코로나19 팬데믹으로 야기된 최악의 사이버 보안 상황을 극복하려면 어떻게 해야 할까요?

2021년 EY 글로벌 정보 보안 설문조사에 따르면 전 세계 보안 책임자들이 코로나19 팬데믹 기간 동안 광범위하게 증가하는 사이버 공격에 맞서 싸우고 있습니다. 

CISO는 위기를 기회로 전환하는 역량을 발휘해 조직의 혁신과 성장에 중심이 돼야 합니다.

코로나19가 전 세계적으로 확산하면서 2020년 세계 경제가 금융위기 이후 최악의 성장률을 기록했습니다. 당초 예상과 달리 코로나19 여파는 2년 가까이 이어지고 있고 사회 및 경제에 막대한 영향을 미치고 있습니다.

전 세계 기업과 조직은 코로나19 팬데믹에 대응하기 위해 짧은 기간 동안 조직 정비, 원격 근무, 새로운 업무 툴 등을 도입해야 했습니다. 업무 특성상 대면 영업을 해왔던 기업이나 국외 또는 멀리 떨어진 사업장과 연계했던 기업, 오프라인 기반 기업들은 새로운 기술과 클라우드 툴을 도입해 기존 채널을 유지하고 새로운 고객을 유치하는 등 고군분투했습니다.

이렇게 특수한 상황을 고려해 긴급하게 진행된 새로운 기술과 조치들은 기존에는 불가능하다고 여겨졌던 짧은 기간 내에 이뤄졌습니다. 기업들은 신속한 대응으로 코로나19 환경에 빠르게 적응할 수 있었지만, 이 때문에 충분한 검증과 보안 프로세스를 거치지 못했습니다.

과정을 건너뛰고 단행된 조치는 새로운 위험을 야기했습니다. 많은 기업이 기존 프로세스를 무시하면서 도입한 솔루션은 사이버 보안 안전장치가 제대로 적용되지 못했습니다. 결과적으로 기업들은 잠재적인 취약점을 안고 비즈니스를 진행 중이며, 이를 노린 사이버 테러는 증가하고 있습니다.

 

EY 2021 GISS에 따르면 응답자의 77%는 사이버 공격이 급증했으며, 56%는 사이버 보안팀과 협력이 약화됐다고 답했습니다.

EY가 발표한 ‘2021년 EY 글로벌 정보보안 설문조사(Global Information Security Survey 2021, GISS)’에는 이런 내용이 고스란히 담겨있습니다. 전 세계 1000명 이상의 사이버 보안 책임자를 대상으로 진행한 GISS는 기업의 CISO와 보안 책임자가 그 어떤 때보다 사이버 테러의 위험에 처해있다는 것을 보여줍니다.

올해 조사에서 응답자 4명 중 3명 이상(77%)은 지난 1년 동안 랜섬웨어 등 사이버 공격이 급증했다고 밝혔습니다. 이는 지난해 조사(59%)에 비해 18%나 증가한 수치입니다.

또한 CISO의 절반 이상(56%)은 리더십이 새로운 전략적 결정을 내릴 때 사이버 보안팀과 협의하지 않거나 뒤늦게 협력한다고 응답했습니다. 사이버 위협은 증가하는 가운데 보안 프로세스는 이전보다 훨씬 약해진 것을 보여주는 부분입니다.

GISS에 따르면 최근 랜섬웨어를 악용한 사례가 확산되면서, 더욱 다양한 형태의 사이버 공격이 전 세계적으로 증가하고 있습니다.

2021년 5월 미국 최대 송유관 업체 콜로니얼 파이프라인(US Colonial Pipeline)은 랜섬웨어 공격으로 가동이 중단돼 미국 동부 연안의 각 주에서 급유하는 핵심 연료 네트워크를 폐쇄해야 했습니다. 2020년 PC 네트워크 모니터링 소프트웨어 업체 솔라윈즈(Solarwinds)는 소프트웨어 업데이트에 멀웨어 공격을 받아 피해가 순식간에 확산됐습니다. 이는 해외에 국한된 일이 아닙니다. 국내에서도 기업 규모, 업종을 가리지 않고 크고 작은 사이버 공격이 벌어지고 있습니다. 통신사와 금융사를 대상으로 한 사이버 공격은 사업의 생존을 위협할 정도로 치명적입니다.

