대부분의 조직에서 사이버 보안은 비즈니스 성장을 이끄는 요소나 수익 창출 수단이 아니라, 단순한 비용 부문으로 여겨져 왔다. 경영진은 사이버 보안을 마케팅이나 제품 개발처럼 수익을 창출하는 핵심 활동이 아닌, 예산을 빼앗는 ‘필요악’으로 인식한다. 그러나 실제로 보안 예산은 전체 비용의 극히 일부에 불과하다.
이 같은 인식은 시간이 갈수록 더 뚜렷해지고 있다. CISO가 이사회나 CEO에게 직접 보고할 기회를 얻고 있음에도 상황은 크게 달라지지 않았다. 포네몬인스티튜트(Ponemon Institute)와 오픈 텍스트에서 진행한 연구에 따르면, 보안 리더들은 “IT 보안 프로그램의 비즈니스 가치를 입증할 수 있는 지표를 활용하는 것”을 최우선 과제로 꼽는다.
하지만 전문가들에 따르면, 특히 기술 출신의 CISO를 비롯한 많은 보안 책임자에게 비즈니스 리더가 이해할 수 있는 언어와 기준으로 ‘올바른 지표’를 만들어내는 일은 여전히 쉽지 않은 과제다.
기업 리스크 관리 기능을 구축하라
25년 경력의 보안 전문가이자 CISO 리더십 관련 저서를 여러 권 집필한 마이클 S. 오버랜더는 “기업 내에 적절한 ERM(Enterprise Risk Management, 기업 리스크 관리) 기능이 없는 조직에서 IT 부문에 보고하는 보안 책임자는 보안의 가치를 입증하기가 특히 어렵다”라고 말했다. 그의 저서는 이사회와 최고경영진과 협력해 ERM 체계 내에서 사이버 보안 지표를 수립하고 추적한 실제 경험을 바탕으로 하고 있다.
오버랜더는 “내가 근무했던 여러 회사에서 직접 ERM 기능을 만드는 일을 도왔다”라며 “이를 위해 비즈니스 리더들과 협력해 사이버 위험을 비즈니스 우선순위와 일치시키는 작업을 진행했다”라고 설명했다. 그는 “다른 경우에는 리스크 레지스터를 문서로 관리하고, 이를 정기적인 이사회 보고에서 제시한다. 관리 중인 리스크의 지표와 아직 의사결정이 이뤄지지 않은 리스크를 함께 보여준다”라고 덧붙였다.
그는 “견고한 ERM 프로그램을 기반으로 하고, 지표를 비즈니스 우선순위에 맞춰 정렬하면 보안 기능의 가치를 증명할 수 있다”라고 강조했다. 이어 “비즈니스 관점에서 유용한 지표로는 성숙도, 컴플라이언스, 리스크, 예산, 비즈니스 가치 흐름, 섹데브옵스(SecDevOps, ‘쉬프트 레프트’ 접근) 도입 현황 등이 있다”라고 설명했다.
그렇다면 사이버 보안 전문가는 비즈니스에 무엇이 중요한지를 어떻게 파악할 수 있을까? 그는 “자신의 익숙한 영역을 벗어나야 한다”라며 “각 부서를 직접 방문해 비즈니스의 우선순위를 이해하고, 그 지식을 상위 조직으로 연결해 최종적으로 이사회가 이해할 수 있는 수준으로 발전시켜야 한다”라고 말했다.
보안을 ‘비즈니스 기능’으로 인식하라
오버랜더는 “보안이 잘못된 조직 구조에 배치된 것이 문제”라고 지적했다. 그는 “CISO가 CIO, CTO, 혹은 최고디지털책임자(CDO)에게 보고하는 구조가 흔한데, 보안은 본질적으로 기술 문제가 아니다. 기술이 차지하는 비중은 많아야 10~20% 수준이고, 나머지는 사람, 프로세스, 그리고 비즈니스의 문제다. 그래서 CISO가 조직 문화를 바꾸는 데는 수년이 걸린다”라고 말했다.
이 같은 문제는 보안 지표에서도 그대로 드러난다. 미국 기업이사협회(NACD) 선임 사이버 리스크 자문위원 크리스 헤트너는 “대부분의 사이버 보안 지표가 기술 통계나 공포·불확실성·의심(FUD)에 지나치게 의존해, 비즈니스 리더를 혼란스럽게 하고 보안의 가치를 제대로 증명하지 못한다”라고 지적했다. NACD는 2만 4천여 명의 이사회 구성원을 회원으로 둔 단체다.
