Home > 전체기사

전 세계 CISO들, 사람 중심의 사이버 보안 설계 채택한다

  |  입력 : 2023-03-29 09:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
가트너, 사이버 보안 8대 주요 전망 발표
사람 중심 설계, 제로 트러스트 구현, 사이버 위험 정량화 필요


[보안뉴스 원병철 기자] 전 세계 정보보안책임자(Chief Information Security Officer, CISO) 중 절반 가까이가 사이버 보안 운영 마찰을 줄이기 위해 사람 중심 설계를 채택할 것이라는 결과가 나왔다. 또한 대기업은 제로 트러스트 프로그램 구현에 집중할 것이며, 사이버 보안 리더의 절반이 사이버 위험 정량화를 사용해 의사 결정을 내리는 데 실패하는 경험을 하게 될 것이다.

[이미지=utoimage]


지난 3월 28일(현지 시간) 시드니에서 열린 가트너 보안 및 위험 관리 서밋 (Gartner Security & Risk Management Summit)의 오프닝 기조연설에서 가트너의 시니어 디렉터 애널리스트인 리차드 애디스콧(Richard Addiscott)과 가트너 어드바이저리의 시니어 디렉터인 리사 노이바우어(Lisa Neubauer)가 디지털 시대에 보안 및 위험 관리 리더의 성공에 도움을 줄 수 있는 주요 전망을 발표했다.

애디스콧은 “CISO와 그 팀이 조직의 보안을 최대한 유지하기 위해 현재 일어나고 있는 일에 집중해야 한다는 건 의심의 여지가 없는 부분”이라며, “그러나 일상적인 과제에서 벗어나 향후 몇 년 동안 보안 프로그램에 영향을 미칠 수 있는 일이 무엇인지 살필 시간을 가져야 한다”고 강조했다. 이어 “가트너의 전망은 앞으로 등장할 몇 가지 사항에 대한 신호탄이며 효과적이고 지속 가능한 사이버 보안 프로그램을 구축하고자 하는 모든 CISO가 고려해야 할 사항”이라고 덧붙였다.

가트너는 사이버 보안 리더들이 향후 2년간의 보안 전략에 다음과 같은 전략적 계획 가정을 수립해야 한다고 밝혔다.

①2027년까지 CISO의 50%는 운영상의 마찰을 최소화하고 제어를 극대화하기 위해 사이버 보안 프로그램에 사람 중심 설계 방식을 공식적으로 채택할 것이다.
가트너의 조사에 따르면, 업무 중 위험한 행동들을 했다고 인정한 직원의 90% 이상이 자신의 행동이 조직에 리스크를 증가시킬 수 있다는 점을 알고 있었음에도 그렇게 행동했다고 답했다. 사람 중심의 보안 설계는 제어 설계 및 구현 모델링 시 기술, 위협 또는 위치가 아닌 개인을 중심으로 하여 마찰을 최소화한다.

②2024년까지 최신 개인정보 보호 규제는 대부분의 소비자 데이터를 포함할 전망이다. 그러나 개인정보 보호를 경쟁 우위 선점을 위한 무기로 활용하는 데 성공한 조직은 10%가 채 안될 것이다.
기업들은 개인정보 보호 프로그램을 통해 데이터를 더욱 광범위하게 사용하고 경쟁사와 차별화하며, 고객, 파트너, 투자자 및 규제 기관과 신뢰 관계를 구축할 수 있다는 사실을 인지하기 시작했다. 점점 더 경쟁이 치열해지는 시장에서 기업을 차별화하고 끊임없이 성장시키려면, 보안 리더들은 GDPR에 따라 포괄적인 개인정보 보호 표준을 시행해야 한다.

③2026년까지 대기업의 10%가 포괄적이고 성숙하며 측정 가능한 제로 트러스트 프로그램을 갖출 전망이다. 이는 현재 1%에서 크게 증가한 수치다.
성숙하고 광범위하게 배포된 제로 트러스트 구현은 여러 다른 구성 요소의 통합 및 배열을 필요로 하기 때문에 상당히 기술적이고 복잡할 수 있다. 성공 여부는 비즈니스 가치로 전환할 수 있는지에 의해 크게 좌우된다. 소규모로 시작하면 끊임없이 진화하는 제로 트러스트 사고방식을 통해 프로그램의 이점을 더 쉽게 파악하고 복잡성을 단계적으로 관리할 수 있다.

