같은 1위에 오른 위협이 ‘환경/기후 변화 위험’과 ‘공급망 위험’인 것을 보면, 설문에 응답한 1,325명의 CEO가 기업 경영의 현실에서 ‘사이버 보안 위험’을 매우 중시한다는 점을 알 수 있다. 이후에도 ‘사이버 보안 위험’은 상위권을 차지해 왔다.
기업 성장에 대한 위협의 변화
경영진의 이러한 인식에 가장 큰 영향을 미친 건 아무래도 코로나19가 세계적으로 유행하기 시작한 2020년부터 급격히 증가한 랜섬웨어의 영향이 컸을 것으로 보인다. 다른 악성코드 공격과 달리 랜섬웨어는 제조업과 서비스업, 온라인과 오프라인을 가리지 않고 사업 자체를 중단시킴으로써 기업 경영에 지대한 영향을 미쳤다. 2021년 5월, 미국 남부에서 동부로 석유제품을 나르는 미국 송유관업체 콜로니얼 파이프라인이 랜섬웨어의 공격을 받아 운영이 중단되고, 대도시 주유소 앞에 늘어선 긴 차량 행렬이 전 세계에 중계되고, 바이든 대통령이 직접 나섬으로써 랜섬웨어 위험은 세계적인 뉴스가 되었다
2000년대 중반부터 보안을 ‘사업이 가능하게 하는 요소’(Security as a Business enabler)로 부르기도 했다. 제대로 보안을 갖추지 않으면, 사업 자체를 시작하기 어렵다는 의미로 읽힌다. 보안을 사업과 연계(Business alignment)하라고 하지만, 보안에 대한 이해가 ‘기밀성, 무결성, 가용성’ 보호 등 기술적 관점을 많이 벗어나지 못하던 시기에 보안을 사업과 구체적으로 연결하여 인식한 것으로 볼 수 있다.
사업을 시작하는 것이 간단한 일은 아니지만, ‘청운의 꿈’을 품고 시작했다고 하더라도 그것을 제 궤도에 올리고 유지, 발전시키는 일은 더더욱 어렵다. (필자가 일한 서너 번의 벤처/스타트업 근무 경험에서 우러나온 생각이다.) (작은) 회사가 망할 수 있는 여러 가지 위험이 있는데, ‘보안’만 강조하기도 어렵다. 문제는, 랜섬웨어가 등장한 이후로는 그 ‘여러 가지 위험’에 보안 위험이 중요한 위치를 차지하게 됐다는 점이다. ‘사업 지속성’ 요인 중에서 보안이 차지하는 비중이 상당히 커졌다는 말이다.
보안 사고로 사업을 종료한 경우는 드물긴 하지만 전혀 없는 것은 아니다. 2021년 2월, 120년이나 된 미국의 세인트마가렛헬스병원(SMH)은 2023년 6월에 문을 닫았다. 랜섬웨어 공격으로 지급 업무 처리가 중단된 데다 코로나 대유행 시기의 환자 수 감소 등으로 병원을 계속할 수가 없어서다. 사업이 잘되어서 보안 사고를 견딜 만한 ‘맷집’이 있으면, 일시적인 어려움으로 지나갈 수 있지만, 다른 어려움과 결합하면 ‘재앙’이 될 수도 있다는 것을 보여줬다. 지난 20년 동안 사이버 공격으로 24개의 조직이 문을 닫았다는 분석도 있다.
국내 랜섬웨어 피해 신고 건수(2018~2024)
과학기술정보통신부
우리나라에서도 랜섬웨어로 상당한 피해가 발생해 왔고, 해킹으로 대규모 개인정보가 유출되어 상당한 영향을 받은 기업이 다른 기업에 매각된 사례도 있다. 2014년 카드 3사의 개인정보 유출 사건이나 2012년부터 올해까지 발생한 통신 3사의 개인정보 유출 사건 역시 해당 기업 경영에 상당한 영향을 미쳤다. CISO의 역할 역시 이러한 환경에 적절하게 대응할 수 있도록 재정립되어야 하지 않을까 한다.
딜로이트컨설팅의 보고서 “The new CISO: Leading the strategic security organization”(2016)에서는 CISO의 역할을 전략가, 조언자, 보호자, 기술자로 분류하고, 현재는 주로 보호자(41%), 기술자(33%) 역할을 하지만, 향후에는 전략가(32%), 조언자(35%)로 역할을 바꿔 나가야 한다고 제안한다. 9년 전 자료이고, 최근에는 정보보호 거버넌스에 대한 CISO의 역할이 좀더 강조되긴 하지만, 여전히 의미 있는 주장으로 생각된다.
CISO의 네 가지 역할
Deloitte Review
특히, 보고서에서는 전략가 역할을 사업과 사이버 위험 전략의 연계, 혁신, 보안 위험 관리를 위한 투자로 설명하는데, CISO가 보안 위험을 책임지는 기업의 비즈니스 리더로서 중요하게 수행해야 할 업무가 아닐 수 없다. 하지만, CISO가 전략가, 조언자의 역할에 주력하기 위해서는 최고경영진이 CISO의 역할을 그렇게 인정해 주는 면과 함께 기술적, 실무적 역할을 수행할 수 있는 보안 실무조직이 있어야 한다. CISO의 직급과 역량, 권한이 따라줘야 함은 물론이다.
이러한 역할 분류는 개인정보보호책임자(CPO)의 역할에도 적용될 수 있다. CPO의 역할 역시 전략가 및 조언자와 보호자, 컴플라이언스 담당자(기술자)로 분류할 수 있다. 현재 주로 보호자와 컴플라이언스 담당자의 역할을 한다면, 앞으로는 전략가와 조언자의 역할로 바꿔 나가는 것이 바람직해 보인다. CPO에게도 역할 수행에 필요한 직급과 권한, 조직이 보장되고, CPO 또한 적절한 역량을 갖춰야 한다.
하지만, 직급과 역할, 조직 체계, 업무 범위 및 권한 등을 포함하여 CISO와 CPO가 제대로 일할 수 있도록 하는 정보보안 거버넌스 또는 개인정보보호 거버넌스, 그 안에서 전략가와 조언자의 역할을 하는 환경은 CISO와 CPO 개인의 노력만으로 쉽게 수립되지 않는다. 법적·제도적 변화도 필요하지만, 이를 기업에서 실효성 있게 적용하는 것이 무엇보다 중요하다. CISO와 CPO의 중·단기적인 노력과 함께 업계·정부·협회·학계 등 관련 주체가 현업의 구체적인 상황을 이해하고 앞으로 몇 년 동안 이를 구현하기 위해 지속적인 노력을 기울여야 가능하지 싶다.
[email protected]
Read More from This Article: 강은성의 보안 아키텍트 | 사업 지속성과 보안의 역할
Source: News