보안과 비즈니스 전략 일치
일부 경제학자는 머지않아 경기 침체가 도래하리라 전망합니다. 전례를 살펴봤을 때, 경기 침체는사이버 범죄 수준 측면에서 좋은 징조가 아닙니다. 거시 경제 상황이 사이버 범죄에 영향을 미칠수 있다는 몇 가지 증거가 있습니다. 예를 들어 경기가 하락세일 때는 돈을 벌려고 불법적인 활동에 손을대는 사람들로 인해 사이버 범죄가 증가할 가능성이 있습니다.연구진에 따르면 2008~2009년세계 금융 위기(GFC)와 이후에 이어진 불경기 동안 사이버 범죄 발생률이 대폭 증가했다고 합니다. 관련 보고서는 신원 도용을 비롯한 금융 사이버 범죄만 다루었습니다. 여기서는 이러한 범죄 증가의원인을 세계 각지에 신기술이 확산된 것에서 찾았습니다. 전에 없이 많은 사람이 IT 기술을 보유하게된 것입니다.
진화하는 사이버 범죄 현황에 적응하는 법
사이버 범죄는 끊임없이 진화를 거듭하고 있습니다. 기업에서 사이버 범죄자보다 한발 앞서려면 민첩성을 유지해야하고, 공격보다 한 수 앞서기 위해 필요할 때마다 새로운 전략과 기술을 받아들이면서 방향을 선회할 줄 알아야 합니다. 비즈니스가 불경기로 인해 고전하면 지출을 절감할 방법을 찾아야 한다는 강렬한 유혹에 직면하게 됩니다.
이럴 때 수많은 CFO는 절약할 여지를 찾아 예산을 항목별로 샅샅이 뒤지는 법입니다. 꼭 필요하지 않은 지출은 절감할수 있으면 절감하고, 미룰 수 있으면 미룹니다. 그런데 보안을 근본적으로 비용 중심 부문으로 간주하는 기업이라면, 사이버 예산에 어려운 상황이 닥칠 수 있습니다.
한편 소수의 CFO에게 사이버 보안은 오히려 비용을 절약할 가능성이 숨어 있는 분야입니다. 사실 사이버 보안지출이란 대체로 발생 가능한 문제를 예방하는 것이 목표입니다. 따라서 ROI를 계산하기는 어렵지만, 이러한 리더의경우 긴축 경제 시대에 사이버 범죄 발생률이 높아질 것을 예상하고 있으므로 사이버 보안 지출을 삭감하면 오히려예상보다 더 큰 비용이 발생해 대가를 치를 수 있다는 점을 잘 압니다.
사이버 보안 지출에 장기적 접근 방식 적용
사이버 보안에 투자하면 누적 효과를 노릴 수 있으며, 오랜 기간에 걸쳐 점진적으로 사이버 위협에 맞선 회복력을키울 수 있습니다. 따라서 사이버 보안 프로그램 예산을 삭감하는 경우 긴축 정책을 실시하기 이전 수준으로 사이버성숙도를 도로 끌어올리려면 수년이 걸릴 수 있습니다.
단기적으로 사이버 보안 예산 삭감 을 실현하면 소소한 절약 효과를 볼 수 있을지 몰라도, 다음 피해자를 찾아 활발하게움직이는 사이버 범죄자에게 자사를 손쉬운 먹잇감으로 내놓는 꼴이 될 수도 있다는 말입니다. 또한 실제로 침해가발생하는 경우, 사이버 범죄로 인한 손실액이 예산 절감액을 훨씬 웃돌 가능성도 있습니다. 따라서 CISO 및 보안팀과긴밀히 협력하여 유능하고, 자금도 충분하며 의욕까지 넘치는 공격자가 이용하는 사이버 위협의 지칠 줄 모르는 속도에맞추기 위해 기업에서 가장 애용하는 도구가 무엇인지 알아두는 것이 중요합니다.
기업이 보안 선택을 통해 효율성을 강화하는 법
복잡성은 기업의 시스템과 데이터를 관리하고 보호하기 어렵게 만드는 요인입니다. 온갖 구성 요소를 추적 관리하며, 각각의 항목이 모두 올바로 구성되고 보호되고 있는지 확인하기는 어려운 일일 수 있습니다. 복잡성은 잠재적인 위협을식별해 대응하는 과정을 어렵게 합니다.
또한, 복잡성은 기업이 사이버 보안 업무를 효과적으로 전달하고 조율하는 과정을 어렵게 만드는 원인이기도 합니다. 예를 들어 어느 기업에 사이버 보안 전략을 부분별로 담당한 팀이나 부서가 여러 곳 있다고 합시다. 이 경우, 관계자모두가 잘 협력하고, 모두가 같은 프로세스와 절차를 따르는지 확인하기 쉽지 않을 수 있습니다.
전반적으로, 기업이 시스템과 데이터를 효과적으로 보호하려면 사이버 보안 업무의 복잡성을 세심하게 관리 하는 것이매우 중요합니다. 또한 사이버 보안 관리의 복잡성을 덜고 업무를 간소화하기 위해서는 유익한 프로세스와 기술을구현하고, 직원이 모범 사례를 숙지하고 잘 따르도록 교육하는 과정이 필요할 수 있습니다.
요즘처럼 거시경제가 어려운 상황에서는 열 가지가 넘는 도구를 다루기 위해 통합을 이루는 것이 중대한선결과제입니다. 이를 위해 하나의 플랫폼, Gartner의 표현을 빌리자면 '사이버 보안 메시'를 이용해야 합니다. Gartner에 따르면 2024년에는 사이버 보안 메시 아키텍처를 도입한 기업에서 보안 인시던트로 인한 금전적 타격을평균 90% 완화할 수 있을 것이라고 합니다.1CFO라면 결코 무시할 수 없는 수치입니다.
사이버 회복력을 갖추기 위해 반드시 지출을 늘려야만 하는 것은 아닙니다. 대신 사이버 예산을 현명하게 사용해야합니다. 비용을 인상하지 않고, 가장 가능성이 큰 리스크를 타게팅하는 것이 대표적인 방법입니다. 그러려면 우선가장 중요한 자산의 종류와 이에 액세스할 수 있는 인물을 파악하고 이들을 보호할 방법을 정해야 합니다. 보안 상태에좋은 영향을 미칠 수 있는 플랫폼이 무엇일지 보안팀 리더와 협력해 의견을 통일하세요.
1. Felix Gaehtgens 등저, 2022년 주요 전략적 기술 동향: 사이버 보안 메시, Gartner, 2021년 10월 18일.