④2027년까지 직원의 75%가 IT 가시성 밖에서 기술을 획득, 변경 및 개발할 것이다. 이는 2022년 41%에서 증가한 수치다.
CISO의 역할과 책임 범위는 통제책임자(Control Owner)에서 리스크 결정 조력자(Risk Decision Facilitator)로 변화하고 있다. 사이버 보안 운영 모델을 재구성하는 것이 다가올 변화의 핵심이다. 기술과 자동화를 넘어 직원과 깊이 소통하여 의사 결정에 영향을 미치고 직원들이 적절하게 행동할 수 있도록 적합한 지식을 갖추게 해야 한다.

⑤2025년까지 사이버 보안 리더의 50%가 사이버 위험을 정량화함으로써 기업의 의사결정을 주도하려고 시도했으나 실패할 것이다.
가트너에 따르면 사이버 위험 정량화를 도입한 기업 중 62%가 신뢰도 및 사이버 위험 인식 등 약간의 이익을 얻었다. 그러나 위험 감소, 비용 절감, 실질적인 의사 결정 영향력 등 실행 기반의 성과를 달성한 기업은 36%에 불과했다. 보안 리더는 자기 주도적인 분석을 통해 비즈니스의 관심을 끌기 위해 설득하는 대신, 의사 결정권자가 요구하는 정량화에 역량을 집중해야 한다.

⑥2025년까지 절반에 가까운 사이버 보안 리더들이 직업을 바꿀 것이며, 25%는 전적으로 업무 관련 스트레스로 인해 다른 직무로 전환할 것이다.
팬데믹과 업계 전반의 인력 부족으로 인해 사이버 보안 전문가의 업무 스트레스 요인이 증가하고 있으며, 지속적인 업무가 불가능한 수준에 이르렀다. 스트레스를 완전히 없애는 것은 현실적으로 어렵지만 그들이 지원을 받을 수 있는 문화를 갖춘다면 도전적이고 스트레스가 많은 업무를 관리할 수 있을 것이다. 문화적 변화를 촉진하는 데는 참여 방식의 변경이 도움이 될 것이다.

⑦2026년까지 70%의 이사회에 사이버 보안 전문성을 갖춘 이사가 1명 이상 포함될 것이다.
사이버 보안 리더가 비즈니스 파트너로 인정받기 위해서는 이사회와 기업이 어떤 리스크에 관심을 가지는지 알아야 한다. 이는 사이버 보안 프로그램이 불리한 상황이 발생하지 않도록 방지하는 방법 뿐만 아니라 기업의 효과적인 위험 감수 능력 향상 방법 또한 보여줘야 한다는 뜻이다. CISO는 변화에 앞서 이사회에 사이버 보안을 촉진 및 지원하고 긴밀한 관계를 구축하여 신뢰와 지원을 개선해야 한다.

⑧2026년까지 위협 탐지, 조사 및 대응(TDIR) 기능의 60% 이상이 탐지된 위협의 유효성 검증 및 우선순위 지정을 위해 노출 관리 데이터를 활용할 것이다. 이는 현재 5% 미만에서 증가한 수치다.
SaaS 및 클라우드 애플리케이션 사용과 연결성 증가 등으로 인해 조직의 공격 표면이 확장됨에 따라, 기업은 위협과 노출을 지속적으로 모니터링할 수 있는 더 광범위한 가시성과 및 중앙 집중화된 장소를 필요로 한다. TDIR(Threat Detection, Investigation, and Response) 기능은 탐지, 조사, 대응을 관리할 수 있는 통합 플랫폼 또는 플랫폼 에코시스템을 제공하여 보안 운영 팀이 위험과 잠재적 영향을 완벽하게 파악할 수 있도록 한다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)