올해 조사에서 응답자 4명 중 3명 이상(77%)은 지난 1년 동안 랜섬웨어 등 사이버 공격이 급증했다고 밝혔습니다. 이는 지난해 조사(59%)에 비해 18%나 증가한 수치입니다.
또한 CISO의 절반 이상(56%)은 리더십이 새로운 전략적 결정을 내릴 때 사이버 보안팀과 협의하지 않거나 뒤늦게 협력한다고 응답했습니다. 사이버 위협은 증가하는 가운데 보안 프로세스는 이전보다 훨씬 약해진 것을 보여주는 부분입니다.
GISS에 따르면 최근 랜섬웨어를 악용한 사례가 확산되면서, 더욱 다양한 형태의 사이버 공격이 전 세계적으로 증가하고 있습니다.
2021년 5월 미국 최대 송유관 업체 콜로니얼 파이프라인(US Colonial Pipeline)은 랜섬웨어 공격으로 가동이 중단돼 미국 동부 연안의 각 주에서 급유하는 핵심 연료 네트워크를 폐쇄해야 했습니다. 2020년 PC 네트워크 모니터링 소프트웨어 업체 솔라윈즈(Solarwinds)는 소프트웨어 업데이트에 멀웨어 공격을 받아 피해가 순식간에 확산됐습니다. 이는 해외에 국한된 일이 아닙니다. 국내에서도 기업 규모, 업종을 가리지 않고 크고 작은 사이버 공격이 벌어지고 있습니다. 통신사와 금융사를 대상으로 한 사이버 공격은 사업의 생존을 위협할 정도로 치명적입니다.
사이버 공격의 범위는 기술기업뿐만 아니라 전통적인 2차 산업까지 확장됐으며, 갈수록 정교해지고 있습니다. GISS 응답자의 3분의 1만이 공급망의 보안성을 완벽하게 유지할 수 있다고 확신하고 있었으며, 절반 미만(47%)에 해당하는 응답자만이 새로운 사이버 공격을 분석하고 예측할 수 있다고 답했습니다.
팬데믹 여파로 CISO와 보안 책임자는 현상 유지와 혁신 실행, 두 가지를 하는 상황에 처했습니다
코로나19는 기업의 업무 환경뿐만 아니라 임직원의 근무 방식도 바꿨습니다. EY의 업무 재창조2021(Work Reimagined 2021) 보고서에 따르면 응답자 54%는 고용주가 유연근무를 승인하지 않으면 퇴직을 고려할 것이며, 임직원의 절반(48%)이 새로운 홈오피스 기술에 대한 충분한 투자를 원하는 것으로 나타났습니다. 코로나19로 확산된 원격근무가 다수가 선호하는 업무 형태로 자리 잡은 것입니다. 이런 상황에서 기업이 원격 근무에 필요한 보안 문제를 해결할 수 없다면 인재 확보에 어려움을 느끼는 등 더 많은 문제가 생길 것입니다.
CISO는 중요한 기로에 서있습니다. 2021 EY CEO 필수 연구(EY CEO Imperative Study 2021)에 따르면, 대다수 CEO들은 향후 12개월 동안 주요 데이터 및 기술 투자를 계획하고 있습니다. 이런 상황에서 CISO가 투자 기획 단계에서 디지털 전환을 지원할 수 있다면, 성장의 구심점으로 떠오를 것입니다.
현재 상황으로는 CISO나 보안 책임자는 어려운 여건 속에 있습니다. EY 글로벌 이사회 리스크 설문조사(Global Board Risk Survey)에 따르면 이사회의 9%만이 사이버 공격으로부터 조직을 충분히 보호할 수 있다고 밝혔습니다. 이는 지난해 20%에서 절반 이상 감소한 결과입니다. 이처럼 코로나19는 CISO와 보안 책임자를 궁지로 몰고 있습니다.
하지만 현재 상황을 기회로 삼아서 도약할 수 있다는 의견도 있습니다. 코로나19 팬데믹 상황 속에서 57%에 달하는 CISO는 사이버 보안이 자신들의 인지도를 높일 수 있는 기회를 제공한다고 밝혔습니다.
그렇다면 여러분의 조직은 CISO가 성장을 위한 새로운 도약 기회를 제공하고 있습니까? EY GISS에 따르면 다음의 세 가지 문제를 해결할 수 있을 때 그 기회가 만들어집니다.
CISO의 세 가지 걸림돌은 다음과 같습니다.
1. 사이버 보안 조직은 예산 확보와 유연한 지원이 절실하지만 실제 상황은 그렇지 않습니다.
