Embed Size (px)
Citation preview
미래에 대비한 강화 2014 IBM CISO 평가를 토대로 한 분석
IBM Center for Applied Insights ibm.com/ibmcai | ibmcai.com
사람들은 미래의 가능성이 무한하다고 말합니다.
그러나 정보 보안 책임자에게는 이 말이 끔찍하게
들릴 수도 있습니다. 이미 끊임없이 진화하는 여러
가지 위협으로부터 회사를 보호해야 하는 임무를
맡고 있는 정보 보안 책임자들은 이제 더욱 다양해진
공격 경로뿐 아니라 더욱 정교해진 공격 수법에도
대비해야 합니다.
이 연구 자료는 오늘날의 보안 책임자들이 염려하는
바와 다가오는 불확실성을 통제할 수 있는 방법을
구체적으로 설명합니다.
IBM Center for Applied Insights 1
IT 보안 담당자의 역할이 갈수록 힘들어지고 있습니다. 컴퓨팅 혁신의 가속화에 영향력 있고 괄목할만한 신기술의 등장이 맞물리면서 보안 책임자가 보호해야 할 범위도 넓어지고 있습니다. 모바일, 클라우드 및 빅데이터의 영향력을 둘러싼 관심이 높아짐에 따라 보안 책임자는 그에 상응하는 노력을 보안에 기울여야 합니다. 물론 IT 위험 관리, 규제 및 규정 준수, 효과적인 협업과 같은 기존의 과제도 등한시할 수 없습니다.
성공은 절대 보장되어 있지 않습니다. 올해에도 데이터 유출 혹은 정보 보안 사고 소식은 끊이지 않았습니다. 오늘날의 CISO가 밝히는 자사에 가해지는 다양한 위협에 집중적인 관심이 쏠리는 것도 그 때문입니다.
IBM Center for Applied Insights는 첫 번째 CISO 평가 시리즈인 2012년 CISO 평가에서 보안 책임자를 대응자(Responder), 보호자(Protector), 영향력자(Influencer)라는 세 가지 유형으로 나누고 각 유형의 특징을 탐구하기 시작했습니다. 1년 뒤 발간된 2013년 CISO 평가에서는 보안 책임자가 영향력자로 승격하는 데 실질적으로 도움이 될만한 과정을 소개하고 영향력자가 어떻게 보안 리더십의 새로운 기준으로 자리잡을 수 있는지 입증했습니다.
연구 내용
IBM Center for Applied Insights는 보안 책임자의 현재 상황과 미래 전망에 대한 이해를 돕기 위해 IBM Security와 공조하여 자사의 정보 보안을 책임지고 있는 138명의 보안 책임자(대부분 IT 및 LoB 담당 상무)와 심층 인터뷰를 실시했습니다. 다양한 조직 구조 때문에 보안 책임자의 직함이 모두 최고 정보 보안 책임자(CISO)는 아니었습니다. 인터뷰에 응한 보안 책임자의 기타 직함으로는 CIO, IT 보안 담당 부사장, 보안 책임자 등이 있었습니다. 인터뷰에 응한 기업 중 CISO를 직책을 둔 기업은 63%였으며 5개 국가의 다양한 산업에 종사하는 기업의 보안 책임자가 인터뷰에 참여했습니다.
본 2014년 CISO 평가에서는 보안 책임자의 현 상황을 되짚어보고 향후 3~5년 동안 보안 책임자가 가져야 할 바람직한 자세를 제시합니다. 보안 책임자는 진화의 주역입니다. 끔찍한 외부 공격과 기업의 필요사항을 고려하면 보안 책임자들이 위험 관리에 주력하는 비즈니스 리더십 역할도 자처하면서 보다 체계적이고 통합된 접근법을 취해야 합니다.
그렇다면 보안 책임자의 다음 진화 단계는 무엇일까? 이미 해야 할 일이 쌓여 있지만 보안 책임자가 더욱 철저히 준비하고 통찰력을 보완하려면 무엇을 해야 할까?
