CISO? ?? ???? ?? ??? ??? ??? ??? ? ??. ??? ??? ??? ?? ??? ??? ??? ?? ????, ?? CISO?? ??? ??? ????. 사이버 보안은 높은 리스크 속에서 균형을 잡아야 하는 업무가 됐다. 오늘날 CISO는 피싱을 포함한 최신 위협으로부터 조직을 보호하는 동시에 을 개발하고 경영진과 이사회에 보고해야 한다는 압박을 계속해서 받고 있다. 이는 취약점 패치 및 사이버 사고 대응과 같은 즉각적인 요구 사항과 신기술 도입 및 숙련된 사이버 보안 팀 개발 같은 장기 목표를 동시에 충족해야 한다는 의미다. 예산 제한뿐만 아니라 보안에 대한 투자 가치를 정당화해야 하는 과제가 겹친다면 이런 문제는 더 심각해질 수 있다. 따라서 CISO는 지출의 우선순위를 정하고, 리소스를 할당하고, 데이터 기반 의사 결정을 통해 단기 및 장기 보안 요구 사항을 모두 충족할 방법을 파악해야 한다. 세이프베이스의 CISO인 리사 홀은 이를 위해 사전 예방적 접근 방식과 사후 대응 방식 간의 전략적 균형이 필요하다고 말했다. 그는 잠재적 위협의 가능성과 영향을 파악하기 위해 철저한 위험 평가를 수행해야 한다고 언급했다. CISO는 이를 통해 보안 노력에 집중할 부분을 결정하고 보안에 대한 지출이 회사의 목표에 부합하는지 확인할 수 있다. 홀은 “또한 인재에 투자하는 것이 중요하다. 도구와 기술도 중요하지만 솔루션을 구현, 관리 및 유지하려면 숙련된 인재가 필요하기 때문에 인적 자본은 강력한 사이버 보안 전략의 핵심 요소가 된다”라고 말했다. 즉각적인 위협 대응과 장기 전략 간의 균형액센추어의 북미 사이버 보안 책임자인 하프리트 시두는 복잡한 법률, 국제 분쟁, 경제적 우려와 함께 AI와 같은 신기술이 빠르게 성장하면서 기업이 사이버 공격으로부터 보호받고 있는지 확인하기가 어려워지고 있다고 언급했다. 그는 “이런 배경 속에서 CISO는 랜섬웨어 공격과 같은 즉각적인 위협과 인프라 업그레이드와 같은 장기적인 보안 요구 사항 사이에서 신중하게 균형을 잡아야 한다”라고 조언했다. 시두는 사이버 공격으로부터 회사를 보호하기 위해 IT 보안 리더가 최대 위험 요소에 집중해야 한다고 말했다. 이는 회사의 보안을 지속적으로 점검하고, 취약점을 찾아내며, 그에 따라 투자 우선순위를 정하는 것을 의미한다. 또한 보안 이니셔티브가 회사 전체의 목표를 달성하는 데 도움이 되도록 IT 및 재무 등 다른 부서와 협력하는 것도 중요하다. 그는 “즉각적인 위협과 장기적인 보안 요구 사항을 선제적으로 해결함으로써 CISO는 사이버 공격으로부터 조직을 효과적으로 보호하고 비즈니스 연속성을 보장할 수 있다”라고 덧붙였다. 한편 넷스코프의 CISO인 제임스 로빈슨은 자신의 전략이 연간 계획 프로세스와 연계된 균형 잡힌 접근 방식에 기반한다고 말했다. 예산을 사전 예방적 보안 조치와 신속한 위협 대응에 투자하는 동시에 기업 목표에 부합하도록 하는 것이 이 전략의 핵심이다. 그는 “랜섬웨어와 같은 긴급한 위협에 대응하는 동시에 거버넌스와 예방 조치에 투자해 공격 표면을 줄이고 신기술을 통합할 준비를 하는 것”이라고 설명했다. RSA 시큐리티 CISO 로버트 휴즈의 경우 보안 팀의 핵심이 일상적인 업무와 장기 계획의 균형을 맞추는 데 있다고 말했다. 