SR2. 기업 정보보호최고책임자(CISO)의 역할


사이버 공격 막을 야전사령관
기업 혁신 사업의 앞줄에 서야

343호 (2022년 04월 Issue 2)

Article at a Glance

팬데믹 이후 사이버 공격의 빈도와 규모가 늘어났고 보안과 관련된 국제사회의 규제는 더욱 복잡해졌지만 기업의 보안을 책임지는 CISO(최고정보보호책임자)들은 예산 부족에 시달리며 사업 부서와의 관계 악화를 겪고 있는 것으로 나타났다. CISO는 보안을 비즈니스와 통합하고, 보안 임원 유형을 분석해 자신의 역량을 보완하고 보안 부서의 역량 균형을 맞춰야 한다. 동시에 경영진, 규제 기관 및 정부, 공급망 생태계, 직원들과 고객 등 핵심 이해관계자들과의 네트워크를 형성해야 한다.



전 세계 조직은 신종 코로나바이러스 감염증(코로나19) 팬데믹에 대응하기 위해 디지털 기술을 활용한 업무 시스템을 급박하게 도입하며 조직을 재정비해야 했다. 클라우드와 온라인 협업 툴이 매우 급박하게 확산됐다. 원격 근무, 유연 근무와 같은 새로운 유형의 근무 방식은 팬데믹 초기에 빠른 속도로 업무의 뉴노멀로 정착되며 마비됐던 전 세계 경제가 회복되는 데 중요한 역할을 했다. 이제 대부분의 조직에서 직원들은 언제, 어디서든 모든 업무를 디지털 환경에서 간편하게 처리할 수 있다.

그러나 팬데믹 이후 사이버 공격이 급증했다. 대부분의 전문가는 업무 방식의 변화를 가장 주요한 원인으로 꼽는다. 글로벌 회계•컨설팅 법인 EY가 1000명 이상의 고위직 사이버 보안 책임자들을 대상으로 진행한 ‘글로벌 정보보안 설문조사(Global Information Security Survey 2021, GISS 2021)’에 따르면 2020년 전 세계 보안 책임자의 59%가 지난 12개월 동안 랜섬웨어와 같은 위협적인 사이버 공격이 증가했다고 응답한 반면, 2021년에는 18%p가 늘어난 77%가 증가했다고 응답했다. 특히 응답자 58%가 공격이 전년대비 10% 이상 증가했다고 답했다. 글로벌 보안 기업 체크포인트 소프트웨어 테크놀로지(Checkpoint Software Technology)1 는 2021년 9월 전 세계 조직에 대한 주간 사이버 공격은 870건으로 전년 대비 40% 증가했다는 보고서를 같은 해 10월 발표했다. 2021년 1∼9월 한국 조직을 대상으로 한 공격 횟수는 주간 평균 592건으로 나타났으며 전년 대비 52% 늘어났다. 증감률로 따지면 전 세계 평균보다 12%p 높은 수치다. 특히 금융기관들을 타깃으로는 더 많은 공격이 시도되는 것으로 보인다. 2021년 7월 발표된 G20 금융안정위원회 보고서2 는 금융기관을 겨냥한 피싱, 악성 소프트웨어, 랜섬웨어 등 사이버 공격이 2020년 2월 주당 5000건가량에서 2021년 4월 20만 건 이상으로 급증했다고 밝혔다. 약 40배 늘어난 것이다. 해당 보고서 역시 금융기관에서 사이버 공격이 폭증한 주요한 이유로 재택근무의 확산을 꼽는다.

사이버 공격의 피해 규모 역시 눈덩이처럼 불어나고 있다. 미국의 정보 보안 사이트 사이버시큐리티 벤처스(Cybersecurity Ventures)는 2021년 전 세계 사이버 범죄 피해 규모가 6조9390억 달러(약 7754조 원)에서 2025년에는 10조500억 달러(약 1경1745조3000억 원)까지 늘어날 것으로 전망했다. 3

031


왜 조직들은 사이버 공격에 대비하는 데 어려움을 겪고 있을까. 조직에서 사이버 보안은 모든 조직 구성원이 함께 지켜야 하는 일이지만 당연히 그 중심에는 보안 부서가 존재한다. 그리고 보안 부서를 책임지는 리더는 CISO(Chief Information Security Officer, 최고정보보호책임자)다. 그렇다면 팬데믹 이후 조직에 사이버 공격이 늘어난 원인을 보안 부서와 CISO의 책임으로 돌릴 수 있을까. 단언컨대 이들만의 잘못으로 치부하는 건 어불성설이다. CISO와 보안책임자는 팬데믹이 낳은 새로운 보안 위협에 대응하느라 그 누구보다 고군분투한다.