핵심 주제
1 변화한 여건 극복
2 외부 위협에 대한 깊은 고민
3 외부 협업의 필요성 증가
4 현재의 기술에 주력
5 정부 조치의 불확실성
2 미래에 대비한 강화: 2014 IBM CISO 평가를 토대로 한 분석
변화한 여건 극복
기업과 보안 책임자는 급격한 주변 여건의 변화를 겪고 있습니다. 실제로 82%의 응답자는 지난 3년간 보안에 대한 정의가 바뀌었다고 답했습니다. 오늘날의 기업은 단순히 자사의 보안 정책에 대한 세부사항을 다듬는 데 그치지 않고, 모든 비즈니스 접점에서 증가한 데이터, 기기, 사용자 필요사항, 그리고 보안의 전반적인 중요성을 감당할 수 있도록 전략을 전체적으로 재고합니다.
이와 같은 변화가 거듭되면서 CISO의 역할도 그에 상응하게 커졌습니다. 지난 몇 년간 다수의 보안 전문가들은 전략적 영향력자가 되기를 열망했지만 올해 응답자 중 61%만이 그와 같은 범주에 든다고 스스로를 평가했습니다. 또한 64%의 응답자는 기록으로 입증된 자사의 전사적 보안 전략의 완성도가 대단히 높다고 평가했습니다. 이러한 변화는 항상 깨어 있는 조직 내에서 보안 책임자의 역할이 성숙기에 접어들었다는 증거입니다.
막연히 보안 책임자의 권한이 확대되어야 한다는 것은 아닙니다. 보안 책임자는 더욱 다양해진 외부 위협을 통제하고 기업 전반의 높아진 기대치에 부응하는 데 자신의 영향력을 발휘해야 합니다. 더욱 다양해진 보호 대상(예: 클라우드, 모바일 등)과 새로운 보안 기술 역시 복잡성 가중의 원인으로 작용하고 있습니다. CISO는 더 이상 보안 기술 관리자만이 아니라 비즈니스 운영을 항상 염두에 둬야 하는 의사결정권자입니다. 보안 책임자는 모든 단계의 위험을 빈틈없이 관리하면서 기업이 지닌 더욱 포괄적인 목표를 위해 본인이 확보한 영향력을 행사해야 합니다.
더 많은 영향력과 지원 확보
그림 1. 더욱 까다로워진 외부 위협 문제를 해결하려면 이와 같은 성숙도 향상과 영향력 강화가 필요합니다.
영향력
보안 책임자가 자사에서
상당한 영향력을 갖고 있다는 데
전적으로 동의한다.
지난 3 년간 보안 책임자의 영향력이
눈에 띄게 커졌다.
필요한 조직적 지원을 받고 있다는
데 전적으로 동의한다.
전략 회의나 최고 경영진 회의에
분기마다 혹은 더 자주 참석한다.
다른 전략(주로 IT, 위험 및 운영
관련 전략)과 병행하여 보안 전략을
개발한다.
조직적 지원
내부 협력
IBM Center for Applied Insights 3
CISO의 관점: 까다로워진 과업에 맞게 높아진 위상
Broadridge Financial Solutions CISO Jonathan Klein 저
최근 몇 년 새에 CISO로서의 내 위상이 높아졌습니다. 실제로 나는 더 큰 영향력을 행사하고 최고 경영진이나 기타 고위 간부와 정기적으로 회의를 합니다. 그러나 정보 보안이 갈수록 복잡해지고 있기 때문에 여전히 많은 과제가 쌓여 있습니다. 따라서 내게도 그에 걸맞은 전반적인 책임과 역량이 필요합니다. Broadridge는 금융기관을 대상으로 다양한 기술과 처리 서비스를 제공하고 있습니다. 이를 위해 Broadridge는 기업 고객의 가장 소중한 자산인 고객 정보를 다룹니다.
기업이 오늘날 직면한 최대 난제 중 하나는 보안 기술을 적절한 비즈니스 프로세스와 통합하는 것입니다. 새로운 기술은 신종 보안 위협을 해결할 수는 있지만 비즈니스 프로세스와 적절히 통합하지 못하면 효율적이지 못합니다. Broadridge의 경영진과 상의하여 보안 및 위험과 관련한 고려사항을 비즈니스 결정 초기 단계에 반영하고 보안 기술로 Broadridge를 보호하는 한편, 비즈니스 프로세스와 정책에 맞게 보안 기술을 개선하는 것이 나의 역할입니다.
