혁신적인 사이버 보안 전략은 미래의 잠재적인 위협을 줄이고 새로운 기회와 가치를 창출할 수 있습니다

클라우드, 사물인터넷 등 업무환경의 변화에 따라 사이버 공격의 범위가 확대되고 있습니다. 효율적인 사이버 보안 체계를 구축한 조직은 위협을 신속하게 해결하고 나아가 기업 평판도 개선할 수 있습니다.

In brief

• 2023 EY 글로벌 사이버 보안 리더십 인사이트 연구에 따르면 기업이 새로운 업무 환경과 기술을 도입함에 따라 사이버 공격의 접점이 확대되고 위험 수준도 높아지고 있습니다.
• 혁신적인 리더는 기하급수적으로 확대되는 사이버 위협에 대응하기 위해서 자동화와 ‘클라우드 오케스트레이션(Cloud Orchestration)’ 등 새로운 기술과 전략을 선제적으로 도입해 대응하고 있습니다.

오늘날의 디지털 생태계에 안전지대는 존재하지 않습니다. 클라우드와 원격 근무 등 업무 환경의 변화로 인해 잠재적인 사이버 공격의 범위와 접점이 확장됐습니다. 실제로 기업에서 사이버 보안과 관련해 제기하는 문제는 ‘공격 대상과 접점이 너무 많다’는 것이었습니다. 대규모 클라우드 컴퓨팅과 사물 인터넷 등으로 인해 조직은 언제든지 사이버 공격에 노출될 수 있습니다.

EY는 기업의 사이버 보안 현황, 사이버 공격 추이와 관련해 ‘2023 EY 글로벌 사이버 보안 리더십 인사이트 연구(EY 2023 Global Cybersecurity Leadership Insights Study)’를 진행했습니다.

EY는 연구에 참여한 응답 기업 중 효율적인 사이버 보안 시스템을 갖추고 높은 성과를 달성한 기업은 ‘선제 대응 기업(Secure Creators)’으로, 반면 보안이 취약한 기업은 ‘후속 대처 기업(Prone Enterprises)’으로 구분했습니다. 설문에 응답한 기업 중 선제 대응 기업은 42%, 후속 대처 기업은 58%였습니다.

연구에 따르면 응답자 4명 중 3명은 클라우드와 IoT를 향후 5년 내 가장 보안 위험이 높은 기술로 꼽았으며, 이에 따라 새로운 기술 도입에 대한 대비가 충분하지 않은 경우 사이버 공격에 따른 데이터 손실, 위반과 비즈니스 중단의 가능성이 있습니다. 이를 해결하기 위해서 선제 대응 기업은 클라우드 기술을 최적화, 자동화 도입을 통해 대응하고 있습니다.

특히 시스템 침입 사고의 62%(2021년 기준)가 공급망에서 발생하고 있어 공급망이 사이버 보안에서 중요한 부문이 되고 있습니다. 대부분의 사이버 리더는 공급망이 초래하는 위험을 과소평가하고 있으며, 선제 대응 기업일수록 잠재적인 공급망 위협을 인식하는 비율이 높았습니다.

새로운 기술 도입과 업무 환경 변화로 사이버 공격 범위가 넓어지는 문제를 해결하기 위해 기업은 자동화를 통해 잠재적인 사이버 공격 접점 전체를 관리해야 합니다. 실제로 보안 우수 기업 최고정보보안책임자(CISO)의 50%는 사이버 보안에 자동화와 클라우드 컴퓨팅 환경에서 IT 자원을 자동으로 배치, 관리하는 ‘클라우드 오케스트레이션(Cloud Orchestration)’을 활용하고 있습니다.

또한 조직은 서비스 제공업체가 사이버 위험을 처리하고 있다고 가정하지 말고 공동 책임 접근 방식을 취해야 하며, 서비스 제공 업체에도 동일한 보안 표준을 적용해야 합니다.

사이버 보안에 유기적인 비즈니스 시스템 구축

선제 대응 기업은 최고 경영진, 사이버 보안팀, 임직원을 직급과 역할에 따라 구분하지 않고 유기적으로 연계하는 보안 전략을 구축합니다. 그리고 사이버 보안의 인적 부문을 향상하기 위해 다양한 이해관계자와 소통하고 필요한 자원을 폭넓게 확보합니다. 반대로 후속 대처 기업은 CISO와 최고경영진 사이에 단절이 존재합니다. 사이버 보안 운영을 핵심 비즈니스 우선순위와 전략에 포함한 조직은 보안 사고가 발생할 확률이 낮습니다. 그렇기 때문에 CISO는 조직 전체에 유기적인 보안 시스템을 구축해야 합니다.

실제로 선제 대응 기업은 최고 경영진이 사이버 보안을 주요 비즈니스 의사 결정에 통합하고 있으며, 역량 있는 CISO는 전체 비즈니스 과정에서 잠재적인 위험을 차단하기 위해 노력하고 있습니다.

EY의 연구에 따르면 사이버 리더 10명 중 4명은 IT인력 외 임직원이 사이버 보안 모범 사례를 준수하지 않고 있다고 응답했습니다. 이런 문제를 해결하기 위해 조직은 직원이 따라야 하는 모범 사례를 단순화하고 명확한 가이드라인을 만들어 위험을 선제적으로 차단해야 합니다. 선제 대응 기업은 사이버 보안 교육을 정기적으로 진행하고 최신 자동화와 예방 툴을 적극적으로 활용합니다. 또한 조직 내 모든 임직원들을 대상으로 사이버 보안 내용을 기본적으로 포함한 교육 환경을 조성합니다.

부족한 사이버 보안 인력을 확충하기 위해 창의적인 접근방식이 필요

사이버 보안에 대한 유기적 비즈니스 시스템을 구축하려면 더 많은 인력이 필요합니다. 연구에 따르면 응답자의 56%는 미래의 위협에 대비하기 위해서는 사이버 인력을 강화하는 것이 중요하다고 답했습니다.

선제 대응 기업은 이 문제에 대해 보다 창의적으로 접근하고 있습니다. 예를 들어 현재 사이버 보안 분야와 관련 없는 직원을 채용한 뒤 재교육을 통해 해당 분야를 충원하는 방안을 고려합니다. 또한 사이버 보안 기능상의 운영 모델을 보다 유연하게 생각하고 있으며, 추가 기능이나 특정 부문의 아웃소싱 방안도 적극적으로 모색하고 있습니다. 무엇보다 이 모든 결정을 보안 프로세스 표준화와 자동화에 우선순위를 두고 조직 구조를 더욱 단순화하고 있습니다.

더욱 진보적인 조직은 비즈니스 팀과 사이버 팀을 조율해 사이버 보안 고려 사항을 비즈니스에 자연스럽게 통합합니다. 일부 기업은 사이버 컨설턴트 팀이 6~9개월에 걸쳐 조직의 프로세스를 관리해 안전한 개발 주기를 확보하고 관련 인력을 교육해 새로운 기술이 원활하게 작동하도록 구성하고 있습니다.

EY는 ‘2023 EY 글로벌 사이버 보안 리더십 인사이트 연구(EY 2023 Global Cybersecurity Leadership Insights Study)’를 통해 기업이 현재 겪고 있는 사이버 보안 현황을 분석하고 효율적인 사이버 보안 성과를 내는 보안 우수 기업의 특징을 분석했습니다. 그리고 사이버 보안을 잘 사용하면 미래의 위협을 줄일 수 있을 뿐만 아니라 기업의 평판을 높이고 혁신과 가치를 창출할 수 있다는 것도 확인했습니다.