Skip to content
Tiatra, LLCTiatra, LLC
Tiatra, LLC
Information Technology Solutions for Washington, DC Government Agencies
  • Home
  • About Us
  • Services
    • IT Engineering and Support
    • Software Development
    • Information Assurance and Testing
    • Project and Program Management
  • Clients & Partners
  • Careers
  • News
  • Contact
 
  • Home
  • About Us
  • Services
    • IT Engineering and Support
    • Software Development
    • Information Assurance and Testing
    • Project and Program Management
  • Clients & Partners
  • Careers
  • News
  • Contact

사이버 위험 평가, 효과를 떨어뜨리는 7가지 치명적 실수

사이버 위험 평가는 보안 조직이 기업의 핵심 디지털 및 물리적 자산을 대상으로 잠재적인 위협과 취약점을 식별하고, 발생 가능성과 영향을 분석해 우선순위를 정하는 데 도움을 준다. 그러나 이러한 중요성에도 불구하고 많은 최고정보보호책임자(CISO)는 위험 평가의 목표를 충분히 달성하지 못하게 만드는 다양한 ‘함정(gotcha)’에 빠지곤 한다.

위험 평가는 모든 조직의 전반적인 사이버보안 전략에서 필수적인 요소가 돼야 한다. 이를 통해 보안 리더는 비즈니스 목표에 영향을 미치는 위험을 파악하고, 사이버 공격의 발생 가능성과 영향을 평가하며, 발견한 위험을 완화하기 위한 대응 방안을 마련할 수 있다.

위험 평가의 실효성을 높이기 위해 보안 리더가 반드시 피해야 할 대표적인 7가지 실수를 살펴본다.

1. 형식적인 위험 평가에 그치는 것

미국 노스캐롤라이나대학교의 사이버보안 연구원 시르센두 몬달(Shirsendu Mondal)은 사이버 위험 평가를 실제 비즈니스 영향과 위협 시나리오를 반영하는 의사결정 도구가 아니라, 미리 정해진 체크리스트나 통제 항목을 확인하는 절차로 여기는 것이 가장 큰 함정이라고 지적했다.

몬달은 “위험 평가가 단순히 체크리스트를 채우는 작업에 그치면 실제 환경에서 위험이 어떻게 나타나는지를 제대로 반영하지 못한다”라며 “위험 평가는 기업이 실제로 어디에 노출돼 있는지를 파악하고 의사결정을 지원하는 역할을 해야 한다”라고 설명했다.

또한 이러한 안일함을 피하려면 상황(Context) 중심의 접근 방식이 필요하다고 조언했다.

몬달은 “자산이 어디에 있는지, 누가 접근할 수 있는지, 어떤 데이터를 다루는지, 운영에 얼마나 중요한지, 장애가 발생하면 어떤 일이 벌어지는지를 살펴봐야 한다”라며 “위험은 기술적인 분석 결과뿐 아니라 반드시 비즈니스 영향과 연결해 평가해야 한다”라고 말했다.

아울러 위험은 기술만의 문제가 아니라며 IT와 운영 부서를 비롯한 내부 비즈니스 리더를 보안 조직의 위험 평가 과정에 참여시키는 것도 권고했다.

2. 결과를 좋게 포장하는 것

소프트웨어 개발 기업 베어스데브(BairesDev)의 최고정보보호책임자(CISO) 파블로 리볼디(Pablo Riboldi)는 어려운 시기일수록 이해관계자에게 현실을 있는 그대로 전달해야 한다고 말했다.

리볼디는 “평가 결과가 기대에 미치지 못했다면 위협 환경이 기존 평가 체계가 예상했던 것보다 훨씬 빠르게 변화했다는 사실을 인정해야 한다”라고 밝혔다.

또한 단순히 취약점 목록만 전달해서는 안 된다고 지적했다.

리볼디는 “실제 공격 시나리오를 함께 제시해야 한다”라며 “예를 들어 가장 중요한 비즈니스 자산 3개를 우선 선정해 심층 위험 평가를 수행하면 위험의 심각성과 함께 즉각적인 비즈니스 가치를 보여줄 수 있다”라고 설명했다.