헤트너는 “이사회는 이미 피로 상태다. 이사들은 자본이 효율적으로 배분되고 있는지 점점 더 의문을 제기하고 있다. 하지만 CISO는 여전히 지나치게 기술적인 지표들을 제시하고, 이사회는 그것을 이해하지 못한다”라고 말했다. 이어 “감사위원회, 이사회, 최고경영진 모두 오랜 기간 보안 책임자와 협업해 왔지만, 여전히 보안 예산이 어디에 쓰이는지, 또 그 투자가 어떻게 비즈니스 리스크와 운영 리스크를 줄이는지 명확히 보지 못하고 있다”라고 설명했다.
그는 금융처럼 규제가 엄격하고 위험 회피 성향이 강한 산업을 제외하면 대부분의 조직이 ERM 기능을 제대로 갖추지 못했다고 지적했다. 헤트너는 “ERM은 CISO가 보안 지표를 비즈니스·운영·재무·규제 요건에 맞게 정렬하고, 이를 이사회와 연계할 수 있게 하는 핵심 통로”라고 정의했다. 이러한 기능이 없다면 CISO는 ‘섬’처럼 고립돼, 비즈니스 리더가 이해할 수 있는 지표를 제시하기 어려워진다는 것이다. 그는 이를 해결하기 위한 출발점으로, COSO ERM 프레임워크와 사이버 보안 프레임워크를 연계하는 방식을 제안했다.
헤트너는 “이사회는 금리 변동, 관세, 주가 변동성, 공급망 문제, 수익성, 인수합병 등 복잡한 사안을 다룬다”라며 “그런데 CISO가 마이터(MITRE) ATT&CK 프레임워크, 패치 통계, NIST 성숙도 모델 같은 자료를 들고 회의실에 들어오면, 이는 이사회가 익숙하게 검토하는 유형의 지표와 전혀 맞지 않는다”라고 지적했다.
그는 CSO와의 인터뷰에서 NACD 연례 서밋 직후 수백 명의 이사회 구성원과 대화를 나눴다고 밝히며, “이사회는 산업군에 영향을 미치는 주요 위협에 대한 간결한 보고서를 원한다”라고 말했다. 헤트너는 “이사회와 CEO에게 벤치마킹 데이터를 제시할 때, 업계 전반에 걸친 위협이 기업의 운영, 가동 시간, 재무에 어떤 영향을 미치는지, 그리고 이를 예방하기 위한 비용은 얼마인지 보여준다”라고 설명했다.
그는 “이사회는 동종 업계와의 벤치마킹을 좋아한다. 이미 보상, 경쟁력, 공시 등에서도 벤치마킹 데이터를 기반으로 의사결정을 내린다”라며 “그렇다면 사이버 보안에서도 이를 활용하지 않을 이유가 없지 않겠는가”라고 덧붙였다.
리스크 허용 범위에 맞춰 지표를 비교하라
컨설팅 기업 레드포인트사이버시큐리티서비스(Redpoint Cybersecurity Services)의 운영 및 사이버 전략 부사장 닉 놀런은 운영 부문 출신으로, 이사회가 점점 더 리스크 태세에 깊이 관여하고 있다고 본다. 그는 이를 비즈니스 수준에서의 사이버 보안 성숙도가 높아지고 있다는 긍정적인 신호로 평가한다.
놀런은 “이제 경영진은 단순히 ‘우리가 안전한가?’라고 묻지 않는다”라며 “사이버 보안 부문이 어떤 지표를 사용해 리스크를 측정하고 수치화하는지, 그리고 그 리스크에 대해 어떤 방식으로 예산을 쓰고 있는지를 묻는다”라고 말했다.
그는 “이제는 ‘우리의 잠재적 재정 손실은 얼마인가’라고 말할 수 있다”라며 “즉, 이사회가 관심 없는 기술 지표나 CVE(공통 취약점 노출 목록) 대신, 금전적 손실이라는 현실적인 단위로 대화할 수 있게 된 것”이라고 설명했다. “이사회가 관심 있는 것은 기술 점수가 아니라 기업의 손익 구조다”라고 설명했다.