예를 들어, 빈틈이 없다고 여겨지는 여러 가지 데이터 표준이 존재합니다. 기업은 이와 같은 표준을 준수하면 보조 수단을 마련하지 않고서도 데이터 수명주기 내내 민감한 정보를 안전하게 지킬 수 있다고 과신하기 일쑤입니다. 다수의 대규모 데이터 유출 사고에서 증명되었듯이 이런 믿음은 위험하기 그지없습니다. Broadridge는 데이터 표준을 준수하는 일에만 급급하지 않고 자사가 처리하는 데이터를 보호하는 데 전력을 기울입니다.
IT의 소비자도 복잡성을 가중시킵니다. 더 이상 개인용과 전문가용 기기 및 애플리케이션의 구분이 명확하지 않습니다. 그로 인해 원래 비공개용으로 설계된 기술이 대중에게 공개되기도 합니다. 또한 이런 상황으로 말미암아 보안이 소비자에 의해 급속도로 보급되는 신기술을 따라가지 못하게 됩니다. 보안보다 새로운 기능에 더 큰 비중을 두다 보면 기업이 보안과 관련된 모든 잠재적 문제를 평가하면서 단시일 내에 신기술을 도입하기가 어려워집니다.
CISO의 역할이 미치는 영향력을 늘리는 최선의 접근법은 보안을 마지막에 보강해야 할 요소가 아니라 모든 것의 시작으로 여기는 자세입니다.
외부 위협에 대한 깊은 고민
APT(Advanced Persistent Threat), 범죄 조직, 정부의 지원을 받는 해커, 핵티비스트 및 기타 사이버 범죄자가 야기하는 문제를 고려했을 때 보안 책임자의 성숙도 향상과 영향력 강화는 필수적입니다. 이와 같은 위협이 워낙 거세다 보니 다수의 보안 책임자와 기업은 싸움에서 지고 있다고 생각합니다. 60%에 육박하는 보안 책임자는 공격자의 정교함이 기업 방어 체계의 정교함을 능가한다고 답했습니다. 80% 이상의 보안 책임자는 지난 3년간 외부 위협이 증가했다고 여기며 외부 위협을 가장 중요한 과제로 손꼽았습니다. 게다가 인터뷰에 참여한 보안 책임자 중 절반이 향후 3~5년간 외부 위협을 해소하려면 가장 조직적인 노력을 기울여야 한다고 답했듯이 보안 위협은 앞으로 더 거세질 전망입니다.
최우선 과제
그림 2. 보안 책임자는 가까운 미래에도 위험을 줄이는 데 힘쓰면서 외부 위협에 관심을 기울일 것입니다.
(지난
3년간
) 급격하게
증가한
것으로
보이는
과제의
비율
외부 위협
신기술
규제 및 표준
예산
역량 내부 위협
사기행위
(향후 3~5년간) 보안 위협을 해소하려면 가장 조직적인 노력을 기울여야 한다고 답한 비율
4 미래에 대비한 강화: 2014 IBM CISO 평가를 토대로 한 분석
CISO의 관점: 협업을 통한 보안 전략 개선
전 British American Tobacco IT 보안 총책 John Taylor 저
외부 협업은 보안 책임자가 업계의 관례를 관찰하고 협력하는 기업과 더불어 발전하면서 어디서 "좋은 일"이 일어나는지 보다 정확히 이해하는 데 도움이 됩니다. 또한 외부 협업은 자사의 환경에 활용할 수 있는 아이디어를 구체화하는 데도 효과적입니다. British American Tobacco는 다양한 공식적/비공식적 협업 방안을 이용하여 네트워킹을 효율적으로 운영했습니다.
British American Tobacco는 동종 업계에 종사하는 기업과 매우 긴밀한 협업 관계를 맺었으며, 협력업체와 파트너에 이어 정부와도 그 관계를 이어나갔습니다. 나는 토론을 이끌기 위해 국제 자문 위원회에 팀원을 파견하고 전문가를 초빙하는 한편, 가벼운 만찬이나 다과회에서 정보를 수집하기도 했습니다. 그 목적은 아이디어를 얻고 새로운 해결 과제나 위협으로 분류할만한 대상을 파악하는 것이었습니다. 약간 역설적으로 들릴지도 모르겠지만, 개인정보 보호와 데이터 보존이 갈수록 어려워질수록 더욱 안전해지는 방법은 오히려 이를 더 개방하는 것입니다.