3. 위험 평가 범위를 충분히 설정하지 않는 것

사이버보안 서비스 기업 수주 랩스(Suzu Labs)의 최고기술책임자(CTO) 데니스 칼데론(Denis Calderone)은 많은 CISO가 통제 항목을 문서화하고 규정 준수 여부를 확인한 뒤 모든 것이 문제없다는 내용의 위험 등록부(Risk Register)를 작성하는 데 그친다고 지적했다. 그러나 정작 해당 통제가 실제로 제대로 작동하는지 검증하거나, 위험 평가 범위가 정말 중요한 자산과 시스템을 포함하고 있는지 점검하는 경우는 드물다는 설명이다.

칼데론은 “이런 사례는 흔하게 볼 수 있다”라며 “예를 들어 운영 서버와 사내 네트워크는 평가 대상에 포함하면서도 한쪽에 방치된 오래된 개발 서버나 내부 담당자가 없는 외부 협력사 포털, 또는 2년 전 프로젝트를 위해 구축한 뒤 폐기하지 않은 API 엔드포인트는 제외하는 경우가 많다”라고 설명했다.

이어 “공격자는 조직이 설정한 평가 범위에는 관심이 없다”라며 “전체 환경을 살펴본 뒤 조직이 평가할 가치가 없다고 판단한 취약한 지점을 찾아 공격한다”라고 말했다.

AI 도입은 이런 문제를 더욱 악화시키고 있다고 칼데론은 지적했다.

그는 “많은 조직이 AI 도구를 내부 시스템과 연동하고 민감한 데이터 접근 권한까지 부여하고 있지만, 이러한 변화가 위험 평가에는 반영되지 않는 경우가 많다”라며 “AI 에이전트는 API를 호출하고 데이터베이스에 접근하며 각종 자격 증명을 활용해 작업하지만 이를 제대로 추적하는 조직은 거의 없다”라고 설명했다.

또한 “조직이 AI를 업무 프로세스에 도입하기 전에 작성한 위험 평가는 이미 현실을 반영하지 못하는 문서가 됐다고 봐야 한다”라고 경고했다.

4. 전제를 검증하지 않은 채 위험 등록부만 신뢰하는 것

전 세계에서 원유와 석유제품을 운송하는 해운 기업 인터내셔널 시웨이스(International Seaways)의 최고정보책임자(CIO) 겸 최고정보보호책임자(CISO) 아미트 바수(Amit Basu)는 실제 위험 노출을 이해하는 것이 아니라 위험 평가를 완료하는 것 자체가 목표가 되면, 감사에는 통과할지 몰라도 경영진을 잘못된 방향으로 이끄는 문서만 남게 된다고 지적했다.

바수는 이러한 접근이 잘못된 안전감을 심어줄 수 있다고 설명했다.

그는 “경영진과 이사회는 위험 등록부가 완성된 것을 보고 조직이 충분히 보호되고 있다고 생각한다”라며 “하지만 평가 체계에 맞지 않는 실제 위협은 그대로 방치된다”라고 말했다.

이어 “이런 함정은 스스로 모습을 드러내지 않는다”라며 “모든 것이 정상으로 표시된 녹색 대시보드 속에 숨어 있다”라고 비유했다.

바수는 위험 평가는 그 기반이 되는 전제만큼만 신뢰할 수 있다고 강조했다.

그는 “위험 평가에 적용한 전제를 명확하게 문서화하고, 비즈니스가 변화하거나 위협 환경이 달라질 때, 또는 보안 사고를 통해 새로운 취약점이 드러날 때마다 반드시 다시 검토해야 한다”라며 “위험 평가는 한 번 작성하고 끝나는 결과물이 아니라 보안 조직과 비즈니스 조직이 지속적으로 논의하기 위한 살아있는 자료”라고 설명했다.

