미국증권거래위원회(SEC)의 위험 관리 및 공개 규정은 부담스럽고 어려운 점이 많을 수 있다. 정보보안포럼(Information Security Forum)의 최고경영자인 스티브 더빈이 이러한 번거로움에 대처하기 위한 조언을 제공했다.
SEC가 2023년에 시행한 위험 관리, 전략, 거버넌스, 사고 공시에 관한 규정은 진화하는 사이버 보안 환경에서 상장 기업의 보안 리더들에게 새로운 과제를 제시하고 있다. 이 규정은 단순한 이해를 넘어 실제 적용과 관리에 이르기까지 다양한 측면에서 중요한 고려 사항을 다루고 있어, 기업들의 세심한 주의가 요구된다.
새로운 SEC 규정은 세 가지 주요 구성 요소로 나뉜다. 첫 번째 구성 요소는 언론의 주목을 가장 많이 받은 것으로 ‘중대한’ 사이버 보안 사고를 발견한 후 영업일 기준 4일 이내에 SEC에 보고해야 한다는 의무다.
한 가지 주목할 점은 ‘4일’이란 기간이 시작되는 시점이 사고를 처음 발견한 순간이 아니라는 것이다. 다시 말해 기업이 사고를 충분히 조사하고, 그 사고가 ‘중대하다’라고 판단한 시점부터 시작된다. 이는 SEC가 기업의 사고 조사 및 평가에 필요한 시간을 고려하고 있음을 보여준다.
그럼에도 불구하고 기본적으로 SEC는 상장 기업이 보안 사고 사건의 중대성을 판단할 수 있는 충분한 내부 정보를 적시에 확보할 것으로 기대하고 있다. 사건이 중대한 것으로 판단되면 기업은 바로 4일 이내에 8-K 양식을 통해 이를 보고해야 한다.
두 번째와 세 번째 구성 요소는 위험 관리 전략 및 거버넌스 관행에 대한 연례 공시와 관련이 있다. 이제 상장 기업은 연례 공시 보고서(10-K 양식)에 다음 사항을 공개해야 한다.
• 사이버 보안 위협을 평가, 식별 및 관리하기 위한 프로세스
• 위험 또는 이전의 사이버 보안 사고가 회사의 비즈니스 전략, 재무 상태 및 비즈니스 운영에 중대한 영향을 미쳤거나 영향을 미칠 가능성이 있는지 여부
• 사이버 보안 위험에 대한 이사회의 감독, 사이버 보안에 대한 이사회의 이전 경험과 전문성, 사이버 보안 위험 감독을 담당하는 위원회, 이사회가 사이버 보안 위험에 대한 정보를 받는 프로세스 및 관행
위의 공시는 투자자가 회사의 위험 프로필을 이해하고 정보에 입각한 투자 의사 결정을 내릴 수 있도록 충분히 상세하게 작성되어야 한다.
SEC 규정 준수를 추구하는 조직을 위한 5가지 권장 사항
1. 확립된 사이버 보안 프레임워크 활용
SOGP(standards of good practice for information security), NIST SP 800-53B 또는 ISO/IEC 27002:2022와 같은 거버넌스 프레임워크는 리스크 관리와 건전한 보안 거버넌스 전략의 기반이 될 것이다. 이러한 프레임워크는 다양한 위험을 식별하고, 통제, 절차 및 보안 격차를 문서화하며, 위험 노출 및 허용 수준을 결정하고, 조직의 사이버 보안 태세와 중대한 위협에 대한 복원력에 대한 전반적인 전략을 구축하기 위한 기초가 될 수 있다.
2. 올바른 리스크 관리 프로세스 도입
체계적이고 잘 문서화된 위험 관리 프로세스는 사이버 침해의 중대한 영향을 식별하고, 관련 문제를 효과적으로 억제 및 완화해준다. 또한 이는 SEC 보고 요건(S-K 아이템 106)을 준수하는 데 있어 핵심적인 역할을 한다.
각 식별된 위험에 대해서는 위험 설명, 재무적 영향, 위협 환경, 통제 효과성 등을 종합적으로 평가하고 지속적으로 모니터링해야 한다. 이를 통해 위험의 심각도와 우선순위를 정확히 판단하고, 그에 맞는 적절한 완화 전략을 수립할 수 있다. 체계적인 위험 관리 프로세스가 미비한 조직의 경우, IRAM2(Information Risk Assessment Methodology 2)와 같은 표준화된 도구를 활용하면 효과적인 위험 관리 체계를 구축하는 데 도움을 받을 수 있다.