사이버 공격의 범위는 기술기업뿐만 아니라 전통적인 2차 산업까지 확장됐으며, 갈수록 정교해지고 있습니다. GISS 응답자의 3분의 1만이 공급망의 보안성을 완벽하게 유지할 수 있다고 확신하고 있었으며, 절반 미만(47%)에 해당하는 응답자만이 새로운 사이버 공격을 분석하고 예측할 수 있다고 답했습니다.

 

팬데믹 여파로 CISO와 보안 책임자는 현상 유지와 혁신 실행, 두 가지를 하는 상황에 처했습니다

코로나19는 기업의 업무 환경뿐만 아니라 임직원의 근무 방식도 바꿨습니다. EY의 업무 재창조2021(Work Reimagined 2021) 보고서에 따르면 응답자 54%는 고용주가 유연근무를 승인하지 않으면 퇴직을 고려할 것이며, 임직원의 절반(48%)이 새로운 홈오피스 기술에 대한 충분한 투자를 원하는 것으로 나타났습니다. 코로나19로 확산된 원격근무가 다수가 선호하는 업무 형태로 자리 잡은 것입니다. 이런 상황에서 기업이 원격 근무에 필요한 보안 문제를 해결할 수 없다면 인재 확보에 어려움을 느끼는 등 더 많은 문제가 생길 것입니다.

CISO는 중요한 기로에 서있습니다. 2021 EY CEO 필수 연구(EY CEO Imperative Study 2021)에 따르면, 대다수 CEO들은 향후 12개월 동안 주요 데이터 및 기술 투자를 계획하고 있습니다. 이런 상황에서 CISO가 투자 기획 단계에서 디지털 전환을 지원할 수 있다면, 성장의 구심점으로 떠오를 것입니다.

현재 상황으로는 CISO나 보안 책임자는 어려운 여건 속에 있습니다. EY 글로벌 이사회 리스크 설문조사(Global Board Risk Survey)에 따르면 이사회의 9%만이 사이버 공격으로부터 조직을 충분히 보호할 수 있다고 밝혔습니다. 이는 지난해 20%에서 절반 이상 감소한 결과입니다. 이처럼 코로나19는 CISO와 보안 책임자를 궁지로 몰고 있습니다.

하지만 현재 상황을 기회로 삼아서 도약할 수 있다는 의견도 있습니다. 코로나19 팬데믹 상황 속에서 57%에 달하는 CISO는 사이버 보안이 자신들의 인지도를 높일 수 있는 기회를 제공한다고 밝혔습니다.

그렇다면 여러분의 조직은 CISO가 성장을 위한 새로운 도약 기회를 제공하고 있습니까? EY GISS에 따르면 다음의 세 가지 문제를 해결할 수 있을 때 그 기회가 만들어집니다.

 

CISO의 세 가지 걸림돌은 다음과 같습니다.

1. 사이버 보안 조직은 예산 확보와 유연한 지원이 절실하지만 실제 상황은 그렇지 않습니다.

2. 규제 파편화가 보안 문제의 복잡성을 키우면서 업무를 가중시키고 새로운 자원 부족 문제를 낳고 있습니다.

3. 사이버 보안과 다른 부서의 관계가 약화되고 있습니다. 하지만 지금은 더 강력한 협력이 필요한 때입니다.

 

예산 확보는 현재 사이버 보안 조직이 가장 어려움을 겪는 부분입니다. 이는 많은 기업이 사이버 보안 문제에 대해서 제대로 파악하지 못하고 있으며, 보안 부문의 중요성을 간과하고 있다는 반증입니다. GISS 설문조사에 따르면 응답자 기업의 평균 매출은 110억 달러에 달하지만, 사이버 보안 부문의 평균 예산은 매출의 0.05%에 불과한 528만 달러였습니다. 보안 예산은 산업과 기업 규모에 따른 차이가 있었지만, 예산의 계획과 배정에 관해 모호한 경우가 많았습니다.

