확장되는 위협과 규제 속, CISO의 10대 생존 원칙

사이버 위협의 증가부터 기업 내 리소스 및 보안의 역할에 대한 의문까지, 사이버 리더들은 오랫동안 지속되어 왔고 새롭게 떠오르는 몇 가지 주요 문제를 해결하기 위해 아젠다를 재구성하고 있다.

얼핏 보기에 CISO의 역할은 간단하다. 기업의 기술 스택을 보호하는 것이다. 하지만 CISO는 초창기에는 좁았던 업무 범위가 이제는 매우 다양한 책임으로 구성되어 있다는 것을 알고 있다.

각각의 업무가 모두 중요하지는 않을 것이다. 현재 CISO에게 가장 중요한 10가지 의제를 선별했다.
 

ⓒ Getty Images Bank

1. 엄청나게 확장된 위협 환경

비영리 사이버보안 교육 및 인증 기관인 ISC2의 CISO 존 프랑스는 공격의 정교함과 마찬가지로 기업을 겨냥한 위협의 양과 속도도 계속 증가하고 있다고 말했다.

또한 “지난 5년 동안 본 것 중 가장 어려운 위협 환경이다”라며 일반적인 기업 공격 표면이 확장되어 방어해야 할 환경이 훨씬 더 크고 복잡해졌다고 말했다.
증가하는 위협 환경과 확장되는 공격 표면, 이 두 가지의 조합으로 인해 CISO는 모든 나침반을 고려해야 하는 상황에 처했다.
 

2. 디지털 마찰 줄이고 표적 보호하기

CISO는 끊임없이 증가하는 위협에서 확장되는 환경을 보호해야 한다. 그 와중에 기업을 둘러싼 비즈니스 환경은 계속 변화한다.

회계 및 컨설팅 업체 BPM의 CISO 반디 하미디는 “신흥 기술은 가장 오래 지속되는 고질적인 문제이지만 변화의 속도는 점점 더 빨라지고 있다”라고 말했다.

또한 하미디는 CISO가 비즈니스의 성장과 발전에 도움이 되는 방식으로 이러한 급격한 변화에 맞서야 하며, 보안이 시장에서 비즈니스에 해를 끼치는 마찰을 가져와서는 안 된다고 말했다.

하미디는 “회사의 전반적인 리스크를 줄이는 데 집중해야 하지만, CISO의 결정이 회사의 사명, 동료의 생산성, 고객에 미치는 영향도 고려해야 한다”라고 설명했다.

현대적인 요구 사항을 충족하기 위해 CISO는 CIO와 협력해 빠르게 변화하는 정보를 기반으로 전략을 수립해야 한다. 채택과 적응을 조합해 잠재력을 수용하는 동시에 위험을 해결하는 방식을 찾아내야 한다.
 

3. 눈사태처럼 밀려드는 규제

업무에 적용되는 규제 목록이 길어지는 것도 문제다.

두들의 CISO이자 IT 거버넌스 협회인 ISACA의 이사회 이사인 니엘 하퍼는 이것을 “규제의 눈사태”라고 정의하며 최근 유럽에서 시행된 NIS2 지침과 EU의 디지털 운영 복원력 법(DORA)을 CISO가 준수해야 하는 법적 요구 사항의 두 가지 예로 들었다.

하퍼는 “규정 준수 요구 사항이 너무 많아서 시간을 상당히 차지한다”라고 강조했다. 그러나 양은 문제의 일부일 뿐이다. CISO은 서로 다르고 때로는 상충되는 요구 사항을 가진 무수한 규정과도 싸우고 있다. 또한 규제 목록은 대부분 지역마다 내용이 다르다.

ID 및 액세스 관리 시스템 제조업체 세일포인트(SailPoint)의 CISO 렉스 부스는 이것을 ‘규정의 부조화’라고 정의했다. 부스는 “많은 규제는 제품, 보유 데이터, 기업 자체의 보안이라는 거의 동일한 목표를 달성하려고 하지만, 그 목표를 추구하는 방식은 매우 다양하다. 각 방식이 늘 상충되지는 않지만 그다지 잘 조화되지 않는 것도 사실”이라는 고민을 털어놓았다.
 

4. 서드파티 및 공급망 위험

많은 CISO가 서드파티 및 공급망 위험을 오늘날 가장 큰 우려 사항으로 꼽았다.