일상적인 문제 처리에 소요되는 시간은 회사의 비즈니스와 보안팀의 역할에 따라 다르다. 그는 “보안 리더는 전략적 계획에 충분한 시간을 확보해야 하기 때문에 이를 이해하고 효율성을 모색해야 한다”라고 말했다. 휴즈는 CISO가 끊임없이 화재를 진압하고 있다면 전략적 계획에 집중할 수 없다면서, “CISO가 모든 시간을 긴급한 위협 대응에 소비하고 있다면, 그것이 정말 긴급한 문제인지 아니면 리스크를 줄이고 적절한 수준의 보안팀 개입이 이뤄질 수 있도록 올바른 구조, 문서화 및 프로세스를 마련하는 데 시간을 들여야 할지 확인해야 한다”라고 설명했다. 단기 및 장기 보안 프로젝트의 ROI 입증하기렉스마크 인터내셔널의 CISO 브라이언 윌렛은 보안 지출의 우선순위를 정하려면 섬세한 균형 조정이 필요하다고 말했다. 그는 “랜섬웨어와 같은 즉각적인 위협과 오래된 인프라 같은 장기적인 취약점 모두의 잠재적 영향과 가능성을 비교하면서 리스크 환경을 지속적으로 평가해야 한다”라고 설명했다. 윌렛은 회사가 사이버 공격을 겪지 않았다면 의사 결정권자에게 추상적으로 느껴지기 때문에 보안에 대한 자금을 확보하기가 어려운 경우가 많다고 말했다. 그는 “CISO의 핵심 기술은 기술 용어를 비즈니스 언어로 전환하여 효과적으로 소통하는 능력”이라고 언급했다. 윌렛에 따르면 여기에는 보안 문제가 운영을 방해하거나 회사의 평판을 해치거나 재정적 손실을 초래할 수 있는 방법을 설명하는 것도 포함된다. 윌렛은 “업계의 실제 사건 사례를 사용해 요점을 설명할 수 있다. 보안 투자가 이러한 리스크를 예방할 수 있음을 보여주면 단기 및 장기 프로젝트에 대한 강력한 사례를 만들 수 있다”라고 말했다. 로빈슨은 이 장기 보안 투자와 즉각적인 위협의 균형을 맞추는 데 상당한 어려움이 따른 사건이었다고 말했다. 위협을 신속하게 식별, 대응 및 완화하기 위해 대대적인 노력이 필요했기 때문이다. 그는 “이를 효과적으로 수행하기 위해 장기 프로젝트에서 리소스를 재할당해야 했다. 이 경험으로 전반적인 복원력을 향상시키는 보안 투자에 이중으로 집중하는 것이 중요하다는 점을 깨달았다”라고 말했다. 예산 할당넥사슈어의 국가 보안 전략가이자, 악명 높은 스파이인 전 FBI 특수 요원 로버트 한센을 체포하는 데 도움을 준 전직 FBI 요원 에릭 오닐은 CISO가 즉각적인 위협 대응과 장기 보안 인프라 투자 사이에서 예산의 균형도 맞춰야 한다고 말했다. 즉각적인 위협에는 주의가 필요하지만, CISO가 예산의 일부를 다단계 인증 구현 및 단계적 인프라 업그레이드와 같은 장기 계획 조치에 할당해야 한다고 그는 설명했다. 오닐은 “균형을 맞추기 위해 종종 사고 대응 파트너를 고용해 침해 사고를 처리하고 내부 팀이 예방과 탐지에 집중하도록 할 수 있다. 더 큰 프로젝트의 경우 단계적으로 출시를 계획해 즉각적인 취약점을 해결하면서도 시간을 두고 비용을 분산할 수 있다”라고 설명했다. 