2. 규제 파편화가 보안 문제의 복잡성을 키우면서 업무를 가중시키고 새로운 자원 부족 문제를 낳고 있습니다.
3. 사이버 보안과 다른 부서의 관계가 약화되고 있습니다. 하지만 지금은 더 강력한 협력이 필요한 때입니다.
예산 확보는 현재 사이버 보안 조직이 가장 어려움을 겪는 부분입니다. 이는 많은 기업이 사이버 보안 문제에 대해서 제대로 파악하지 못하고 있으며, 보안 부문의 중요성을 간과하고 있다는 반증입니다. GISS 설문조사에 따르면 응답자 기업의 평균 매출은 110억 달러에 달하지만, 사이버 보안 부문의 평균 예산은 매출의 0.05%에 불과한 528만 달러였습니다. 보안 예산은 산업과 기업 규모에 따른 차이가 있었지만, 예산의 계획과 배정에 관해 모호한 경우가 많았습니다.
보안 관련 예산이 상황을 고려해 책정되지 않는 것도 문제였습니다. GISS 응답자의 61%는 보안 예산이 IT 예산의 일부에 편입되어 있으며, 19%는 보안 예산이 고정돼 있다고 답했습니다. 이는 급변하는 사이버 보안 위험에 비해 턱없이 부족한 수준입니다. 이처럼 고정되고 부족한 예산은 새로운 취약점을 충분히 막을 수 없습니다. 실제 GISS 응답자의 36%는 예산 부족으로 피할 수 있었던 사이버 공격을 당하는 것은 시간문제라고 답했으며, 응답자 중 39%는 보안 예산이 지난 12개월 동안 새로운 문제를 해결하기에 부족하다고 답했습니다. 이런 예산 부족 및 절감은 CISO의 역량을 위축시키는 결과로 이어집니다.
예산이 부족한 기업의 절반 이상(59%)의 응답자는 사이버 보안 부분을 재정비하고, 아키텍처와 시스템에 집중해 비용을 절감해야 한다고 밝혔습니다.
규제 파편화도 CISO가 해결해야 할 과제입니다. 전 세계적으로 지역 및 국가 별로 관할 구역이 운영되면서 글로벌 규정 준수 환경이 더욱 복잡해지고 있습니다. 특히 금융 서비스 조직은 별도의 산업별 규정까지 관리해야 합니다. GISS 응답자의 18%는 규제가 이사회에 추가 예산을 요청할 수 있는 효과적인 방법이라고 답했는데, 이는 2020년 29%에서 11% 감소한 수치입니다.
더 많은 규정 준수에 대한 부담에 따라 사이버 보안 예산을 늘려야 하지만, 대부분 조직에서는 이런 변화에 둔감하게 반응하고 있습니다.
GISS에 따르면 사이버 보안과 다른 부문의 협력이 약해지는 것이 두드러졌습니다. 조사에 따르면 상당수 최고 경영진이 중요한 전략이나 결정에 사이버 보안 부문을 제외하고 있습니다. 코로나19로 인해 이런 경향은 강해지고 있습니다. 조직의 81%는 사이버 보안 프로세스를 건너뛰고 있었으며, 응답자 10명 중 약 6명(58%)은 조직이 적절한 사이버 보안 평가 또는 감독 없이 새로운 기술을 구현하고 있었습니다. 실제 대부분 CISO는 디지털 혁신 전략 및 솔루션의 마지막 단계에 관여하고 있었습니다. 이는 비효율적일 뿐만 아니라 안정성에도 악영향을 미칩니다.
최악의 상황을 최고의 기회로 전환하기 위해서는 과감한 결단과 실행이 필요합니다
이런 최악의 상황을 극복하기 위해서는 CISO의 헌신적인 노력과 최고 경영진의 자각이 필요합니다. 사이버 보안이 위험이라는 점을 모두 인식하면서도 그에 따른 노력을 하지 않는 것은 위험을 방치하는 것입니다. 전문가들은 탁월한 CISO라면 이사회가 충분히 보안 위험에 대해 잘 파악할 수 있도록 쉬운 언어와 표현을 사용해 위험을 설명해야 한다고 조언하고 있습니다. 사이버 보안 능력 그 자체와 별도로 조직 내 의사소통, 설득 및 신뢰 구축 능력과 균형을 이루는 것이 중요하다는 이야기입니다.
올해 GISS가 제시하는 핵심 과제는 명백합니다. CISO는 조직에서 보다 전략적이고 융통성 있는 역할을 해야 합니다. 사이버 보안에 대한 가치를 올바르게 인식하고, 기업 운영의 필수로 생각하도록 만드는 것도 CISO의 몫입니다.