 같다”고 밝혔다. 베이트리치는 조직이 인공지능 리스크를 측정하기에 앞서 기본적인 거버넌스 신호부터 확보해야 한다고 설명했다. 어디에서 인공지능이 사용되고 있는지, 얼마나 광범위하게 배치됐는지, 공격 표면을 넓히고 있는지 아니면 운영 부담을 줄이고 있는지 등을 먼저 파악해야 한다는 것이다.

이 같은 가시성 격차는 이미 많은 보안 책임자에게 우려 요소로 떠오르고 있다. EPSD의 웬디 네이더는 “CISO들과 대화해 보면, 기업 내부에서 어떤 인공지능이 사용되고 있는지 항상 파악할 수 없다는 점을 가장 크게 걱정한다”고 전했다. 이런 인식이 부족하면 이사회는 활동 지표만 보고받은 채, 정작 조직이 새롭게 도입한 리스크를 제대로 이해하지 못하는 상황에 놓일 수 있다.

코어라이트의 CISO 버나드 브랜틀리는 인공지능이 새로운 측정 체계를 요구한다기보다 기존 지표에 대한 더 엄격한 관리가 필요하다고 봤다. 브랜틀리는 CSO와의 인터뷰에서 “기존 표준 지표와 다를 필요는 없다”고 말했다. 실제로 인공지능은 초기 침투, 내부 확산, 데이터 유출과 같은 익숙한 보안 과제를 규모와 속도 측면에서 증폭시키는 역할을 한다는 설명이다.

이 같은 증폭 효과는 이사회에 전달돼야 할 신호의 성격을 바꾼다. 인공지능 활용이 확대되면 보호 범위가 넓어지고, 그만큼 팀과 통제가 부담을 떠안을 수 있다. 동시에 인공지능 기반 자동화는 대응 시간을 단축할 수 있다. 브랜틀리는 “해당 영역에 에이전트를 도입한 결과 평균 복구 시간(MTTR)을 60% 줄일 수 있었다”고 설명했다. 이사회가 주목해야 할 거버넌스 신호는 인공지능의 존재 자체가 아니라, 그것이 리스크 집중도와 대응 역량, 자원 배분에 어떤 변화를 가져오는지라는 점이다.

뉴포트(Newport)의 조지 찬테스는 인공지능 감독을 측정의 문제가 아니라 집행의 문제로 해석했다. 찬테스는 “이사회는 인공지능의 적절한 사용과 부적절한 사용이 있다는 점을 이해해야 한다”고 말했다. 그러나 가시성만으로는 충분하지 않다고 지적했다. 찬테스는 “조직 자산 내 어디에 인공지능 에이전트가 존재하는지조차 파악하기 어렵다”며 “잘못된 인공지능 사용에 대해 제재할 수 없다면, 해당 정책은 실질적인 효력을 갖기 어렵다”고 밝혔다.
dl-ciokorea@foundryco.com