3. 공급망 리스크 파악
SEC는 보안 사고의 중요성을 판단할 때, ‘사고가 발생한 시스템의 물리적 위치나 소유권’만 고려하지 않는다. 즉, 보안 사고가 기업 내부 시스템에서 발생했든, 외부 공급업체나 파트너의 시스템에서 발생했든 관계없이 동일한 기준으로 평가된다는 의미이다. 또한 SEC는 기업이 직접 관리하지 않는 외부 시스템(예: 클라우드 서비스, 외부 공급업체의 시스템)에서 발생한 사이버 보안 사고도 반드시 공개하라고 설명하고 있다.
SEC에 따르면, 기업이 서드파티 시스템에 대한 정보를 공개했다고 해서 법적 책임을 면제받는 것은 아니다. 따라서 기업은 SEC 규정 준수 의무를 적시에 이행할 수 있도록 서드파티와의 계약 체결 시, 사이버 보안 사고 발생 시 필요한 정보를 신속히 제공받을 수 있는 조항을 포함해야 한다.
4. 사고 대응 계획의 철저한 검증 및 실전 훈련
기업은 사이버 인시던트의 ‘중대한 영향’을 신속히 평가하고, 규정된 기한 내에 관련 당국과 효과적으로 소통할 수 있는 전담 인력과 체계적인 프로세스를 구축해야 한다.
사이버 인시던트 발생 시 법무, IT, 재무, 서드파티 등 다양한 부서와 외부 협력사가 협력해야 하는데, 평소 협업 경험이 부족할 경우 대응 과정에서 불필요한 혼란이 발생할 수 있다. 따라서 정기적인 모의 훈련을 통해 원활한 협력 체계를 구축하는 것이 필요하다.
5. 사이버 보안의 기본 원칙 재점검
사이버 보안에서는 항상 기본부터 점검하는 것이 현명하다. 무엇이 중대한 침해에 해당하는지 이해해야 한다. 상장 기업은 일반적으로 기업 활동이 미치는 큰 영향을 평가하는 데 능숙한 법무팀과 비즈니스팀을 보유하고 있다. 이들은 다양한 상황에서 기업의 핵심 이슈를 식별하고 그 영향을 분석한 경험이 풍부하므로, 사이버 보안 관련 사안의 중요성을 판단할 때도 이들의 전문성을 적극 활용하는 것이 바람직하다.
이사회와 경영진은 현행 사이버 보안 감독 체계를 철저히 검토하고 필요한 개선점을 파악해야 한다. 구체적으로, 이사회 회의에서 사이버 보안 문제를 심도 있게 논의할 충분한 시간을 확보하거나, 사이버 보안에 특화된 전담 위원회를 구성하는 방안을 고려해 볼 수 있다.
정기적인 기술 통제 평가를 실시하여 보안 장치의 효과성을 지속적으로 모니터링하고 개선해야 하는 것도 추천한다. 명확한 사고 대응 계획과 지휘 체계를 수립하여 팀이 긴급한 상황에서 허둥대지 않고 조율하고 협업할 수 있도록 해야 한다. 피해 영향을 줄이기 위한 적절한 재해 복구 도구와 계획을 마련해야 한다.
SEC의 사이버 보안 규정은 처음에는 복잡하고 부담스럽게 느껴질 수 있다. 그러나 기업이 체계적인 접근 방식을 취한다면 효과적으로 대응할 수 있다. 구체적으로, 검증된 보안 프레임워크를 도입하고, 철저한 위험 관리 프로토콜을 수립하며, 사고 대응과 재해 복구 계획의 우선순위를 명확히 설정함으로써 규제 요구사항을 충족할 수 있다. 이러한 접근 방식은 규정 준수에 대한 기업의 의지를 외부에 보여줄 뿐만 아니라 사이버 보안 복원력을 제공하고, 시장 가치 및 브랜드 평판을 높일 수 있다.
*필자 스티브 더빈(Steve Durbin)은 정보보안포럼(Information Security Forum, ISF)의 최고경영자다. ISF는 정보 보안 및 위험 관리 분야의 핵심 과제를 연구하고 해결책을 제시하는 독립 비영리 협회다. 더빈은 회원사들의 비즈니스 요구를 충족시키는 최선의 방법론, 프로세스, 솔루션 개발에 주력하고 있다. ISF 회원사에는 포춘 500대 기업과 포브스 2000대 기업이 포함되어 있다.
dl-ciokorea@foundryco.com
