KPI는 기업의 사이버보안 방어 역량을 평가할 때 필수적인 요소다. 이들은 시스템 취약점, 위협 패턴, 사고 대응 효율성에 대한 인사이트를 제공한다. 디지털 의존도가 높아지는 시대에 이런 지표는 보안 의사결정의 핵심 기준이 되며, 끊임없이 진화하는 사이버 위협에 대한 조직의 대비 태세를 강화한다.

하지만 사이버보안 KPI를 실제 적용할 때는 수많은 지표와 인사이트 속에서 길을 잃기 쉽다. 여기서는 어떤 전략에든 반드시 포함돼야 할 핵심 지표 8가지를 소개한다.

평균 탐지 시간

딜로이트 미국 사이버 및 트랜스포메이션 책임자 메흐디 후다이기는 평균 탐지 시간(Mean Time to Detect, MTD)을 조직이 잠재적인 보안 사고를 얼마나 신속하게 식별하고 대응할 수 있는지를 보여주는 핵심 지표라고 설명했다. 이 수치가 낮을수록 피해 가능성을 최소화할 수 있다.

MTD 수치가 낮다는 것은 보안 조직이 잠재적 위협을 신속하게 탐지하고 있다는 의미이며, 공격자가 피해를 입힐 수 있는 시간을 줄인다는 뜻이다. 후다이기는 공격 시점이 점점 더 빨라지고 있는 만큼 MTD를 낮게 유지하는 것이 앞으로 더욱 중요해질 것이라고 강조했다.

다만 후다이기는 MTD가 유용한 지표 중 하나일 뿐이라며, “자사 비즈니스에 전략적으로 중요한 항목에 집중하는 것이 무엇보다 중요하다”라고 덧붙였다.

사이버 회복력

전문 서비스 업체 코그니전트(Cognizant)의 CSO 존 휠러는 사이버 회복력이 보안 프로그램이 제대로 작동하고 있는지를 평가하는 진정한 척도라고 설명했다.

휠러는 “결국 중요한 것은 얼마나 많은 위협을 차단했느냐가 아니라, 언젠가 뚫리게 될 상황에서 얼마나 빠르고 효과적으로 복구할 수 있느냐”라며 “회복력이란 비즈니스가 계속 운영되고, 고객의 신뢰가 유지되며, 나쁜 하루가 위기로 번지지 않는 것을 의미한다”라고 말했다.

완벽한 시스템은 존재하지 않는다. 휠러는 “아무리 뛰어난 방어 체계라도 뚫릴 수 있다”라고 강조했다. 성공적인 조직과 침체에 빠지는 조직을 가르는 차이는 얼마나 빠르게 대응하고 복구하느냐에 달렸다. 휠러는 “몇 시간 안에 복구하면 단순한 골칫거리지만, 몇 주가 걸리면 재앙이다. 회복력은 일시적인 문제와 장기적인 피해, 즉 비즈니스와 평판, 고객 신뢰에 미치는 영향을 가르는 결정적인 요소”라고 덧붙였다.

네트워크·시스템·엔드포인트 가시성

보이지 않으면 고칠 수 없다. 줌(Zoom)의 임시 CISO 산드라 맥클라우드는 “엔드포인트 보안 상태를 볼 수 없다면, 그 중 하나가 침해됐을 때 탐지할 수 없다. 프로덕션 환경에는 보안이 잘 적용돼 있어도 개발 환경에 보안 제어와 가시성이 부족하다면 코드와 빌드 프로세스에 대한 핵심 보호가 결여된 것”이라고 설명했다.

가시성의 공백은 공격자에게는 기회를, 방어자에게는 치명적인 사각지대를 만든다.

맥클라우드는 조직이 흔히 저지르는 실수 중 하나로 KPI를 실질적인 운영에 반영하지 않는 점을 지적했다. 즉, 수치는 추적하지만 이를 일상적인 비즈니스 의사결정에 통합하지 않는다는 것이다. 또 다른 함정은 KPI 수치만 보고 잘 작동하고 있다고 착각하는 ‘허위의 안정감’이다. 숫자가 좋아 보인다고 해서 실제로 조직이 안전하거나 완전히 보호되고 있다는 뜻은 아니다. 맥클라우드는 “이들 지표가 보여주지 않는 것은 무엇인가?”라는 질문을 던지는 것이 중요하다고 강조했다.

목표 질문 지표

사이버 관리 SaaS 업체 액시오(Axio)의 수석 사이버보안 자문 리처드 카랄리는 조직이 사이버보안의 가치를 효과적으로 설명하기 위해 ‘목표-질문-지표(Goal-Question-Metric, GQM)’라는 구조화된 접근법을 활용할 것을 제안했다.

카랄리는 “소프트웨어 프로세스 개선에서 검증된 이 접근법은 사이버보안 프로세스를 개선에도 도움이 된다. 특히 GQM은 경영진과 이사회가 프로그램의 효과를 입증할 수 있는 의미 있는 지표를 설계하는 데 유용해 거버넌스 요구를 충족시키는 데 강점을 가진다”라고 설명했다.

예를 들어 이사회에서 “알려진 취약점을 제때 해결하고 있는가?”라는 질문을 던질 수 있다. 이에 대해 일부 CISO는 취약점 관리 프로그램과 정책, 관련 프로세스가 마련돼 있다고 답할 수 있지만, 카랄리는 “이런 답변만으로는 질문에 대한 실질적인 해답이 되지 않는다. GQM 접근법을 적용하면 이 질문에 답하기 위해 하나 이상의 지표를 설정할 수 있고, 이를 통해 시간에 따른 역량 향상 추세를 보여줄 수 있다”라고 설명했다.