그러나 어떤 단체에 합류하거나 어떤 단체를 발족하는 일에 대한 건전한 비판에도 귀 기울여야 합니다. 지나치게 많은 단체에 연루되다 보면 오히려 목적이 희석되고 가치가 떨어지기 때문입니다. 또한 더 효과적인 단체만 지원하고 잠재적 위험에 대한 거시적 시야를 가져야 합니다.
협업 관계를 개선하려면 일부 단체는 보안 전문가들로만 구성해야 하는 반면, 단체에 속한 기업, 협력업체, 그리고 파트너의 지원을 받아야 합니다. CIO는 보안 책임자 모임뿐 아니라 더 포괄적인 단체에도 속해야 합니다. 협업 관련 사안의 경우, 제조 산업에 종사하는 British American Tobacco가 더 많은 협업 경험이 있는 다른 산업의 사례를 지침으로 삼을 수 있습니다. 이를테면, 금융 부문은 전통적으로 대량의 개인정보와 금융 자산을 보호하기 위해 정보(특히, 위협 정보)를 공유하여 다른 업계가 탐낼만한 모델을 구현하는 데 능합니다.
오늘날의 광범위한 위협 여건을 감안하면 모든 것을 철저히 보호한다는 것은 불가능합니다. 다른 기업 역시 동일한 문제에 직면하기 마련이므로 동료의 의견을 들으면 가장 민감한 정보를 중심으로 기업의 전략을 개선하는 데 도움이 됩니다.
외부 협업의 필요성 증가
기업 정보 보안의 경계가 확장됨과 동시에 일부는 통합되고 일부는 사라지게 됨에 따라 보안 책임자는 자사가 아닌 비즈니스 생태계 전체를 보호해야 합니다. 오늘날의 세상에서는 고립을 통한 보호는 갈수록 현실성이 떨어집니다. 62%의 보안 책임자는 고객, 협력업체 및 파트너와의 빈번한 소통과 연결로 인해 자사의 위험 수준이 높아지고 있다는 데 전적으로 동의했습니다. 그러나 광범위한 연결을 통해 비즈니스 촉진을 모색하는 오늘날의 추세에도 불구하고 보안 책임자 스스로는 충분히 협업하고 있지 않습니다. 현재, 인터뷰에 응한 기업 중 42%만이 해당 산업의 공식 보안 단체에 가입해 있습니다. 그러나 86%의 보안 책임자는 향후 3~5년간 산업 보안 단체가 더욱 필요해질 것으로 전망했습니다.
위협 정보 공유
그림 3. 고객, 협력업체, 파트너와 더 긴밀한 연결로 인해 야기되는 위험을 줄이려면 "비즈니스 생태계 보호"에 중점을 둔 접근법이 필요합니다.
보안 솔루션
제공업체
정부 조직/
대행업체
동종 산업
종사자
협력업체
IBM Center for Applied Insights 5
현재의 기술에 주력
거의 절반의 응답자가 가장 시급한 세 가지 프로젝트 중 하나로 새로운 보안 기술 도입을 손꼽았습니다. 이 답변을 통해 보안 책임자들이 가장 크게 비중을 두는 분야는 새로운 보안 기술 도입으로 확인된 것입니다. 보안 책임자들은 그 분야 전문가답게 검증된 보안 기술에 능숙하다고 답했습니다. 70% 이상의 응답자가 네트워크 침입 방지, 고급 악성 코드 감지, 네트워크 취약점 검사와 관련된 방어 체제의 성숙도가 대단히 높다고 답했습니다.
그러나 데이터 유출 방지, 클라우드 및 모바일 보안과 같은 비교적 새로운 분야는 개선의 여지가 더 많은 것으로 확인되었습니다. 혁신이나 다른 접근법이 필요하다고 생각되는 분야를 묻는 질문에 각각 28%의 응답자가 이 분야에 대대적인 혁신이나 개선이 필요하다고 답했습니다.
• 데이터 - 72%의 보안 책임자는 실시간 보안 정보가 자사에 갈수록 더 중요한 영향을 미치고 있다고 답했습니다. 그러나 데이터 분류 및 탐색, 보안 정보 분석과 같은 분야는 상대적으로 성숙도가 낮고 개선이나 혁신의 필요성이 높습니다.