원격 근무의 확산이 사이버 공격의 증가로 이어진 건 그간 보안 부서와 CISO가 조직에서 고질적으로 안고 있던 고충이 표면에 드러난 것으로 볼 수 있다. 대부분의 조직에서 원격 근무를 도입하며 가장 중요하게 여긴 부분이 속도와 효율이다. 보안은 상대적으로 나중 일이었다. 조직 내에서 보안의 우선순위가 높지 않은 게 현실이다. 그러나 마냥 비관적인 전망만 존재하는 건 아니다. 팬데믹을 계기로 조직이 기상천외한 사이버 공격을 목격하면서 사이버 보안에 대한 경각심을 갖게 됐다는 견해도 나오고 있다. 조직 내 우선순위와 얽힌 문제인 만큼 조직이 탄탄한 보안 체계를 갖추기 위해서는 기술뿐 아니라 거버넌스도 뒷받침돼야 한다. 그 중심에는 단연 조직의 보안을 책임지는 CISO가 나서야 한다. 팬데믹 이후 CISO들은 어떤 어려움을 겪고 있을까. 또한 포스트 팬데믹 시대에 안전한 조직을 만들기 위해 CISO가 해야 할 역할은 무엇일까.

CISO가 겪는 어려움

1. 새로운 위협의 등장

지난 한 해 동안 사이버 공격은 점점 더 진화했다. 회사 임직원이 악성 소프트웨어가 심긴 e메일을 전달하게 하거나 소프트웨어에 몰래 잠입할 수 있는 백도어 코드를 삽입하는 등 새로운 공격 전략들이 나타나고 있다. 팬데믹의 특수 상황을 반영한 공격들도 나타나고 있다. 화상회의 툴인 줌을 통해 해킹을 시도하는 사례들도 나타나고 있다. 국가기관, 금융기관을 사칭, 확진자와 동선이 겹치거나 생계나 일상을 지원하는 정책의 대상자로 선정됐다며 개인정보를 요구하는 등의 피싱도 늘어났다.

사이버 공격이 디지털 세상에만 국한된 문제라는 생각은 오산이다. 사이버 공격은 물리적인 세상에까지 여파를 남길 수 있다. 2021년 5월 미국 최대 송유관 기업 콜로니얼 파이프라인(Colonial Pipeline)이 해커들에 의해 공격당했다. 이로써 콜로니얼 파이프라인의 모든 인프라가 마비됐다. 휘발유 공급이 중단되자 미국의 일부 지역에서는 주유소의 70% 이상이 운영을 중단하거나 휘발유 가격이 오르는 등 사회, 경제적으로 막대한 피해가 일었다. 콜로니얼 파이프라인은 복구 프로그램을 얻기 위해 해커들에게 약 440만 달러(약 49억 원)를 지급한 것으로 알려졌다. 해커들은 다크 웹을 통해 얻을 수 있는 서비스형 랜섬웨어(Ransomware-as-a-service, RaaS)를 사용해 공격했다. 서비스형 랜섬웨어란 전문 해커가 개발한 랜섬웨어를 판매해 공격에 사용할 수 있게끔 한 방식이다. 다크 웹에 접속하면 누구든 랜섬웨어를 얻을 수 있는 것이다.

비슷한 시기인 2020년 12월, 해커들이 수개월에 걸쳐 네트워크 모니터링 소프트웨어 전문 기업 솔라윈즈(SolarWinds)의 IT 모니터링 솔루션 ‘오리온(Orion)’에 침투해 악성 코드를 심는 사태도 있었다. 오리온을 사용하는 기업과 조직들은 시스템을 업데이트하며 악성 코드에 감염된 것으로 밝혀졌다. 실제 재무부, 상무부 등 정부 기관과 마이크로소프트(MS)와 같은 대기업까지 피해를 입은 것으로 확인됐다. 미국 정부 기관과 포천 500대 기업 대부분을 포함해 1만 개가 넘는 기업이 오리온을 사용하지만 피해 사실조차 인지하지 못하는 기업도 존재해 정확한 피해 규모를 파악하는 일은 어려워 보인다.