에퀴팍스(Equifax)의 부사장이자 CISO인 자밀 파르쉬치는 “공급망 공급업체의 보안에 대한 통제력이 떨어지기 때문에 기업은 서드파티에 대한 공격에 취약하다. 해당 서드파티를 사용하는 기업에 당연히 영향을 미친다. 새로이 등장한 우려는 아니지만 기업은 더 많은 서드파티와 오픈소스 소프트웨어를 사용하고 있다는 것이 문제”라고 지적했다.

한편, 공격자는 공급망 공격으로 더 많은 성공을 거두고 있다. 따라서 공급망 보안은 CISO의 중요 의제로 떠오르고 있다. CISO는 위협에 대응하기 위해 공급업체와 소프트웨어의 구성 요소를 파악하는 데 더욱 중점을 두고 있다.
 

5. 기업 보안 책임 증가

2023년 미국 증권거래위원회(SEC)가 소프트웨어 회사인 솔라윈즈(SolarWinds)와 그 CISO였던 티모시 브라운을 사기 및 내부 통제 실패로 기소한 것은 모든 CISO가 당연히 주목한 사태였다. SEC가 CISO를 기소한 것은 처음이었기 때문이다.

최근 몇 년 동안 다른 CISO도 새로운 수준의 개인적 책임에 직면했다. 프랑스는 이로 인해 전문가가 최고 보안 책임자 역할을 맡을 때 감수해야 하는 위험이 더욱 높아졌다고 말했다.

그 결과, 이사 및 임원(D&O) 책임 보험에 가입하고 기업 내 권한이 현재 직면한 법적 및 규제적 책임 수준과 일치하도록 보장할 것을 요구하는 CISO가 늘어나고 있다.
 

6. 기업 내 AI 보안

CISO는 기업 내에서 사용되는 인공지능을 보호하기 위해 경쟁하고 있다. 동시에 기업의 기술 채택을 늦추지 않는 방식으로 노력하면서 다른 최고 경영진과 마찬가지로 인공지능과 경쟁하고 있다.

위험 관리 및 규정 준수 솔루션 제공업체 로직게이트(LogicGate)의 CISO 닉 캐스만은 “CISO이 AI를 이해하려고 노력하고 있지만, AI는 생각보다 빠르게 발전하고 있다”라고 지적했다.

메토믹(Metomic)의 2024년 CISO 설문조사에 따르면 설문조사에 참여한 CISO와 IT 보안 리더의 2/3가 보안 침해에 사용되는 기술의 위협이 생성형 AI에 대한 가장 큰 우려라고 답했다.

설문조사에 따르면 절반 이상의 CISO가 직원이 민감한 비즈니스 데이터를 대형 언어 모델(LLM)에 업로드하는 행위, 즉 “잠재적으로 기밀 비즈니스 정보와 지적 재산이 노출될 수 있는 행위”를 우려한다고 답했다.

하퍼는 CIO와 CISO가 강력한 AI 거버넌스 정책과 같은 전략을 사용해 보안과 신속한 AI 도입의 균형을 맞춰야 기업에 적합한 균형을 이룰 수 있다고 말했다.
 

7. AI 기반 위협으로부터 기업 보호하기

소매 및 접객 업체 ISAC의 CSO 팸 리더모언은 다른 많은 산업과 마찬가지로 소매 및 접객업에서도 “사기가 크게 증가하고 있다”라고 말했다.

사기 공격이 새로운 것은 아니지만, 리더모언은 “사기꾼이 진짜 같은 콘텐츠를 제작하는 데 사용하는 생성형 AI 도구 때문에 더욱 기승을 부리는 것”이라고 말했다. 일반적인 사기 형태로는 합법적인 여행 예약 웹사이트나 앱에 가짜 숙소를 게시하는 것을 예로 들 수 있다. AI가 생성한 텍스트와 이미지 덕분에 가짜 숙소도 진짜처럼 보인다.

다른 보안 리더도 해커가 AI를 더 강력한 공격에 활용하는 것에 대해 우려를 표했다.

파르쉬치는 “해커들은 기존 공격의 품질과 규모를 극대화하기 위해 AI를 사용하고 있다. 특히 소셜 엔지니어링은 AI의 도움을 많이 받고 있다. 스캐터드 스파이더는 소셜 엔지니어링과 헬프 데스크 에이전트를 사용해 여러 기업을 침해했지만, AI 음성 복제를 사용하면 이 공격을 훨씬 더 쉽게 실행할 수 있다. 가짜 CEO 메시지나 비즈니스 이메일 침해와 같은 기존 공격에 딥페이크가 추가되면(또는 사람들을 속여 AI 아바타로 회의에 참여하도록 유도하는 공격), 공격의 규모는 공격자에게 크게 유리해진다”라고 우려했다.