• 클라우드 - 클라우드 보안에 대한 우려가 여전히 크지만 클라우드는 점차 보편화되고 그 이용률도 늘고 있습니다. 86%의 응답자는 클라우드를 이미 도입했거나 클라우드 도입을 계획 중이라고 답했습니다. 75%의 보안 책임자가 향후 3~5년간 클라우드 보안 예산이 증가 또는 대폭 증가할 것으로 전망했습니다.
• 모바일 - 대다수의 보안 책임자가 효과적인 모바일 기기 관리 방식을 갖추고 있지 않다고 답했습니다. 기술 성숙도 측면에서 모바일 및 기기 보안 기술은 최하위에 그쳤습니다.
보안 기술 성숙도
그림 4. 보안 책임자들은 전통적인 보안 분야의 성숙도는 대단히 높은 반면, 분석, 클라우드 및 모바일과 같은 새로운 분야의 성숙도는 상대적으로 낮다고 생각합니다.
네트워크 침입 방지
고급 악성 코드 감지
네트워크 취약점 검사
데이터베이스 보안
전사적 신원 및 접근 관리
애플리케이션 보안용 SDL 도구
애플리케이션 검사
데이터 유출 방지
대체 인증 메커니즘
데이터 분류 및 탐색
클라우드 및 가상 환경 보안
보안 정보 분석
IT GRC 자동화 도구
모바일 및 장치 보안
75%의 보안 책임자가 향후 3~5 년간
클라우드 보안 예산이 증가 또는 대폭 증가할
것으로 예상했습니다.
효과적인 모바일 기기 관리 방식을 갖추고
있다고 답한 보안 책임자는 절반도 되지
않았습니다.
72%의 보안 책임자가 실시간 보안 정보가
자사에 갈수록 더 중요한 영향을 미친다고
답했습니다.
6 미래에 대비한 강화: 2014 IBM CISO 평가를 토대로 한 분석
절반을 조금 넘는 응답자가 빨라지는 보안 혁신 속도 때문에 보안의 필요사항을 적절히 해결하기 어렵다고 답했습니다. 현재의 시스템을 배치, 통합, 개선해야 하는 압박감에 시달리는 보안 전문가들에게는 기술 개발을 염두에 둘만한 여력이 거의 없습니다. 결과적으로, 절반 이상의 응답자는 미래에 대비하여 현재 존재하는 기술 외에 추가로 보안 기술을 도입하는 방안을 계획하지 못하고 있습니다. 이에 해당하는 보안 책임자들은 현재의 보안 기술에 중점을 두고 있습니다.
정부 조치의 불확실성
규제, 표준 및 규정 준수는 모든 보안 및 위험 관리 책임자가 정기적으로 해결해야 하는 사안입니다. 응답자들에 따르면 이런 분야는 앞으로도 중요한 사안이지만 구체적인 해결 방안은 상당히 불확실합니다.
규제와 표준이 국가마다 다르고 끊임없이 바뀌기 때문에 이 분야에 대한 기업의 견해는 지역별로 차이가 있습니다. 다국적 기업의 경우, 규제의 다양성으로 인해 훨씬 더 복잡한 문제가 발생합니다.
CISO의 관점: 복잡성 최소화로 법률 및 개인정보 보호정책 과제 해결
MAXIMUS 보안 및 감리 담당 부사장 Jamie Giroux 저
보안의 복잡성은 계속 가중됩니다. 다시 말해서, 미래의 보안 책임자는 프로세스를 간소화하는 데 관심을 기울여야 합니다. 따라서 보안의 기술 담당자와 법률 및 개인정보 보호정책 담당자간의 긴밀한 소통이나 완전한 통합이 반드시 필요합니다. 그와 관련된 모든 것, 즉 법률, 개인정보 보호정책, 계약, 협상 및 각 부분의 조율 내용을 알지 못하면 시스템을 제대로 지킬 수 없습니다.
시장과 법적 측면의 발전 양상을 다각도로 분석하면 미래의 보안 책임자에게 도움이 될 수 있습니다. 타사들로부터 제공 받는 서비스와 제품의 호환성이 우수하면 보안 양상을 객관적으로 살펴보고 실제 위험을 철저히 파악할 수 있는 단일 창구가 확보됩니다. 프론트 엔드에서 공격 위치를 파악하는 일도 중요하지만 서버나 데스크탑으로 이어지는 공격 경로를 추적하는 것이 더 유용합니다. 수십 개의 대시보드와 도구 세트가 연동하지 않는 경우 공격 경로를 추적하기 어렵습니다.