033


이처럼 공격자들은 다방면으로 나타나고 있는 보안 취약점을 노리며 그 공격 방식도 점점 더 예측불허한 방향으로 진화하고 있다. GISS 2021에 따르면 CISO 3명 중 1명만이 자사의 공급망을 충분히 견고하게 유지할 수 있다고 자신했다. 또한 해커가 사용하는 전략을 파악하고 예측할 수 있다고 답한 응답자도 47%에 불과했다.

2. 사업 부서와의 관계 악화

이처럼 사이버 공격의 유형도 복잡해지고 공격 횟수와 피해 규모도 급증하며 그 위험성이 가시적으로 드러나고 있지만 그렇다고 조직에서 빠른 혁신의 필요성이 사라진 것은 아니다. 코로나19 대응에 상당한 진전이 있었지만 기업이 팬데믹 이전 상황으로 되돌아가기까지도 여러 고비가 있을 것으로 전망된다. 예를 들어 기업은 사무실 근무와 원격 근무를 동시에 운영하는 하이브리드 업무 모델을 모색하고 있다. 2021년 EY가 전 세계 회사원을 대상으로 진행한 ‘Work Reimagined 2021’ 연구 보고서에 따르면 응답자의 54%는 회사가 유연 근무를 도입하지 않을 경우 퇴사를 고려할 것이라고 밝혔다. 48%는 홈 오피스 관련 신기술 투자를 회사에 요구하는 것으로 나타났다.

비단 직원들의 요구 때문만이 아니다. 팬데믹을 계기로 그 속도에 탄력이 붙었을 뿐 디지털은 팬데믹 이전부터 기업이 혁신을 이뤄야 하는 최우선 과제였다. EY가 발간한 ‘Imperative Study 2021’ 보고서에 따르면 전 세계 CEO의 68%가 향후 12개월 동안 전략적 우선순위로 데이터 및 기술 투자를 계획하고 있는 것으로 나타났다. 즉, 코로나19로 잠깐 보안 위협이 급증한 게 아니라 기업 내 디지털에 대한 투자가 진행될수록 보안 위협도 계속될 것으로 전망된다.

CISO들은 자신의 의견을 표명하기 위해 최선을 다하고 있지만 GISS 2021응답자 중 56%는 경영진이 전략적 결정을 긴급하게 내릴 때 사이버 보안 부서의 자문을 받지 않거나 뒤늦게 자문을 요청한다고 답했다. 응답자들이 속한 조직의 81%가 사이버 보안 프로세스를 건너뛴 적이 있는 것으로 나타났다. 응답자의 58%는 조직이 적절한 사이버 보안 평가나 감독 없이 새로운 기술을 도입한다고 답했다. 혁신에 대한 압력이 커질수록 사업 부서와 보안 부서의 협력은 더욱 어려워질 것으로 보인다.

3. 예산 부족

사이버 보안 조직은 그 어느 때보다도 예산 확보와 유연한 지원이 절실하다. 그러나 실제 예산과 지원이 현저히 부족하다. GISS 2021에 따르면 56%의 응답자가 사이버 보안을 지키기 위한 예산이 부족하다고 답했다. 기업의 평균 매출은 110억 달러에 달하지만 사이버 보안 부문의 평균 예산은 528만 달러에 그쳤다. 전체 매출의 0.05%에 불과한 수준이다. 보안 예산이 고정된 경우는 19%에 그쳤으며 61%는 보안 예산이 IT 예산에 일부 편입된 형태로 편성됐다고 답했다. 응답자의 36%는 예산의 부족으로 예방 가능한 사이버 공격을 당하는 것이 시간문제라고 답했다.

전통 기업에서 보안에 대한 투자는 사업적으로 큰 변화를 마주할 때 이뤄지는 게 일반적이다. 일상적인 단계에서 보안에 대한 투자가 진행되는 일은 찾아보기 힘들다. 보안에 대한 투자는 매출이나 영업이익의 성장과 직접적으로 연결되지 않으며 그 성과가 가시적으로 드러나지 않기 때문이다. 보안이 눈에 드러나는 경우는 치명적인 문제가 발생할 때다.