또한 놀런과 그의 팀은 자체 데이터 기반 모델을 활용해 사이버 보안 프로그램과 관련된 비용 및 재정적 노출을 계산했다. 평가를 마친 후에는 비즈니스에 가장 심각한 영향을 미치는 핵심 취약점을 찾아내고, 내부 및 외부 데이터 115개 항목을 기반으로 리스크를 계산한다.
그는 “경영진은 다중인증(MFA) 같은 보안 통제나 우리가 사용하는 수십 개의 기술적 제어 항목에는 관심이 없다”라며 “그들이 원하는 것은 핵심 비즈니스 시스템을 보호함으로써 회사의 재무 안정성을 높이는 것”이라고 말했다.
놀런은 “리스크의 단순 나열 대신, 통제를 강화하기 전후의 리스크 곡선을 시각적으로 보여줄 수 있다”라며 “한 사례에서는 6개월 만에 전체 사이버 손실 노출이 40% 감소했고, CEO가 ‘우리가 위험을 절반 가까이 줄였다고?’라고 놀라워했다. 그것이 바로 강력한 지표다”라고 설명했다.
그는 비즈니스, 리스크, 잠재 손실 간의 정확한 계산을 통해 핵심 비즈니스 리스크의 재정적 가치를 명확히 보여준다. 예를 들어, 한 조직이 5,000만 달러(약 732억 원)의 리스크를 지고 있고, 사이버 보험이 그중 2,500만 달러(약 366억 원)만 보장한다면, 남은 리스크는 기업이 감수해야 할 몫이다. 그렇다면 그 조직의 리스크 허용 범위는 어디까지인가?
놀런은 “고객이 보험으로 보장되지 않는 2천5백만 달러의 리스크를 1,000만 달러(약 146억 원) 수준으로 줄이길 원한다면, 그 리스크를 낮추기 위한 조치의 비용을 산출해야 한다”라며 “또 다른 경우에는 위험 감소율에 따른 투자수익률(ROI)을 계산해, 어떤 프로그램이 더 높은 효율을 내는지 판단할 수 있다”라고 말했다. “예를 들어, 어떤 프로그램은 ROI가 120%지만 다른 프로그램은 800%라면, 당연히 후자가 우선순위로 올라간다.”
놀런은 “이제 시장이 공포에 기반한 반응적 보안 전략에서 벗어나고 있다”라며 “CISO들이 CEO와 CFO가 이해하지 못하는 기술 용어로 이야기하던 시대는 끝났다. 이제 경영진과 이사회는 확률, 영향도, 손실 범위 같은 익숙한 지표를 통해 비즈니스 리스크와 잠재적 노출을 명확히 이해하고, 비즈니스 인텔리전스를 활용해 가치를 창출하고자 한다”라고 말했다.
핵심 지표를 선택하는 방법
CISO들이 자신들의 보안 프로그램 가치를 입증하려는 요구가 커지면서, 아이덴티티 관리 기업 옥타(Okta)는 CISO 포럼 회원들과 함께 관련 보고서를 제작했다. 이 보고서는 비즈니스 지표를 활용해 사이버 보안 프로그램의 ROI를 입증하기 위한 실무 가이드로, 주요 CISO들이 제시한 실질적인 조언을 담고 있다.
보고서에는 핵심 지표와 KPI를 어떻게 선택할 것인지뿐 아니라, 이해관계자와의 관계를 강화하는 법, 청중에 맞게 메시지를 조정하는 법, 그리고 설득력 있는 스토리텔링을 통해 보안 가치를 전달하는 방법 등이 구체적으로 제시돼 있다.
옥타 미주 지역 CSO 매트 임믈러는 “이사회가 궁금해하는 것은 결국 ‘언제쯤이면 투자를 멈추고도 안전하다고 확신할 수 있는가’라는 질문”이라며 “그 답은 어쩌면 ‘그런 시점은 오지 않는다’일 수도 있다”라고 말했다. 그는 “하지만 CISO는 이것이 경영진에게 실질적인 고민거리라는 사실을 이해해야 한다”라며 “이 때문에 우리는 이번 보고서를 발간했다. 이사회나 예산 책임자에게 프로그램의 가치를 입증할 수 있는 보안 지표가 어떤 것인지 수치화해 설명하는 일이 그만큼 어렵기 때문”이라고 설명했다.
dl-ciokorea@foundryco.com
Read More from This Article: CISO, ‘사이버 보안의 비즈니스 가치’를 증명해야 한다···핵심은 올바른 지표
Source: News