그러나 많은 기회가 법률입안자의 손에 달려 있습니다. 미국의 최대 단점 중 하나는 일련의 보안 기준을 수립한 국가에서 공통적으로 볼 수 있는 국가 표준이 마련되어 있지 않다는 점입니다. 모든 주의 여러 산업에서 비즈니스를 수행하는 MAXIMUS와 같은 기업의 경우, 여러 가지 규제가 상충하기 일쑤입니다.
보안 책임자가 정보 보안의 미래를 좌우하기도 하지만, 적절한 법안의 존재 여부도 그에 못지않게 중요합니다. 어떤 비즈니스 및 법률 요건이 등장하든 보안 책임자는 최대한 단순한 방법으로 이를 충족할 수 있는 기술을 확보해야 합니다.
IBM Center for Applied Insights 7
위치에 관계 없이 다음과 같은 몇 가지 보편적인 문제가 존재합니다. 정부가 장애물이 될 것인가, 아니면 도움이 될 것인가? 미래에 어느 정도의 협업과 투명성이 확보될 것인가? 개인정보 보호와 늘어나는 보안 요건의 균형을 어떻게 유지할 것인가?
• 3/4 이상의 응답자(79%)는 지난 3년간 정부 규제와 산업 표준으로 인한 문제가 늘었다고 답했습니다.
• 규제와 표준은 외부 위협 다음으로 해결하는 데 가장 조직적인 노력을 필요로 하는 분야였습니다.
• 60%의 응답자가 정부가 국가적 혹은 국제적 차원에서 보안 관리 구조를 다룰지 여부와 그 과정의 투명성이 불확실하다고 답했습니다.
• 향후 3~5년 내에 국제적 차원의 사이버 범죄 근절 정책이 합의를 거쳐 마련될 것으로 생각하는 응답자는 22%에 불과했습니다.
미래에 대비한 강화
그렇다면 보안 책임자는 이런 문제를 어떻게 해결할 수 있을까? 어떻게 하면 보안 책임자가 비즈니스를 저해할만한 조치를 피할 수 있을까? 보안 책임자가 기업의 미래에 대비하기 위해 무엇을 할 수 있을까? 보안 책임자는 다음과 같은 네 가지 조치를 취할 수 있습니다.
클라우드, 모바일 및 데이터 보안 강화
기존의 보안 기술을 사용하는 기업과 보다 새로운 분야에 전력을 기울이는 기업 사이에는 성숙도 격차가 존재합니다. 보다 새로운 분야에 집중하는 데 필요한 자원을 확보하려면 위임, 자동화 또는 외주를 추진하기에 충분한 성숙도에 올라 있는지 검토해봐야 합니다.
• 기업은 클라우드를 전사적으로 도입하고 이를 지키는 데 중요 자원을 투입하고 있습니다. 클라우드에 관해 우려되는 부분도 있긴 하지만 오늘날의 비즈니스에서는 피할 수 없는 일입니다. 기업은 위험 부담을 최소화한 채 클라우드의 잠재력을 최대한 활용해야 합니다.
• 모바일 기기 보안은 일반적으로 뒤떨어져 있습니다. 더 많은 기기가 연결되고 "IoT(Internet of Things)"의 잠재력이 실현되면 모바일 기기의 보안 문제가 심화되기 마련입니다. 따라서 모바일 보안 역량을 강화하는 데 주력해야 합니다.
• 기업에서 생성되는 데이터의 양이 갈수록 늘고 있는데 이와 같은 상황에 압도되지 말고 가장 중요한 자산을 지키는 데 관심을 기울여야 합니다. 새로 등장하는 외부 위협을 통제하려면 실시간 보안 정보 수집 및 분석 기술을 보완해야 합니다.
8 미래에 대비한 강화: 2014 IBM CISO 평가를 토대로 한 분석
교육 및 리더십 역량 개선
향후 3~5년간 어떤 역량이 필요할 것으로 예상되는지 묻는 질문에 보안 책임자들은 직원을 대상으로 한 훈련과 교육을 실시하고 리더의 역할을 강화하는 것이 가장 중요하다고 답했습니다. 보안 책임자는 늘고 있는 영향력에 걸맞은 역할을 수행해야 하므로 핵심적인 비즈니스 역량과 더불어 기술 지식을 보완해야 합니다.