5. 위험을 비즈니스 영향과 연결하지 않는 것

고객 ID 및 접근 관리(CIAM) 플랫폼 기업 퓨전오스(FusionAuth)의 전략 및 ID 표준 담당 수석 디렉터 댄 무어(Dan Moore)는 위험과 비즈니스 영향의 연관성을 무시하거나 축소하면 문제의 우선순위가 뒤로 밀리거나 아예 간과되기 쉽다고 지적했다.

무어는 “그 결과 보안 침해를 비롯한 각종 위험이 비즈니스에 미치는 실제 영향을 이해관계자에게 제대로 전달하기 어려워진다”라며 “더 심각한 문제는 보안팀이 ‘우리의 가치를 제대로 인정받지 못한다’거나 ‘우리의 말을 이해하지 못한다’고 불만을 제기하는 명분이 생기고, 이는 결국 조직의 업무 효율성을 떨어뜨린다는 점”이라고 설명했다.

무어는 위험을 설명할 때는 구체적이고 명확한 접근이 필요하다고 조언했다.

그는 “‘패치 적용률이 95%에 달한다’고 말하기보다 패치되지 않은 시스템이 비즈니스에 어떤 위험을 초래하는지를 설명해야 한다”라며 “인터넷이나 핵심 업무와 연결되지 않은 레거시 시스템은 동일한 패치 문제가 있더라도 다른 시스템보다 위험도가 낮을 수 있다. 이러한 차이를 인정하고 대응 우선순위를 결정해야 한다”라고 말했다.

6. 규정 준수를 실제 보안과 혼동하는 것

침투 테스트 및 보안 자문 기업 네트라가드(Netragard)의 최고경영자(CEO) 애드리얼 데소텔스(Adriel Desautels)는 규정 준수만으로는 효과적인 보안을 확보할 수 없으며, 최소한의 보호 수준조차 충족하지 못한다고 지적했다.

데소텔스는 많은 조직이 규정 준수에 초점을 맞추면서도 최고 수준의 서비스를 제공한다고 홍보하는 침투 테스트 업체를 선택하는 과정에서 이러한 함정에 빠진다고 설명했다.

그는 “실제로는 사람이 수행하는 침투 테스트인 것처럼 포장된 자동화 스캔만 제공하는 경우가 적지 않다”라고 말했다.

데소텔스는 그 결과 조직은 잘못된 안전감을 갖게 된다고 경고했다.

그는 “이는 종이로 만든 안전벨트를 착용한 것과 같다”라며 “보호받고 있다고 생각하지만 낮은 속도의 충돌에서도 부상을 입거나 더 심각한 결과를 맞을 수 있다”라고 설명했다.

이어 “지난 10년 동안 발생한 주요 보안 침해 사례를 보면, 사고 당시 해당 조직들은 모두 규정을 준수하고 있었다는 사실을 기억해야 한다”라고 덧붙였다.

7. 위험 자체를 제대로 이해하지 못하는 것

클라우드 기반 운영 복원력, 업무 연속성 및 리스크 관리 솔루션 기업 퓨전 리스크 매니지먼트(Fusion Risk Management)의 사이버보안 담당 수석 디렉터 사피 라자(Safi Raza)는 많은 조직이 위험 평가를 취약점을 찾아 등급을 매기고 감사를 통과하기 위한 절차 정도로만 인식한다고 지적했다. 그러나 감사 통과와 위험에 대한 올바른 이해는 전혀 다른 문제라는 설명이다.

라자는 CISO가 기술적인 위험 신호를 실제 운영 성과와 연결하는 데 집중해야 한다고 말했다.

그는 “어떤 서비스가 영향을 받는지, 장애가 어떻게 확산되는지, 그리고 이것이 매출과 고객, 규제 준수 의무에 어떤 의미를 갖는지까지 이해해야 한다”라고 설명했다.

또한 정적인 위험 평가에서 벗어나 지속적이고 상황(Context) 중심의 위험 가시성을 확보해야 한다고 조언했다.