4. 파편화된 규제

규제가 파편화되면서 보안 문제가 더욱 복잡해지고 보안 부서의 업무를 가중시키고 있다. 전 세계적으로 지역 및 국가별로 보안과 관련된 규제가 다르게 운영되며 글로벌 규정을 준수하는 일이 더욱 어려워지고 있다. 실제 GISS 2021 응답자의 49%는 컴플라이언스가 그들의 업무 중 가장 스트레스를 주는 영역이라 응답했다. 준수해야 할 규정이 많아질수록 더 많은 예산이 필요하지만 대부분 조직에서는 이런 변화에 둔감하게 반응한다. GISS 2021 응답자의 18%는 규제가 이사회에 추가 예산을 요청할 수 있는 효과적인 방법이라 답했는데 이는 2020년 29%에서 11%p 감소한 것이다.

CISO의 역할

전 세계 CEO는 자사 보안 부서가 조직을 보호할 역량을 갖추고 있는지에 대해 우려하고 있는 것으로 나타났다. GISS 2021 응답자의 절반 이상(55%)은 그 어느 때보다 사이버 보안 부문을 면밀하게 검토한다고 밝혔다. 또한 응답자의 39%는 조직이 분기별로 사이버 보안을 이사회 의제로 상정한다고 밝혔는데 이는 2020년 29%와 비교해 10%p 증가한 수치이다. 한편 EY의 ‘Global Board Risk Study 2021’ 보고서에 따르면 이사회 중 9%만이 사이버 공격으로부터 조직을 보호할 수 있다는 확신이 있다고 밝혔는데 이는 지난해 20%에 비해 절반도 안 되는 수치다.

오늘날 CISO는 이들의 역할에 대한 기대와 걱정이 공존하는 중대한 기로에 서 있다. CISO가 비즈니스가 계획되는 단계에서부터 디지털 혁신을 지원할 수 있다면 기업이 성장하는 데 핵심적인 역할을 맡게 될 것이다. 반대로 CISO가 혁신에서 적극적인 역할을 하지 못한다면 보안 위협은 증가하고 CISO의 입지는 더더욱 흔들릴 것이다. 녹록지 않은 상황에도 불구하고 CISO들은 현재 상황을 긍정적으로 바라보고 있다. 전 세계 CISO의 57%는 지금의 위기를 기회 삼아 사이버 보안의 인지도와 중요성을 높일 수 있을 것이라 답했다. 그렇다면 CISO는 앞으로 어떻게 대응해야 할 것인가?

036


1. 비즈니스와 연계성 재평가

앞서 살펴본 것처럼 최근 CISO와 비즈니스 파트너의 관계는 악화되고 있다. CISO와 보안 부서는 본인 역량 평가, 위험 식별, 미래에 대한 로드맵 구상에는 강한 모습을 보인다. 그러나 타 부서와의 협업이 부족하면 비즈니스에 적합한 전략을 구축하는 데 필요한 가시성을 충분히 확보하지 못할 수 있다.

CISO는 조직 혁신에 있어서 전보다 주체적인 역할을 수행해야 한다. CISO는 조직의 장기적인 가치 창출과 혁신에 있어 핵심 역할을 한다. CEO는 기술을 활용해 비전을 실현하고 비즈니스를 성공으로 이끄는 역할을 하지만 큰 그림을 바라보기에 보안 위협을 검토할 여력이 없다. CISO의 역할은 CEO에게 사이버 보안 투자의 가치를 설득해 보안이 혁신 여정에 필수라는 사실을 인식시키는 것이다. 또한 CISO는 CEO뿐만 아니라 C레벨 경영진과 전략적 관계를 구축하는 데 노력해야 한다.

