시스코는 최근 가트너가 발표한 2023년 보안 트렌드 전망과 이것이 CISO에 어떤 의미를 가질 수 있는지에 대해 논의해 보았습니다. 주요 트렌드는 다음과 같습니다.
(1) 소비자 개인 정보 보호 규제 확대로 50억 명의 시민, 전 세계 GDP의 70% 이상을 커버하게 된다.
(2) 대부분의 기업은 단일 공급업체의 Security Service Edge (SSE- 보안 서비스 엣지) 플랫폼에서 웹, 클라우드 서비스 및 프라이빗 애플리케이션 액세스를 통합하는 전략을 채택할 것이다.
(3) 2025년까지 60%의 조직이 보안의 출발점으로 제로 트러스트(Zero Trust)를 채택하겠지만, 그중 절반 이상이 제로 트러스트의 혜택을 제대로 실현하지 못할 것이다.
(4) 2025년까지 60%의 조직이 써드 파티(Third party)와의 비즈니스 협력과 계약에 있어, 사이버 보안 위험을 주요 결정 요소로 고려할 것이다.
(5) 2025년까지 30%의 국가가 랜섬웨어 결제, 벌금 및 협상을 규제하는 법안을 통과시킬 것이다.
(6) 2025년까지 운영 기술(OT) 환경 무기화에 따른 인명 피해가 초래될 수 있다.
(7) 2025년까지 CEO의 70%가 ‘탄력적인 문화’를 조직의 생존을 위한 필수불가결한 요소로 여길 것이다.
(8) 2026년까지 C레벨 임원 50%의 계약서에 리스크와 관련된 성과 지표가 필수 항목으로 포함될 것이다.
이를 통해 내부 압력, 외부 변화 및 솔루션 도입과 같은 몇 가지 주제를 확인할 수 있습니다.
우선 CISO는 비즈니스 내부에서 발생할 수 있는 압력을 인식해야 합니다. C레벨 경영진의 고용 계약서에 리스크 관련 항목(8)이 포함되면, C레벨 경영진은 보안과 위험 관리에 좀 더 집중하게 되고, 이로 인해 CISO가 사이버 보안을 위한 제안을 하거나 위험을 줄이기 위한 이니셔티브를 진행하는데 있어 최고 경영진에게 더 많은 지원을 받을 수도 있습니다.
CEO가 ‘탄력적인 조직’을 위한 조직 문화 구축을 의무화하면(7), CISO는 보안 탄력성 측면에서 비즈니스 조직과 구성원들의 역할을 재정의하고, 사이버 보안 영역에서의 조직 문화 개편에 대해 목소리를 낼 수 있습니다. 이는 CISO들이 변화를 이끌어 갈 좋은 기회가 될 수 있습니다.
‘보안 위험’이 제3자와의 비즈니스 여부를 결정하는 평가 지표가 된다면, CISO가 고민하는 요소인 ‘제3자 의존성 이슈’가 전사적인 관심이 될 것입니다. 조직의 업무 경계는 이미 사라진 지 오래이며, 보안은 CISO의 소관을 넘어 전 조직으로 확장되었습니다. 타사 보안을 이해하고 협업할 수 있는 능력은 점점 더 중요한 요구사항이 될 것입니다. 이와 동시에 CISO들은 더 큰 부담을 안게 됩니다. 많은 CISO들이 이미 규정 준수 및 감사(compliance and audits)에 대한 보고의 의무가 있는데, 이는 비즈니스 파트너의 요청에 따라 더욱 늘어날 수 있습니다.
규정 준수 및 보고 관련해, 개인 정보 보호의 문제도 있습니다. 소비자 개인 정보 보호 규제는 대부분의 국가에 적용될 것으로 되며(1), 따라서 어느 범위까지 어떤 개인 정보가 보고되고 관리되는지에 대한 검토가 필요합니다. 많은 CISO는 이미 GDPR(General Data Protection Regulation, 개인정보보호 규정)과 같은 요구사항 때문에 이 문제를 대응하고 있습니다. CISO는 “그 데이터가 정말 필요합니까?”라는 질문을 자주 던지며, 개인 정보 보호를 긍정적으로 보고 있습니다. 왜냐하면 개인 정보 데이터를 줄일수록 보안이 필요한 불필요한 데이터의 저장을 줄일 수 있기 때문입니다.
공격과 거침없는 전술 변화에 따른 대응은 또 다른 트렌드입니다. 랜섬웨어에 대한 지불은 지불을 하는 법적 그리고 실질적인 측면에서 논쟁의 여지가 있습니다. 이에 대한 법률이 제정될 경우(5) 피해자의 의사결정을 위함보다 명확한 근거가 될 수 있고, 아마도 공격 억제의 효과도 있을 것입니다. 피해자가 돈을 지불할 수 없다면 왜 그들을 공격하겠습니까? 하지만 이것은 단지 희망 사항일 수도 있습니다. 부정적인 측면을 생각하자면, 공격자가 OT 환경에서 도구의 기능을 극단적인 방향으로까지(인명피해도 불사하는) 향상시킬 수 있습니다.(6) 현재 CISO의 집중 영역은 점차 전체 조직의 주요 관심사로 부각될 수 있습니다.
대다수의 조직이 보안의 출발점으로 제로 트러스트를 채택하고 있지만, 많은 조직이 그에 대한 긍정적인 효과를 누리지 못할 것입니다.(3) CISO들은 제로 트러스트를 성공시키는 것이 단지 기술뿐만이 아니라, 이를 실행하기 위한 조직적, 문화적 변화가 수반되어야 한다는 것을 깨닫고 있습니다. Cisco의 조사에 따르면 CISO는 웹, 클라우드 서비스 및 프라이빗 애플리케이션 액세스에 새로운 통합 기술의 도입을 모색하고 있습니다.(2) 이를 통해 기술 부채를 줄이고, 보다 원활한 운영 관리, 중앙 집중식 정책 제어 및 보다 나은 보고 체계가 가능해질 수 있습니다.
· 시스코 제로 트러스트 보안 : https://www.cisco.com/c/ko_kr/products/security/zero-trust.html
[참고자료]
· The Top 8 Cybersecurity Predictions for 2021-2022
· 2022 Leadership Vision for Security and Risk Management Leaders
* Cisco Security의 Advisory CISO인 Richard Archdeacon의 블로그 포스팅을 번역한 자료입니다.