기술 업그레이드, 보안 교육, 비즈니스 이니셔티브를 지원하기 위한 보안 예산이 부족하면 비즈니스가 공격에 더 취약해진다는 조사 결과가 발표됐다.

보안 시각화 업체 스플렁크가 유럽, 미국, 호주, 일본에 있는 600명의 CISO를 대상으로 실시한 설문 조사에 따르면, 이사회와 보안 책임자 사이에 언어와 우선순위의 차이가 존재하는 것으로 나타났다. CISO는 보안 이니셔티브의 비즈니스 가치를 입증하면서 지출을 통제하고 기능을 아웃소싱해야 한다는 압박을 받고 있다.

설문 조사에 따르면, 직원 교육 및 연기된 기술 업그레이드와 같은 일부 영역을 축소하는 것이 다른 영역보다 실질적인 보안 사고로 이어질 가능성이 더 높다. 이러한 조사 결과는 CISO가 이사회에서 제안된 삭감에 반대할 때 설득력 있는 근거가 된다.

사이버 위협이 전례 없는 속도로 진화함에 따라 필수적인 기술 업그레이드를 지연하면 기업에 심각한 영향을 미칠 수 있다. 최신 기술은 보안 기능을 강화하고 최근에 확인된 문제를 직접 해결하기 위해 도입된다.

스플렁크 대변인 커스티 페인은 CSO와의 인터뷰에서 “구식 시스템은 클라우드로의 전환과 같이 보다 정교한 기능을 제공하는 새로운 기능이 부족하다. 새로운 보안 기능이 없으면 정보를 클라우드로 이동할 때 취약점이 발생할 수 있다”라고 말했다.

기술 업그레이드를 연기하면 기업이 구식 레거시 시스템에 의존하게 되어 보안 부채가 증가할 수 있다.

응답자들은 가장 일반적인 비용 절감 조치인 업그레이드 연기가 62%의 경우 보안 침해를 초래한다고 답했다.

보안 교육 축소

예산이 삭감되면 많은 기업이 교육 프로그램을 축소하거나 완전히 없애야 한다는 압박을 느끼고, 직원이 잠재적인 위협을 식별할 준비를 하지 못한 채로 남겨진다.

소프트웨어나 인프라의 잘못된 설정과 같은 인적 오류로 인해 다운타임이 발생하고 비즈니스 수익이 손실되는 경우가 많기 때문에 이 문제는 종종 문제가 된다. 또한, 보안 인식 교육의 축소는 기업 전체에 걸쳐 보안 문화가 느슨해질 수 있다.

스플렁크의 페인은 “보안 교육은 인적 오류를 줄이고 직원들이 피싱 공격을 식별할 수 있도록 하는 데 핵심 역할을 하므로, 교육을 없애면 기업은 보안 침해에 더 취약해진다”라고 말했다.

CISO의 1/3 이상(36%)이 예산 제약으로 인한 교육 삭감을 보고했으며, 45%는 공격을 받은 경험이 있다고 답했다.

비즈니스 이니셔티브 지원 실패

보안 팀에 항상 회사 발전이나 성장을 지원하기 위해 필요한 충분한 인력, 시간 또는 기타 자원이 할당되는 것은 아니기 때문에, 보안 역량과 보안 대상인 비즈니스 이니셔티브 사이에 불일치가 발생하기 쉽다.

최근 많은 기업에서 도입을 서두르는 AI처럼 빠르게 추진되는 디지털 이니셔티브에서 자주 발생한다. 그 결과 많은 기업이 전통적인 보안 강화 조치를 건너뛰고 빠른 성과와 광범위한 실험을 선호하게 되었다.

스플렁크의 페인은 “비즈니스 이니셔티브는 신제품이나 기능, 또는 다른 방식의 작업(재택근무)일 수 있다”라고 설명했다. 이니셔티브가 무엇이든, 보안의 지원이 없다면 이러한 이니셔티브는 종종 보안을 염두에 두지 않고 설계되기 마련이라는 것이다.

페인은 “사후 보안 추가는 ‘보안 설계’보다 더 나쁜 접근 방식이라는 사실이 오래 전부터 알려져 왔다”라고 덧붙였다.

설문 조사에 따르면, 비즈니스 이니셔티브를 지원하기 위한 자금이 부족한 CISO(18%)는 소수에 불과했지만, 그 중 거의 2/3(64%)가 그 결과로 보안 침해를 겪었다.

커뮤니케이션 단절

스플렁크의 연구는 보안 자금 지원과 관련해 CISO와 이사회 사이에 단절이 있음을 보여준다. 보안 예산이 충분하다고 생각한 이사회는 41%였지만 CISO는 단 29%뿐이었다.

페인은 이사회가 보안 예산을 기업에 광범위한 영향을 미치는 요인이라기보다 전술적 문제로 간주하기 때문에 발생하는 문제라며, 관점을 바꾸려면 CISO가 보호해야 하는 수익과 브랜드 평판 등 비즈니스 성과 측면의 가치를 설명해야 한다고 말했다.

스플렁크는 이사회는 수익성을 보호하지만 CISO는 데이터와 시스템을 보호한다며, 이 격차를 줄이기 위해 이사회와 CISO는 각 이해관계자에게 똑같이 중요한 영역이 무엇인지 파악해야 한다고 조언했다. 예를 들어, CISO는 문제 해결에 걸리는 평균 시간(MTTR)에 초점을 맞추지 말고, 위험 감소에 우선순위를 두고 ROI를 높이는 위험 완화 작업의 중요성을 이사회에 전달해야 한다.