035


CISO는 그동안 취약했던 사이버 보안과 관련된 다양한 요소에 관심을 기울여야 한다. 우선 이해관계자와 관계를 강화해 이들의 참여를 독려해야 한다. 혹시 사업 부서나 경영진과의 소통에 어려움을 겪는다면 커뮤니케이션의 농도를 점검해 볼 필요가 있다. 이들과의 대화가 보안과 관련된 기술이나 규제에 대한 연설로 이어지고 있지는 않는가? 초보 CISO들이 흔히 하는 실수 중 하나다. 이들에게 필요한 건 협업을 위해 알아야 할 정보이지 보안 전문가가 되기 위한 심도 있는 지식이 아니다. TMI(Too Much Information)의 남발로 보안 강화를 위한 협업을 따분하게 만들어선 안 된다.

또한 핵심 비즈니스 목표 및 목적에 보안이 연계돼야 한다. 미국의 이동통신사 버라이즌(Verizon)의 연구 결과에 따르면 데이터 유출 사고의 85%는 과거 1년간 패치로 예방할 수 있는 취약점에서 나타났다. 이는 대부분의 보안 사고가 사전에 막을 수 있음에도 발생한다는 사실을 드러낸다. 실제 보안 전문가들은 제품과 서비스가 완성되고 난 이후가 아닌 기획되는 단계에서부터 보안을 고려하는 ‘보안 내재화(Security by Design)’가 조직에서 갖춰졌다면 지금까지 발생한 보안 사고의 대부분은 막을 수 있었을 것이라고 지적한다.

한 사례로 숏폼 영상 플랫폼 틱톡의 CSO (Chief Security Officer, 최고보안책임자)인 롤랜드 클라우티어(Roland Cloutier)는 매주 진행되는 회사의 전략적 의사결정 과정에 깊이 관여한다. 유저 규모 성장을 위한 전략부터 새로운 형태의 수익 창출, 음악 제품에 이르기까지 다양한 사업에 참여한다. 기존 보안 위험과 향후 발생할 수 있는 위험이 미치는 영향을 파악한 후 신제품 개발 과정에서 보안 및 개인정보 보호를 초기부터 반영하는 데 중점을 두는 것이다. 최고경영진이 보안 내재화의 중요성을 인지하고 CISO 역시 산업과 회사의 사업에 대한 높은 이해를 갖추고 있어야 가능한 일이다.

또한 비즈니스 파트너가 보안 부서가 제공하는 보안 서비스에 만족하는지 파악해야 한다. 새로운 보안 정책이 도입되거나 조정이 필요하다면 한 번에 급진적인 변화를 이루기보다는 단계적인 변화를 적용해 혼란을 줄여야 한다. 특히 파트너들의 만족도가 높은 서비스가 무엇인지를 사전에 조사할 필요도 있다.

2. 사이버 보안 인력 재검토

점점 더 교묘해지고 다양해지는 사이버 공격에 대응하려면 CISO는 다재다능하고 유능한 전문가가 필요하다. 고유한 강점을 가진 인재들을 모아 균형 있는 팀을 구성해야 한다. 다양한 분야의 경험과 역량을 갖추고 여러 역할을 해낼 수 있는 전문가의 지원이 필요하기도 하다. 문제는 오늘날 사이버 보안 실무에 필요한 역량의 폭이 점점 더 넓어지고 있다는 것이다. 프로그래밍 전문가는 물론 클라우드 전문가도 필요하고, 법률 전문가도 필요하다. 전문 지식을 갖추면서도 다른 부서와 원활하게 관계를 구축하는 소프트 스킬을 갖춘 인재가 요구된다.

037


물론 이런 팔방미인 인재는 보안 분야뿐만 아니라 어떤 분야에서도 쉽게 찾아볼 수 없다. 따라서 보안 관련 임원들과 보안 팀 내 구성원들 간의 균형이 중요하다. 사이버 보안 임원 유형을 분석하면 보안 인재 각자의 강점과 약점을 파악할 수 있다. (표 2) 해당 분석을 통해 자신에게 부족한 역량이 무엇인지 살펴보고 보완해야 한다. 보통 한국 기업의 경우 보안 전문가(Security Expert), 기술 만능주의자(Tech Advocate)는 어렵지 않게 찾아볼 수 있다. 그러나 위험 및 규제 전문가(Risk Advocate)나 비즈니스 이식자(Business Transplants)에 속하는 보안 임원은 흔치 않다. 국내에서 규제의 경우 법무 부서가 따로 존재해 책임이 분산될 수 있으나 비즈니스와의 통합을 책임지는 비즈니스 이식자 자질은 보안 임원들이 보완할 필요가 있다. 특히 보안 내재화를 위해서도 필수적이다. 보안 임원 유형에 대한 분석이지만 보안 부서를 구축할 때 어떤 인재가 필요한지 파악하는 차원으로 활용할 수도 있다.