한편 딜로이트의 미국 사이버 인텔리전스 리드인 클레어 모어는 기업마다 차이는 있지만 일반적으로 CISO가 예산의 60~70%를 즉각적인 위협 대응에, 나머지는 장기 이니셔티브에 할당하고 있다고 말했다. 모어는 “진화하는 위협에 따라 예산 배분을 매년 유연하게 조정하고 검토해야 한다. 장기적인 관점은 R&D처럼 생각해야 한다. 위협과 기술의 최신 동향을 파악하려면 새로운 기능이 의미 있는 ROI를 제공할 수 있는지 테스트하고 검증하는 데 시간과 돈을 투자해야 한다”라고 설명했다. 로직게이트의 CISO 니콜라스 카트만은 리소스 계획을 세울 때 장기 프로젝트에 직원 시간의 일정 비율(30%가 적당)을 할애하고 나머지를 일상적인 업무에 집중하는 것이 좋다고 조언했다. 이렇게 하면 프로젝트 일정에 영향을 미칠 위험을 최소화하면서 즉각적인 위협에도 효과적으로 대응할 수 있다. 카트만은 “대부분의 즉각적인 위협 대응에는 구성 변경, 패치 관리, 보완 통제 등이 포함되며, 여기엔 새로운 도구나 기능에 대한 즉각적인 지출을 필요로 하지 않는다. 그래도 디지털 포렌식 및 사고 대응을 위해 예산의 일부를 항상 별도로 배정해야 하며, 그 금액을 초과하는 것에 대해서는 사이버 보험을 활용할 수 있도록 해야 한다”라고 말했다. 즉각적 위협과 장기 보안 전략의 균형을 맞춘 사례아마니노의 제품 및 혁신 담당 파트너인 AJ 욘은 “어느 중견 금융 서비스 회사의 CISO와 함께 일한 적이 있다. 새롭고 정교한 피싱 캠페인이 업계를 표적으로 삼기 시작하면서 회사가 어려운 상황에 처했다”라고 말했다. 그에 따르면 당시 회사는 전반적인 보안 태세와 향후 규정 준수 요구에 필수적인 제로 트러스트 아키텍처를 구현하기 위해 장기 프로젝트를 진행하고 있었다. 이런 상황에서 즉각적인 위협으로 인해 회사의 이메일 보안과 직원 교육 프로그램을 강화하는 데 상당한 리소스가 필요해진 것이다. 욘은 상충되는 우선순위의 균형을 맞추기 위해 다음과 같은 접근 방식을 활용했다고 언급했다.• 신속한 위험 평가를 수행해 피싱 위협의 잠재적 영향과 제로 트러스트 구현 지연에 따른 리스크를 수치화한다.• 제로 트러스트 프로젝트의 속도는 낮추되 계속 진행하면서, 즉각적인 피싱 방어에 추가 리소스를 할당하는 단계적 접근 방식을 구현한다.• 고급 피싱 방지 도구를 도입하기 위해 이메일 보안 벤더와 협상하고 제로 트러스트 아키텍처에 필요한 다른 보안 솔루션까지 할인된 가격으로 함께 구입한다.• 관리형 보안 서비스 업체를 통해 보안 운영 센터의 기능을 일시적으로 보강하고 사내 직원들은 제로 트러스트 구현 작업을 계속할 수 있도록 한다.• 이런 접근 방식의 장단점과 리스크를 이사회와 투명하게 소통해 두 이니셔티브를 지원하는 15%의 예산 증액을 확보한다.• 제로 트러스트 프로젝트의 일환으로 모든 시스템에 다단계 인증 구현을 가속화해 즉각적인 피싱 방어와 장기적인 보안 개선 목표를 모두 달성한다. 욘은 이런 접근 방식을 구현한 결과 6개월 뒤 피싱 시도 성공률이 70% 감소했고 전반적인 보안 태세가 40% 개선됐다고 밝혔다. dl-ciokorea@foundryco.com ???? ???? ??? ??? IT ??? ???? ??? ????! ??? ??? ??? ?????. ????