CISO는 공격자의 AI 사용에 대해 우려하고 있지만, 동시에 공격에 가장 효과적으로 대응하는 과정에서 AI를 활용할 전략을 수립하고 있다. 실제로 메토믹의 설문조사에 따르면 응답한 보안 리더의 4/5가 “새로운 AI 기반 보안 체계 및 위협에 대응하기 위해 AI 기반 도구를 구현할 계획”이라고 답했다.
 

8. 적절한 자원 확보

프랑스는 적절한 자원, 특히 인재와 예산 확보가 여전히 많은 CISO의 가장 큰 관심사라고 말했다.

2024 ISC2 사이버보안 인력 연구의 수치는 그 이유를 잘 보여준다. 수요를 충족하기에는 여전히 보안 인력이 너무 적기 때문이다.

실제로 ISC2는 2024년에 전 세계적으로 활동 중인 사이버보안 인력의 규모가 550만 명인 반면, 필요한 총 인력은 1,020만 명으로 부족 인력이 480만 명에 이를 것으로 추정하고 있다. 2024년 가용 인력과 수요 간의 격차는 작년보다 19% 더 커질 것으로 예상된다.

부즈 앨런 해밀턴의 CISO 아만다 코디도 같은 문제를 제기하며 “사이버보안은 결국 사람에 관한 문제다. CISO의 임무를 수행하려면 다양한 기술, 배경, 관점을 대표하는 팀을 유치하고 육성해야 한다”라고 말했다.

코디는 “이러한 인재를 찾는 것은 지속적이고 영구적이며 근본적인 문제이다. 스스로에게 물어봐야 한다. 올바른 역할에 적합한 인재가 올바른 업무를 수행하고 있는가? 인재를 육성하고 제대로 지원하고 있는가? 새로운 인재가 유입될 수 있는 강력한 파이프라인을 확보했는가? 인재 파이프라인을 구축하기 위해 기업 전반의 다양한 수준에서 보안 역할을 강화하는 것이 중요하다. 이것은 기업이 사이버보안을 진지하게 받아들이고 있고 적절히 투자하고 있음을 보여주기 위해 취할 수 있는 가장 큰 조치”라고 조언했다.
 

9. 기업 내 보안의 역할 및 위상 높이기

기업 전반에 걸쳐 진정성 있고 강력한 보안 문화를 구축하는 것은 오래 전에도 지금도 CISO가 가장 중요하게 생각하는 문제다.

관리형 보안 서비스 업체 레벨블루의 수석 에반젤리스트 테레사 라노위츠는 보안이 여전히 가장 큰 관심사로 남아 있는 이유는 많은 사람들이 보안을 자체 사일로에서 뒷전으로 치부하는 경우가 많기 때문이라고 말했다.

라노위츠는 “사이버보안은 여전히 기업의 일부가 아니다”라며 CTO, CIO, 혁신 팀이 프로젝트를 시작할 때 보안을 포함하지 않는 경우가 너무 많다고 설명했다. 또한 CEO, 이사회 및 기타 최고 경영진 중에서도 다수가 아직 보안을 비즈니스 지원 또는 회사 업무의 핵심으로 인식하지 않는다.

그러나 보안 설계 원칙과 데브섹옵스 관행을 채택하는 기업이 늘어나고, 더 많은 CISO가 다른 경영진과 동등한 입지를 확보함에 따라 상황은 개선될 전망이다.

라노위츠는 “보안을 단순한 기술적 문제가 아닌 비즈니스 요구 사항으로 보고 위에서 아래로 보안을 수용하는 기업이 늘어나고 있다”라고 진단했다.
 

10. 운영 우수성 달성하기

CISO는 항상 어렵고 복잡한 작업인 운영 우수성 달성을 위해 노력한다.

아만다 코디는 “사이버 보안 프로그램의 기본은 상당히 일정하게 유지되지만, 운영 및 데이터 보호에는 새로운 기술과 동적인 위협에 대한 지속적인 탐색이 수반된다”라고 말했다. 또한 “사이버보안 업데이트는 기존 시스템과 원활하게 통합되어야 하며, 이를 위해서는 운영 수준에서 보호하고 보호하려는 비즈니스 활동에 대한 깊은 이해가 필요하다. 사이버보안 팀은 따라잡는 것이 아니라 앞서 나가야 한다”라고 강조했다.
editor@itworld.co.kr