라자는 “위험은 기술적인 측면뿐 아니라 비즈니스에 미치는 영향과 재무적 손실 가능성까지 함께 고려해 이해해야 한다”라고 말했다.
dl-ciokorea@foundryco.com


Read More from This Article: 사이버 위험 평가, 효과를 떨어뜨리는 7가지 치명적 실수
Source: News

Category: NewsJuly 8, 2026
Tags: art

Post navigation

NextNext post:エージェンティックAI——ビジネスで有望な11のユースケースを紹介

Related posts

エージェンティックAI——ビジネスで有望な11のユースケースを紹介
July 7, 2026
Introducing Nitro Automate: Intelligent document automation for enterprise AI workflows
July 7, 2026
5 ways an eSign API eliminates bottlenecks in your document workflows
July 7, 2026
Chinese AI models are attracting US companies with lower prices
July 7, 2026
The 2026 guide to eSignatures: Evaluating security, cost, and ROI
July 7, 2026
Tether believes intelligence should not be a service people rent
July 7, 2026
Recent Posts
  • 사이버 위험 평가, 효과를 떨어뜨리는 7가지 치명적 실수
  • エージェンティックAI——ビジネスで有望な11のユースケースを紹介
  • Introducing Nitro Automate: Intelligent document automation for enterprise AI workflows
  • 5 ways an eSign API eliminates bottlenecks in your document workflows
  • Chinese AI models are attracting US companies with lower prices
Recent Comments
    Archives
    • July 2026
    • June 2026
    • May 2026
    • April 2026
    • March 2026
    • February 2026
    • January 2026
    • December 2025
    • November 2025
    • October 2025
    • September 2025
    • August 2025
    • July 2025
    • June 2025
    • May 2025
    • April 2025
    • March 2025
    • February 2025
    • January 2025
    • December 2024
    • November 2024
    • October 2024
    • September 2024
    • August 2024
    • July 2024
    • June 2024
    • May 2024
    • April 2024
    • March 2024
    • February 2024
    • January 2024
    • December 2023
    • November 2023
    • October 2023
    • September 2023
    • August 2023
    • July 2023
    • June 2023
    • May 2023
    • April 2023
    • March 2023
    • February 2023
    • January 2023
    • December 2022
    • November 2022
    • October 2022
    • September 2022
    • August 2022
    • July 2022
    • June 2022
    • May 2022
    • April 2022
    • March 2022
    • February 2022
    • January 2022
    • December 2021
    • November 2021
    • October 2021
    • September 2021
    • August 2021
    • July 2021
    • June 2021
    • May 2021
    • April 2021
    • March 2021
    • February 2021
    • January 2021
    • December 2020
    • November 2020
    • October 2020
    • September 2020
    • August 2020
    • July 2020
    • June 2020
    • May 2020
    • April 2020
    • January 2020
    • December 2019
    • November 2019
    • October 2019
    • September 2019
    • August 2019
    • July 2019
    • June 2019
    • May 2019
    • April 2019
    • March 2019
    • February 2019
    • January 2019
    • December 2018
    • November 2018
    • October 2018
    • September 2018
    • August 2018
    • July 2018
    • June 2018
    • May 2018
    • April 2018
    • March 2018
    • February 2018
    • January 2018
    • December 2017
    • November 2017
    • October 2017
    • September 2017
    • August 2017
    • July 2017
    • June 2017
    • May 2017
    • April 2017
    • March 2017
    • February 2017
    • January 2017
    Categories
    • News
    Meta
    • Log in
    • Entries feed
    • Comments feed
    • WordPress.org
    Tiatra LLC.

    Tiatra, LLC, based in the Washington, DC metropolitan area, proudly serves federal government agencies, organizations that work with the government and other commercial businesses and organizations. Tiatra specializes in a broad range of information technology (IT) development and management services incorporating solid engineering, attention to client needs, and meeting or exceeding any security parameters required. Our small yet innovative company is structured with a full complement of the necessary technical experts, working with hands-on management, to provide a high level of service and competitive pricing for your systems and engineering requirements.

    Find us on:

    FacebookTwitterLinkedin

    Submitclear

    Tiatra, LLC
    Copyright 2016. All rights reserved.