보안을 위한 자금 지원에 대한 이사회를 설득하는 방법을 아는 것은 CISO가 반드시 마스터해야 하는 기술이다. 이사회와 CISO 간의 상호 존중을 보장하는 것은 양방향 소통을 가능하게 하는 데 필요하다.

보안 지출의 정당화

독립 전문가들도 사이버 방어를 위해 적절한 자금 지원이 필수적이라는 보고서의 결론에 동의했다. 보안 지출이나 교육의 규모를 축소해야 한다는 압박에 직면한 CSO는 자신의 입장을 고수하고 보안 지출을 기술적 측면이 아닌 비즈니스적 측면에서 정당화해야 한다.

트렌드마이크로(Trend Micro)의 영국 사이버보안 책임자 조나단 리는 기업이 보안 지출을 성장을 지원하는 투자로 간주하기보다는 수익 추구를 위해 삭감할 수 있는 비용으로 간주하는 경우가 여전히 많다고 말했다.

리는 기업의 관리가 위협에 대한 대응에 그치는 것은 용납할 수 없는 일이라며 ”사이버보안 지식을 갖춘 이사회 멤버를 보유한 기업이 1/3 정도에 불과한 상황에서, 최고 경영진에 만연한 낙관적 편견을 극복하고, 보안 조치를 통해 기업의 목표를 전략적으로 뒷받침해, 애초에 침해를 유발하는 취약성을 크게 줄일 때”라고 강조했다.

버그 바운티 플랫폼 바그크라우드(Bugcrowd)의 미주 지역 CISO 트레이 포드는 어려운 경제 상황이 예산이 빠듯하다는 것을 의미한다는 것을 인정하지만, 이전에 합의된 프로젝트를 지원하기 위해 보안 지출을 줄이는 것은 위험하다고 주장했다.

포드는 “예산 삭감은 보안 계획, 전략 및 운영의 모든 측면에 영향을 미친다. 이 모든 것은 위험 위원회와 연계해 비즈니스 전반에 걸쳐 조정되는 복잡한 양탄자와 같다”라고 비유했다.

운영 보안팀에게 고정된 인원은 매우 실망스러운 일이다. 경보 피로, 대기 순환 근무, 번아웃을 가속화하기때문이다. 도구나 프로젝트에 대한 자금 손실은 가시성 격차를 악화시킬 수 있다. 로깅 범위, 모니터링 및 경보, 시스템과 애플리케이션의 취약성 테스트 및 추적 등을 제한할 수 있다.

포드는 “자금 지원을 받지 못하는 보안 이니셔티브는 ‘있으면 좋겠다’는 범주에 속하는 경우가 거의 없다. 거의 항상 위험 위원회에서 우선순위를 정한 위험 항목과 통제 격차를 해결하는 것과 관련이 있기 때문”이라고 설명했다. 처리 중인 위험과 자금 지원을 받지 못하는 프로젝트는 새로운 위험 수용이 필요하며, 이사회 위험 위원회에 보고해야 할 수도 있다.

위험에 대한 조정과 소통

애플리케이션 보안 테스트 업체 이뮤니웹(Immuniweb)의 CEO 일리아 콜로첸코는 보안 책임자가 일관성 있는 사이버보안 전략을 수립해야 한다고 주장했다.

콜로첸코는 “많은 기업들이 여러 업체의 솔루션을 중복해서 사용하기 때문에 보안 경고와 사고 대응을 적절하게 분류하는 데 할애하는 시간이 거의 또는 전혀 없다”라고 말했다.

더 나쁜 것은, 서드파티 리스크 관리, 잘못된 구성, 멀티 클라우드 환경에서의 IAM 붕괴, 컨테이너 보안, 또는 소프트웨어 엔지니어들이 자주 취약점을 포함하고 있는 생성형 AI 봇의 합성 코드에 지나치게 의존하는 등 핵심 영역을 포괄하는 잘 정의된 장기 지향적이며 전체론적인 사이버보안 전략을 지닌 기업이 거의 없다는 점이다.

CISO와 이사회는 우선순위를 조정하고 사이버 위험을 지속적으로 이해, 표현, 완화할 수 있는 커뮤니케이션 스타일에 합의해야 한다.

리는 이런 방식으로 정보에 입각한 의사 결정과 투자가 이루어질 수 있다라고 말했다. 예산이 올바른 영역에 사용될 수 있으며, 이는 결과적으로 규정 준수가 준수되고 서비스가 계속 운영될 수 있도록 보장한다.

아이덴티티 보안 업체 원 아이덴티티(One Identity)의 현장 전략가 앨런 래드포드에 따르면, 훈련, 시스템 업데이트, 재해 복구 계획, 사고 대응, 규정 준수 모니터링과 같은 기본 요소는 강력한 보안 태세를 유지하는 데 필수적이다.

래드포드는 “비즈니스에 적합한 사이버보안은 가장 비싼 도구를 구입하는 것이 아니라, 기술, 프로세스, 사람을 조율해 위험을 효과적으로 줄이는 것”이라고 보안 책임자는 위험 감소가 도구뿐만 아니라 운영 탄력성의 문제라는 것을 이사회에 전달해야 한다. 래드포드는 사람, 교육, 운영 준비에 투자하는 것이 어떤 단일 기술 구매보다 더 높은 수익을 가져다 준다는 의견을 냈다.
dl-itworldkorea@foundryco.com