3. 전방위적 네트워크 형성

팬데믹 이후 사이버 보안은 특정 사업이나 혹은 특정 부서만의 문제가 아니라 전사 차원의 문제가 됐다. CISO는 조직 내외에 존재하는 핵심 이해관계자와 전방위적인 네트워크를 구축하고 그 중심에서 보안 문제를 해결해야 한다. 첫 번째 이해관계자는 경영진이다. 경영에 참여해 예산 편성, 자원 배분뿐만 아니라 보고와 같은 소통 업무에도 집중해야 한다. 두 번째 이해관계자는 규제 및 정책 기관이다. 인증과 증명에 초점을 맞춰 규제에 대응해야 한다. 세 번째 이해관계자는 벤더와 공급 업체다. 이들과 함께 보안 기준을 높여야 한다. 솔라윈즈와 콜로니얼 파이프라인 사태는 디지털 세상과 현실 세상에서 사이버 공격이 어떻게 공급망을 따라 영향력을 행사하는지를 여실히 보여준 사례다. 함께 일하는 기업의 제품이 보안상 문제가 존재하는데 이를 미리 파악하지 못할 경우 자사에까지 막대한 피해가 이어질 수 있다. 반대로 자사가 공급하는 제품에서 보안 하자가 발견된다면 현재 거래하고 있는 기업뿐 아니라 업계 전체에서 이뤄지는 계약에 계속해서 치명적인 영향을 미칠 것이다. 마지막 이해관계자는 엔지니어, 제품 담당자와 고객이다. 인증과 지속적인 테스트로 보안을 내재화하고 개인정보 보호에 초점을 맞춰야 한다. 특히 최근에는 데이터 3법 개정 및 마이데이터 등 기업이 고객의 개인정보를 보호해야 할 의무가 사회적으로 더욱 강화됐다. 애플, 구글 등 빅테크 기업이 2021년 개인정보 보호 강화를 전면에 내세우며 고객들과 커뮤니케이션했다. 보안이 더 이상 뒷단에서 다뤄져야 할 문제가 아니며 고객들이 신뢰할 수 있는 제품을 선택하는 하나의 기준으로 자리 잡기 시작했다는 사실을 명심할 필요가 있다.

038


코로나19는 전 세계 기업과 CISO들에게 경종을 울렸다. CISO와 보안 부서는 기업을 사이버 공격으로부터 지키고, 기술 혁신과 새로운 성장 동력을 마련하는 데 핵심적인 역할을 수행해야 하는 도전을 받고 있다. 이번 위기로 CISO의 역할이 전략적으로 중요해진 것은 물론 사이버 보안의 취약점과 개선이 필요하다는 점도 부각됐다. CISO는 경영진과 신뢰를 기반으로 한 긴밀한 관계를 구축하면서 보안 내재화를 이루기 위한 노력을 가해야 한다. 단기간에 달성할 수 있는 목표는 아니다. 그러나 CISO가 보안 임원 유형 분석에 따라 스스로와 보안 부서에 필요한 역량을 강화하고 이해관계자들과의 접점을 양적으로, 질적으로 늘려 나간다면 보안 문제 역시 기업 내 전략적 투자 계획과 주요 의사결정에 속하게 될 것이다.


김상우 EY컨설팅 파트너•사이버 보안 리더 Sang-Woo.Kim@kr.ey.com
필자는 EY컨설팅 사이버보안 파트너. 보안 기업 및 글로벌 컨설팅 기업에서 사이버 보안 경력을 쌓은 후 런던대에서 정보 보호 석사 학위를 받았다. 2012년 EY컨설팅 합류 후 기업 고객사의 디지털 혁신, 글로벌 비즈니스 확장 등 다양한 사이버 보안 서비스를 제공하고 있다.
동아비즈니스리뷰 351호 Diversity in Talent Management 2022년 08월 Issue 2 목차보기