연구에 따르면 응답자 4명 중 3명은 클라우드와 IoT를 향후 5년 내 가장 보안 위험이 높은 기술로 꼽았으며, 이에 따라 새로운 기술 도입에 대한 대비가 충분하지 않은 경우 사이버 공격에 따른 데이터 손실, 위반과 비즈니스 중단의 가능성이 있습니다. 이를 해결하기 위해서 선제 대응 기업은 클라우드 기술을 최적화, 자동화 도입을 통해 대응하고 있습니다.
특히 시스템 침입 사고의 62%(2021년 기준)가 공급망에서 발생하고 있어 공급망이 사이버 보안에서 중요한 부문이 되고 있습니다. 대부분의 사이버 리더는 공급망이 초래하는 위험을 과소평가하고 있으며, 선제 대응 기업일수록 잠재적인 공급망 위협을 인식하는 비율이 높았습니다.
새로운 기술 도입과 업무 환경 변화로 사이버 공격 범위가 넓어지는 문제를 해결하기 위해 기업은 자동화를 통해 잠재적인 사이버 공격 접점 전체를 관리해야 합니다. 실제로 보안 우수 기업 최고정보보안책임자(CISO)의 50%는 사이버 보안에 자동화와 클라우드 컴퓨팅 환경에서 IT 자원을 자동으로 배치, 관리하는 ‘클라우드 오케스트레이션(Cloud Orchestration)’을 활용하고 있습니다.
또한 조직은 서비스 제공업체가 사이버 위험을 처리하고 있다고 가정하지 말고 공동 책임 접근 방식을 취해야 하며, 서비스 제공 업체에도 동일한 보안 표준을 적용해야 합니다.
사이버 보안에 유기적인 비즈니스 시스템 구축
선제 대응 기업은 최고 경영진, 사이버 보안팀, 임직원을 직급과 역할에 따라 구분하지 않고 유기적으로 연계하는 보안 전략을 구축합니다. 그리고 사이버 보안의 인적 부문을 향상하기 위해 다양한 이해관계자와 소통하고 필요한 자원을 폭넓게 확보합니다. 반대로 후속 대처 기업은 CISO와 최고경영진 사이에 단절이 존재합니다. 사이버 보안 운영을 핵심 비즈니스 우선순위와 전략에 포함한 조직은 보안 사고가 발생할 확률이 낮습니다. 그렇기 때문에 CISO는 조직 전체에 유기적인 보안 시스템을 구축해야 합니다.
실제로 선제 대응 기업은 최고 경영진이 사이버 보안을 주요 비즈니스 의사 결정에 통합하고 있으며, 역량 있는 CISO는 전체 비즈니스 과정에서 잠재적인 위험을 차단하기 위해 노력하고 있습니다.
EY의 연구에 따르면 사이버 리더 10명 중 4명은 IT인력 외 임직원이 사이버 보안 모범 사례를 준수하지 않고 있다고 응답했습니다. 이런 문제를 해결하기 위해 조직은 직원이 따라야 하는 모범 사례를 단순화하고 명확한 가이드라인을 만들어 위험을 선제적으로 차단해야 합니다. 선제 대응 기업은 사이버 보안 교육을 정기적으로 진행하고 최신 자동화와 예방 툴을 적극적으로 활용합니다. 또한 조직 내 모든 임직원들을 대상으로 사이버 보안 내용을 기본적으로 포함한 교육 환경을 조성합니다.
부족한 사이버 보안 인력을 확충하기 위해 창의적인 접근방식이 필요
사이버 보안에 대한 유기적 비즈니스 시스템을 구축하려면 더 많은 인력이 필요합니다. 연구에 따르면 응답자의 56%는 미래의 위협에 대비하기 위해서는 사이버 인력을 강화하는 것이 중요하다고 답했습니다.
선제 대응 기업은 이 문제에 대해 보다 창의적으로 접근하고 있습니다. 예를 들어 현재 사이버 보안 분야와 관련 없는 직원을 채용한 뒤 재교육을 통해 해당 분야를 충원하는 방안을 고려합니다. 또한 사이버 보안 기능상의 운영 모델을 보다 유연하게 생각하고 있으며, 추가 기능이나 특정 부문의 아웃소싱 방안도 적극적으로 모색하고 있습니다. 무엇보다 이 모든 결정을 보안 프로세스 표준화와 자동화에 우선순위를 두고 조직 구조를 더욱 단순화하고 있습니다.
더욱 진보적인 조직은 비즈니스 팀과 사이버 팀을 조율해 사이버 보안 고려 사항을 비즈니스에 자연스럽게 통합합니다. 일부 기업은 사이버 컨설턴트 팀이 6~9개월에 걸쳐 조직의 프로세스를 관리해 안전한 개발 주기를 확보하고 관련 인력을 교육해 새로운 기술이 원활하게 작동하도록 구성하고 있습니다.
EY는 ‘2023 EY 글로벌 사이버 보안 리더십 인사이트 연구(EY 2023 Global Cybersecurity Leadership Insights Study)’를 통해 기업이 현재 겪고 있는 사이버 보안 현황을 분석하고 효율적인 사이버 보안 성과를 내는 보안 우수 기업의 특징을 분석했습니다. 그리고 사이버 보안을 잘 사용하면 미래의 위협을 줄일 수 있을 뿐만 아니라 기업의 평판을 높이고 혁신과 가치를 창출할 수 있다는 것도 확인했습니다.
EY가 연구를 통해서 확인한 사이버 보안을 효과적으로 구축할 수 있는 전략은 다음과 같습니다.
보다 효과적이며 가치를 가속화하는 다섯 가지 사이버 보안 전략
1. 사이버 보안 기술 종류를 단순화해 위험을 줄이고 가시성을 향상합니다. 자동화와 오케스트레이션은 기술 환경의 혼란을 줄여 위협 신호를 더 빠르게 감지하고 더 효과적으로 대응할 수 있도록 합니다.
2. 표준화와 자동화를 활용해 해커의 공급망 진입점을 줄이고, 사이버 경계를 개선하며, 과도한 관료주의를 추가하지 않고 성능을 지속적으로 모니터링합니다. 또한 이를 통해 공급업체 선택 초기에 보안 팀이 참여할 수 있습니다.
3. 사이버 보안 대응 방식을 위험 상쇄, 비즈니스 영향과 가치 창출 측면 등 비즈니스에 긍정적인 방식으로 전환합니다.
4. 인적 오류는 사이버 사고의 주된 원인입니다. 이를 해결하기 위해 잘 설계된 보안 교육을 자동화, 예방 도구와 결합해 인적 오류를 최대한 줄입니다.
5. 사이버 보안을 방해물로 생각하지 말고 조직의 구조에 통합합니다. 이는 가치를 창출하고 혁신에 필요한 자신감을 심어주며 새로운 수익과 시장 기회를 열어줍니다.
요약
- 클라우드와 원격 근무 등 기업의 근무환경이 근본적으로 바뀌고 있어 사이버 위협도 새로운 형태로 진화하고 있습니다.
- EY의 '2023 EY 글로벌 사이버 보안 리더십 인사이트 연구(EY 2023 Global Cybersecurity Leadership Insights Study)’에 따르면 혁신적인 조직은 잠재적인 사이버 보안 위협 접점을 최소화하고, 사이버 보안 기술을 단순화하며, 보안 인력을 유연하게 확보하는 효과적인 사이버 보안 전략을 구축합니다. 나아가 효과적인 사이버 보안 전략을 장점으로 내세워 기업의 평판을 개선하고 새로운 기회로 활용합니다.