조직 외부와 소통
보안 책임자는 고객, 협력업체 및 파트너와의 소통으로 인해 위험 수준이 높아질 것이란 보편적 예상을 염두에 두고 자사뿐 아니라 비즈니스 생태계 전체를 보호할 최선의 방안을 찾아내야 합니다. 보안 책임자는 서로의 보안을 명확히 평가할 수 있는 방안과 비즈니스 생태계와 보다 포괄적인 생태계에 최적의 신뢰 관계를 구축할 수 있는 방안을 모색하는 데 전력을 기울여야 합니다. 정보 보안 위험을 평가하고 수치화할 수 있는 표준화된 방법이 향후 3~5년 내에 자사에서 널리 사용될 것이라고 답한 응답자가 14%에 불과했던 점을 고려하면 이와 같은 요건은 특히 중요합니다. 한편, 좋은 아이디어를 얻을 중요한 소통 경로로 산업 단체를 활용해야 합니다.
다양한 정부 시나리오에 대비
사이버 보안과 관련해서 정부가 어떤 조치를 취할지 불확실하므로 다양한 가능성에 대비한 계획을 세워둬야 합니다. 기업에 직접적으로 도움이 될만한 보다 높은 보안 기준과 지침을 제정할 가능성도 있겠지만 그런 상황에만 의존해서는 안 됩니다.
최고 개인정보 보호 책임자(CPO) 및 법무 자문위원과 주기적으로 대화를 갖고 어떤 요건이 새로 부각될 것인지 보다 철저히 파악해야 합니다. 72%의 응답자는 비즈니스 경영진과 고객 개인정보 보호정책에 대해 상의하는 경우가 늘고 있다고 답했지만 CPO를 최상위 전략적 파트너(최대 3명)로 꼽는 보안 책임자는 9%에 불과했습니다. 또한 단 14%만이 법무 자문위원을 최상위 전략적 파트너(최대 3명)로 손꼽았습니다. 보안 책임자는 보안 분야 외부의 인력으로부터 조언을 얻는 포괄적 접근법을 취할 필요가 있습니다.
더욱 영향력 있는 미래
정보 보안의 위험 때문에 기업 보호 임무를 맡고 있는 인력이 갈수록 큰 어려움을 겪을 것은 분명합니다. 그러나 CISO는 미래를 정복할 수 없는 과제가 아니라 보안 책임자의 기여도를 높일 기회로 여겨야 합니다. 지난 10년간 잇따른 위협은 보안 책임자를 오히려 단련시켰고, 보안 책임자는 자사의 선장이 되어 극심한 위험이라는 끈질긴 태풍을 뚫을 수 있는 더 수준 높은 전문가로 성장했습니다. 따라서 비즈니스의 위험을 이해하고 이를 해결할 수 있는 적합한 조치를 취함으로써 비즈니스가 발전하는 데 필요한 환경을 구현할 수 있습니다.
클라우드, 모바일 및 데이터 보안 강화
보안 책임자는 문제를 해결할 미래의 기술이
등장하기만을 기다리지 말고, 격차를 줄일 수 있는
현재의 보안 기술을 구축하는 데 주력해야 합니다.
보안 책임자는 지금부터 기업의 미래에
대비하기 위해 여러 가지 조치를 취할 수
있습니다.
외부 협업 강화
보안 책임자는 신뢰 관계를 구축하고 비즈니스
생태계를 명확히 평가할 수 있는 방안을 모색하는 데
전력을 기울여야 합니다.
교육 및 리더십 역량 개선
기술 역량은 앞으로도 중요하겠지만, 보안 책임자의
영향력이 커지면 전반적인 비즈니스 역량을 갖추는
것이 더욱 중요해질 것입니다.
다양한 정부 시나리오에 대비
보안 책임자는 최고 개인정보 보호 책임자(CPO) 및
법무 자문위원과 주기적으로 대화를 갖고 어떤 요건이
새로 부각될 것인지 보다 철저히 파악해야 합니다.
