PwC가 C-레벨 임원 1만 명을 대상으로 한 조사에 따르면, 사이버보안 위협에 대해 높은 수준의 경계 상태에서 기업을 운영하고 있지만 이러한 보안 계획에 이사진들이 동참한다는 답변은 45%로 집계됐다.
사이버보안 공격의 빈도, 강도, 영향이 심화되고 기업 운영, 재정, 명성에 주는 타격이 커져가면서, 기업 이사회도 이 문제에 더욱 적극적으로 대응하지 않을 수 없게 되었다. 그러나 PwC의 최근 조사결과에 따르면 이사회의 리스크 경감 전략 참여 정도는 아직까지 부족한 수준인 것으로 나타났다.
PwC의 글로벌 사이버보안 리더 데이빗 버그에 따르면 PwC 설문에 응답한 CEO, CFO, CIO를 비롯한 1만 명의 의사결정자들 중 45%가 기업 사이버보안 전략에 참여하고 있다고 응답하였으며 이는 지난해 설문조사 결과보다 3%포인트 가량 증가한 수치다. 그렇지만 이는 사이버보안 공격 문제의 심각성을 고려한다면 오히려 낮은 수치라고 버그는 지적했다. “적어도 75% 이상은 되어야 했다. 상호 연결된 비즈니스 생태 환경에서 나의 보안 수준은 보안 시스템에서 가장 취약한 곳의 보안 수준으로 결정된다”고 이번 설문조사 데이터를 수집한 버그는 말했다.
사이버 공격에 대한 이사회의 관심 증가
타깃, 홈디포 등 대기업들에서 보안 문제가 발생하면서 기업 자산을 지키는 것에 대한 중요성이 더욱 강조되고 있다. 특히 소니픽처스를 대상으로 한 공격에서는 부끄러운 내용의 이메일들까지 공개가 되면서 많은 기업들을 패닉 상태에 빠뜨리고 보안문제에 대한 이사회의 관심도 높아졌다. 공격 빈도도 더 잦아졌다.
PwC 응답자들에 따르면 사이버 공격 횟수는 전년대비 38% 증가했다. 그 결과 기업들은 사이버보안의 중요성에 대해 다시금 생각하게 되었으며 올 한해 관련 툴 및 프로세스에 770억 달러를 투자하였다. 가트너는 2020년이면 기업들이 사이버보안에 투자하는 금액이 1,700억 달러까지 늘어날 것이라 전망하기도 했다.
특히 IP주소를 활용하는 사물인터넷 기기 등 새로운 디지털 기술의 출현으로 공격에 취약한 부분이 더욱 늘어났으며 위험을 줄이기 위한 이사회의 더욱 적극적인 참여가 요구되는 시점이라고 버그는 설명했다. 기업에 따라서는 이사회가 테크놀로지 선택부터 프로세스 이행, 예산에까지 관여하기도 한다. 한 예로, 테크놀로지 지출에 대한 이사회의 관여는 2014년 7%에서 2015년 37%로 늘어났는데 이는 보안 툴에 대한 이사회의 참여도가 24%나 증가한 것에도 어느 정도 기여했을 것이라고 버그는 분석했다. 프라이버시 및 보안 리스크 리뷰에 대한 이사회 참여 역시 전년 대비 7% 증가한 32%였다.
사이버보안을 강화하다
이사회의 적극적인 참여 여부와는 별개로, 기업들은 암호화 강화 등 다양한 안전 조치를 취하고 있다.
신뢰받는 클라우드 기반 보안책들: 기업들은 클라우드 기반 데이터 보호, 프라이버시, 네트워크 보안, ID 관리 및 접근 권한 관리, 고급 인증 시스템, 실시간 모니터링 및 분석 툴에 많이 투자하고 있다. 설문조사 응답자의 69%가 클라우드 기반 보안 서비스를 이용 중이라 답했고 56%는 실시간 모니터링 및 분석을 가장 신뢰하는 보안 방책으로 꼽았다.
고급 인증 시스템(advanced authentication): 이제 다수의 은행 및 신용카드 업체에서 애플의 터치 ID 테크놀로지를 지원하고 있다. 덕분에 사용자들은 이제 지문 스캔 한 번으로 모바일 애플리케이션을 실행할 수 있게 됐다. 군인들을 대상으로 하는 보험 및 재정 서비스 전문 업체 USAA는 사용자의 얼굴 및 음성 인식과 지문 스캔을 이용해 모바일 앱에 접근할 수 있게 하는 방식을 채택하고 있다. 스타우드 호텔 & 리조트도 사전 등록한 게스트들에 한하여 따로 체크인 하지 않고도 객실 방문에 스마트폰이나 애플 워치를 갖다 대면 자동으로 방 문을 열 수 있는 서비스를 제공 중이다. 전체 업체의 91%가 전통적인 비밀번호 방식을 최신 테크놀로지를 이용한 고급 인증 방식으로 대체하고 있다고 답했다.
보안 프레임워크: ISO 27001과 미국 표준기술연구소(National Institute of Standards and Technology) 사이버보안 프레임워크와 같은 보안 프레임워크들이 리스크를 줄일 보안 기반을 찾는 기업들 사이에서 인정을 받고 있다. 이러한 프레임워크들은 리스크를 식별, 우선순위화 하고 기업의 사이버보안 성숙도를 평가하는 데 도움을 주며 커뮤니케이션을 더욱 원활하게 해준다. 캐나다 임페리얼 상업 은행에서는 프레임워크에 기반한 채점표를 만들어 보안 프로그램의 성숙도 평가에 활용하고 있다고 PwC는 보고서를 통해 밝혔다. 버그는 전체 기업의 91%가 리스크를 피하기 위해 보안 프레임워크를 도입하고 있었다고 말했다.
뭉치면 살고 흩어지면 죽는다: 조사에 응한 기업 중 56%가 서로 파트너 관계를 맺고 집단 방어 노력의 일환으로 위협 정보를 공유하고 있었다. 대부분 기관들에서는 다른 기관과의 협력을 통해 좀 더 실용적인 정보를 얻고 공유할 수 있다고 말했다.
정보 공유 및 분석 센터(ISACs, Information Sharing and Analysis Centers)도 이러한 기능을 수행하고 있었다. 올해 초 오바마 대통령이 공공기관과 민간기업들 간에 ISAO(Information Sharing and Analysis Organizations)를 통한 협조를 부탁하는 행정 명령을 발표하면서 정보 공유가 더욱 활발해 졌다고 버그는 전했다. ISAO는 ISAC보다 좀 더 유연한 정보 공유를 가능케 하기 위해 만들어진 기관이다.
“ISAO는 현재 시스템에 존재하는 구멍들을 메우고 궁극적으로는 국가 사이버보안 면역 체계에서 매우 중요한 역할을 하게 될 것이다”라고 버그는 말했다. 이어서 그는 PwC가 현재 백악관과 협력하여 ISAO의 개선 방향을 논하고 있다고 덧붙였다. dl-ciokorea@foundryco.com