비용 회피 비율

사이버보안 제조 혁신연구소(Cybersecurity Manufacturing Innovation Institute)의 마스터 소프트웨어 아키텍트이자 취약점 대응 엔지니어인 팀 롤리스는 비용 회피 비율(Cost Avoidance Ratio, CAR)이 사이버보안 프로그램의 효과를 평가하는 유용한 지표라고 말했다. 이 지표는 사고를 예방·탐지·대응하는 데 소요된 비용과 그런 조치를 하지 않았을 때 발생했을 잠재적 손실을 비교하는 방식이다.

롤리스는 “조직의 사고 탐지·대응·복구 능력을 측정하는 지표는 해당 사건으로 인한 전반적인 비용과 운영 문제에 직접적인 영향을 미친다”라고 설명했다. 여기에는 사고 격리 비용, 복구 작업, 운영 중단으로 인한 기회비용 등이 포함된다. 롤리스는 “CAR 수치가 높을수록 사이버보안 체계가 효과적으로 작동하고 있다는 의미이며, 사고 대응 역량에 대한 선제적 투자가 실제로 피해를 최소화하고 조직의 회복력을 극대화하고 있다는 것을 보여준다”라고 덧붙였다.

평균 고장 간격

부채 구제 서비스 업체 프리덤 데트 릴리프(Freedom Debt Relief)의 최고수익책임자 제이슨 팩은 “모든 비즈니스에서 신뢰성은 중요하지만, 금융 분야에서는 특히 절대적인 요소다. 이런 이유로 평균 고장 간격(Mean Time Between Failures, MTBF)은 사이버보안 상태를 평가하는 데 있어 핵심 지표로 자리 잡고 있다”라고 설명했다.

팩은 “온라인 뱅킹, 결제 처리, 트레이딩 플랫폼과 같은 서비스에는 끊김 없이 접근할 수 있어야 한다. MTBF 수치가 높다는 것은 해당 시스템이 충분히 안정적이고 신뢰할 수 있어 고객이 의존할 수 있다는 의미”라고 부연했다.

이어 “MTBF는 인프라가 실제로 얼마나 안정적으로 작동하고 있는지, 단순한 기술적 문제든 보안 위협이든 장애 상황에서 얼마나 회복력이 있는지 명확하게 보여준다. MTBF를 면밀히 관리하면 운영 위험에 선제적으로 대응할 수 있으며, 이는 규제 당국이 특히 주목하는 부분이기도 하다”라고 덧붙였다.

MTBF를 활용하면 잠재적인 문제를 사전에 예측하고 유지보수를 더 효과적으로 계획할 수 있으며, 궁극적으로 깊은 고객 신뢰를 유지할 수 있다. 팩은 “결국 시스템 고장이 줄어들수록 다운타임 비용은 낮아지고 운영은 더 원활해지며, 안정적인 서비스 제공에 대한 신뢰는 더 높아진다”라고 강조했다.

격리 시간

소프트웨어 개발 업체 푸멕스(Pumex)의 설립자이자 기술 컨설턴트인 안토니 마르셀레스는 진정한 회복력을 결정짓는 요소는 바로 ‘격리 시간(Time to Contain, TTC)’이라고 강조했다. 마르셀레스는 “탐지만으로는 충분하지 않으며, 위협을 신속하게 격리하고 무력화하지 못하면 복구 비용이 급증할 수 있다”라고 지적했다.

TTC는 보안팀의 대응 속도뿐 아니라 조직이 보안 프로토콜, 자동화 도구, 클라우드 인프라를 얼마나 잘 통합했는지 보여주는 지표이기도 하다. 마르셀레스는 “푸멕스는 반복되는 위협에 대한 격리 조치를 자동화하고 부서 간 협업 훈련을 통해 대응 시간을 점검한다. 이런 노력을 통해 TTC를 크게 단축할 수 있었다. 이 지표를 최적화하는 것은 단순한 혼란과 전면적인 재난을 가르는 차이가 될 수 있다”라고 강조했다.

피싱 성공률 감소

사이버보안 업체 시큐리티 컴퍼스(Security Compass)의 부사장 지얀 차우다리는 피싱 성공률 감소 지표(Reduction in Successful Phishing Attempts, RISPA)가 사이버보안에서 인간적 요소를 직접적으로 다루는 핵심 지표라고 설명했다. 차우다리는 “아무리 기술적으로 강력한 보안 제어 수단이 있어도 정교하게 작성된 피싱 이메일 한 통이면 직원이 자격 증명을 넘기거나 악성코드를 다운로드할 수 있다”라고 말했다.

차우다리는 “이런 공격의 성공률을 추적하고 하락 추세를 보이는 것은 보안 인식 교육과 이메일 필터링, 안티피싱 도구 같은 기술적 제어 수단이 실제로 사용자 행동에 긍정적인 영향을 미치고 있으며, 조직의 전반적인 회복력도 향상되고 있음을 보여준다”라고 설명했다.

차우다리는 사이버보안 지표를 소홀히 하는 것은 “재무 보고서 없이 복잡한 비즈니스를 운영하는 것과 다름없다. 조직의 강점이나 약점, 그리고 보안 투자에 대한 실질적인 성과를 전혀 이해하지 못한 채 어둠 속에서 운영되는 것과 같다”라고 표현했다.

이어 “이로 인해 자원 배분이 잘못되고 잘못된 안도감에 빠질 수 있으며, 결국에는 심각한 보안 사고를 겪을 가능성이 높아진다”라고 경고했다.
dl-itworldkorea@foundryco.com