저자 소개
Marc van Zadelhoff는 IBM 보안 시스템의 글로벌 전략, 마케팅 및 제품 관리 담당 부사장입니다. 그는 IT 및 보안 분야의 전략, 벤처 자금, 비즈니스 개발 및 마케팅에서 20년 넘게 경력을 쌓았습니다. 그는 전 세계 고객과 일하면서 보안 전략에 대해 조언하고 고객의 필요사항을 충족할 수 있는 새로운 기술을 개발하고 있습니다. 또한 그는 IBM에 보안 포트폴리오에 대해 조언하는 25명의 고위 CISO로 구성된 IBM 보안 자문 위원회(IBM Security Board of Advisors)도 운영하고 있습니다. 그는 2007년에 IBM에 매각된 네덜란드 Consul의 임원진을 역임하기도 했습니다. 궁금한 점이 있으시면 LinkedIn과 [email protected]으로 연락하십시오.
Kristin Lovejoy는 IBM 보안 서비스 사업부 총책으로서 관리형 및 전문 보안 서비스를 개발하여 전 세계 IBM 고객에게 제공하는 일을 총괄하고 있습니다. 그 전에 그녀는 IBM의 기업 보안 및 복구 기능을 전사적으로 관리, 모니터링 및 테스트하는 업무를 책임지는 정보 기술 위험 및 글로벌 CIOS 담당 IBM 부사장을 역임하기도 했습니다. 현재 그녀는 외부 위원회 및 자문단의 위원을 맡고 있습니다. 그녀는 CNBC, NPR, WTOP에 출연하는 등 보안, 위험, 규정 준수 및 관리 구조 분야의 전문가로 인정 받고 있습니다. 궁금한 점이 있으시면 LinkedIn과 [email protected]으로 연락하십시오.
David Jarvis는 IBM Center for Applied Insights의 연구팀 및 일정 관리를 담당하고 있습니다. 그는 새로운 전략적 비즈니스 및 기술 분야의 전문가입니다. 그는 2012~2014 IBM CISO 평가를 비롯해서 다수의 IBM 연구 자료를 공동 집필하기도 했습니다. 그는 연구 업무 외에도 비즈니스 예측과 창의적 문제 해결 방법에 관한 강의도 하고 있습니다. 궁금한 점이 있으시면 LinkedIn과 [email protected]으로 연락하십시오.
도움 주신 분들
Walker Harrison Tanya Dhamija Yana Krasnitskaya Ellen Cornillon Sue Ann Wright
© Copyright IBM Corporation 2014 IBM Corporation New Orchard Road Armonk, NY 10504 Produced in the United States of America December 2014 IBM, IBM 로고 및 ibm.com은 미국 또는 기타 국가에서 사용되는 International Business Machines Corporation의 상표입니다. 이와 함께 기타 IBM 상표가 기재된 용어가 상표 기호(® 또는 ™)와 함께 이 정보에 처음 표시된 경우, 이와 같은 기호는 이 정보를 발행할 때 미국에서 IBM이 소유한 등록상표 또는 일반 법적 상표입니다. 또한 이러한 상표는 기타 국가에서 등록상표 또는 일반 법적 상표입니다. 기타 제품, 회사 및 서비스 이름은 타사의 상표 또는 서비스표입니다. 현재 IBM 상표 목록은 웹 "저작권 및 상표 정보" (ibm.com/legal/copytrade.shtml)에 있습니다. 본 문서는 발행일 기준으로 최신이고 IBM은 이를 통지없이 변경할 수 있습니다. 본 문서에서 언급된 모든 오퍼링이 IBM이 영업하고 있는 모든 국가에서 제공된다는 것을 의미하지는 않습니다. 본 문서의 정보는 상품성, 특정 목적에의 적합성에 대한 보증 및 타인의 권리 비침해에 대한 보증이나 조건을 포함하여 명시적이든 묵시적이든 일체의 보증 없이 "현상태대로" 제공됩니다. IBM 제품에 대한 보증은 제품의 준거 계약 조항에 의거하여 제공됩니다.
Please Recycle
IBM Center for Applied Insights 소개
ibm.com/ibmcai | ibmcai.com
IBM Center for Applied Insights는 새로운 방식의 사고와 업무, 리더십을 선보이고 있습니다. 또한, 증거에 입각한 연구 조사를 통해 비즈니스 리더들에게 실용적인 지침과 변혁의 사례를 제시하고 있습니다.
WGL03061-USEN-00