보안 관련 예산이 상황을 고려해 책정되지 않는 것도 문제였습니다. GISS 응답자의 61%는 보안 예산이 IT 예산의 일부에 편입되어 있으며, 19%는 보안 예산이 고정돼 있다고 답했습니다. 이는 급변하는 사이버 보안 위험에 비해 턱없이 부족한 수준입니다. 이처럼 고정되고 부족한 예산은 새로운 취약점을 충분히 막을 수 없습니다. 실제 GISS 응답자의 36%는 예산 부족으로 피할 수 있었던 사이버 공격을 당하는 것은 시간문제라고 답했으며, 응답자 중 39%는 보안 예산이 지난 12개월 동안 새로운 문제를 해결하기에 부족하다고 답했습니다. 이런 예산 부족 및 절감은 CISO의 역량을 위축시키는 결과로 이어집니다.

예산이 부족한 기업의 절반 이상(59%)의 응답자는 사이버 보안 부분을 재정비하고, 아키텍처와 시스템에 집중해 비용을 절감해야 한다고 밝혔습니다.

 

규제 파편화도 CISO가 해결해야 할 과제입니다. 전 세계적으로 지역 및 국가 별로 관할 구역이 운영되면서 글로벌 규정 준수 환경이 더욱 복잡해지고 있습니다. 특히 금융 서비스 조직은 별도의 산업별 규정까지 관리해야 합니다. GISS 응답자의 18%는 규제가 이사회에 추가 예산을 요청할 수 있는 효과적인 방법이라고 답했는데, 이는 2020년 29%에서 11% 감소한 수치입니다.

더 많은 규정 준수에 대한 부담에 따라 사이버 보안 예산을 늘려야 하지만, 대부분 조직에서는 이런 변화에 둔감하게 반응하고 있습니다.

 

GISS에 따르면 사이버 보안과 다른 부문의 협력이 약해지는 것이 두드러졌습니다. 조사에 따르면 상당수 최고 경영진이 중요한 전략이나 결정에 사이버 보안 부문을 제외하고 있습니다. 코로나19로 인해 이런 경향은 강해지고 있습니다. 조직의 81%는 사이버 보안 프로세스를 건너뛰고 있었으며, 응답자 10명 중 약 6명(58%)은 조직이 적절한 사이버 보안 평가 또는 감독 없이 새로운 기술을 구현하고 있었습니다. 실제 대부분 CISO는 디지털 혁신 전략 및 솔루션의 마지막 단계에 관여하고 있었습니다. 이는 비효율적일 뿐만 아니라 안정성에도 악영향을 미칩니다.

 

최악의 상황을 최고의 기회로 전환하기 위해서는 과감한 결단과 실행이 필요합니다

이런 최악의 상황을 극복하기 위해서는 CISO의 헌신적인 노력과 최고 경영진의 자각이 필요합니다. 사이버 보안이 위험이라는 점을 모두 인식하면서도 그에 따른 노력을 하지 않는 것은 위험을 방치하는 것입니다. 전문가들은 탁월한 CISO라면 이사회가 충분히 보안 위험에 대해 잘 파악할 수 있도록 쉬운 언어와 표현을 사용해 위험을 설명해야 한다고 조언하고 있습니다. 사이버 보안 능력 그 자체와 별도로 조직 내 의사소통, 설득 및 신뢰 구축 능력과 균형을 이루는 것이 중요하다는 이야기입니다.

올해 GISS가 제시하는 핵심 과제는 명백합니다. CISO는 조직에서 보다 전략적이고 융통성 있는 역할을 해야 합니다. 사이버 보안에 대한 가치를 올바르게 인식하고, 기업 운영의 필수로 생각하도록 만드는 것도 CISO의 몫입니다.