이사회와의 사이버 보안 대화가 진화했습니다. 이제 보안팀은 더 이상 기술 전문가로만 여겨지지 않고 사이버 위협에 대응하는 비즈니스 복원력의 설계자로 인식되고 있습니다. 이러한 변화는 사이버 공격의 증가, 지정학, 디지털 전환에 의해 주도되고 있습니다.
이제 이사회에서는 보안 리더의 전략적 인사이트를 원합니다. 이사진은 단순히 최신 방화벽을 설치했다거나 규제를 준수하고 있다는 보고만 듣고 싶어 하지 않습 니다. 이사진은 사이버 전술이 비즈니스 전략과 주주 가치로 어떻게 연결되는지 이해하려고 노력합니다. 대화가 핵심입니다. 이사회에서는 보안팀에서 사이버 전문 용어와 비즈니스 인사이트를 연결해주기를 원합니다.
그렇다면 이사진에서는 보안팀에서 무엇을 알아야 한다고 생각할까요? 이사진의 우선순위는 무엇일까요? 보안팀에 대해 원하는 것은 무엇일까요? 이 글에서는 이사회의 사이버 보안 우선순위와 보안 리더가 이사회와 효과적으로 소통하는 방법을 살펴보겠습니다.
과거에는 이사회에서 사이버 보안을 멀리 떨어진 서버실에 있는 기술팀의 영역으로 여겼습니다. 사이버 위험은 추상적이고 무형적인 것으로 보였지요. 이제는 그렇지 않습니다. 이퀴팩스(Equifax)나 콜로니얼 파이프라인(Colonial Pipeline) 등의 대형 유출 사고의 여파만 봐도 알 수 있습니다. 이들 공격으로 기업의 핵심이 마비되어 비즈니스에 막대한 타격이 발생했으며, 사이버 위험이 명백하고 현존하는 위험으로 재정의되었습니다.
새로운 SEC 보안 위험 공개 규정에서는 이러한 위협 대비 조치를 두 배로 강화합니다. SEC에서는 중요한 사이버 사고에 대한 신속한 공개 보고와 사이버 프로그램의 연례 공개를 의무화함으로써 사이버 위험을 전면에 내세우고 있습니다. "기업이 화재로 공장을 잃든, 사고로 수백만 개의 파일을 잃든, 투자자에게는 중요한 사안일 수 있 습니다."라고 SEC 의장 Gary Gensler는 이야기합니다. 이제 이사회에서는 사이버 사고를 평가하고, 공개를 계획하며, 보안 프로그램을 검증하는 데 긴밀히 관여해야 합니다.
이사회에서는 사이버 위험의 심각성을 파악하고 있지만, 위협, 벡터, 제어 등의 난해한 용어에 대한 이해가 부족한 경우가 많습니다. 이러한 격차 때문에 전략적 커뮤니케이션에 문제가 생깁니다. 이사회에서는 사이버 위험을 비즈니스 성과와 연계하는 명확한 인사이트가 필요하며, 이러한 위험을 관리하기 위해서는 명확한 계획을 수립해야 합니다.
보안 리더들은 번역자 역할을 맡아서 기술 전문 용어가 아닌 일반 비즈니스 용어로 이사진을 교육하여 그러한 격차를 해소해야 합니다. 우리 보안 리더들은 고객 신뢰, 서비스 복원력, 시장 지위 등의 비즈니스 우선순위 내에서 위협의 맥락을 파악해야 합니다.
새로운 SEC 규정을 보면 사이버 위험이 비즈니스 위험과 영구적으로 얽혀 있음이 확인됩니다. 보안 리더의 보고서는 이러한 새로운 현실을 반영해야 합니다. 이사회의 경계가 강화된 상황에서 우리의 임무는 앞길을 밝히는 것이어야 합니다.
아, 사이버 보안의 투자 수익률(ROI)을 입증하는 것이 쉽지 않군요. 이사회에서는 그 어느 때보다 보안 투자에 적극적으로 관여하고 있지만, 투자 대비 효과를 기대하지는 않습니다. 이사회에서는 대 신 보안에 대한 투자가 더 안전하고 견고한 엔터프라이즈 아키텍처와 어떤 상관관계가 있는지 알고 싶어 합니다.
여기 흥미로운 연습이 있습니다. 다음 이사회를 준비할 때 단순히 숫자만 전달하는 데 그치지 말고 영향력을 설명하고 스토리를 전달해 보세요. 아니, 동화가 아니라, 팀의 신속한 조치로 사이버 재난을 피할 수 있었던 실제 사례를 들어보라는 이야기입니다. VPN을 Zero Trust 네트워크 액세스로 교체하고 멋진 새 XDR 시스템을 배포하셨나요? 좋습니다. 이러한 일이 사용자를 보호하고 사고 대응 시간을 단축하는 데 어떤 영향을 미칠까요? 여전히 숫자를 제공하되, 그 숫자가 스토리를 전달할 수 있도록 해야 합니다.
물론 모든 성공을 쉽게 계량화할 수 있는 것은 아닙니다. 하지만 평판 향상과 같은 무형의 이점에 대해서도 프록시 메트릭을 통해 가치를 추정할 수 있습니다. 그 핵심은 프로그램과 지출을 기업의 건전성 및 성과에 부합하는 위험 완화와 연계하는 것입니다.
이러한 프레임워크를 이용하면 사이버 보안을 비용 중심에서 비즈니스 복원력을 구축하는 전략적 기능으로 전환할 수 있습니다. 현명한 투자는 보안 기능이 경쟁력을 유지하기 위한 방패 역할을 하여 지능형 위험 저감 방법을 모색하면서 성장을 가능하게 하는 것입니다. 이사회에서 중요하게 생각하는 진정한 ROI는 바로 이러한 큰 그림입니다.
현대 사이버 보안의 모호한 지형을 헤쳐나가는 데 있어 가장 중요한 것은 바로 인공 지능입니다. 보안팀에서 생성형 AI를 사이버 보안 전략에 접목하는 과정에서 이사진은 앉아서 메모를 하고, 눈살을 찌푸리고 있습니다.
사람들은 왜 AI에 대해 불안해 할까요? 고객 서비스 자동화에 있어서는 경이롭지만, 잘못된 정보나 데이터 유출의 통로가 될 수 있는 AI 챗봇을 예로 들어 보겠습니다. 이사회에서는 AI를 도입할 때 적절한 거버넌스, 설명 가능성, 안전장치가 마련되어 있다는 확신을 갖기를 원합니다.
얼굴 인식, AI 저작권, 딥페이크의 판도라 상자를 둘러싼 윤리적 미로는 스트리밍용 시리즈에 대한 디스토피아적인 주제만은 아닙니다. 실제이며 지금 일어나고 있는 일입니다. 한 가지 더 덧붙이자면, 이사회는 단순히 수동적인 관찰자가 아닙니다. 이사회는 AI 기반 사이버 위협의 잠재적 표적이 될 수 있습니다. 그렇다면 이사회가 또 다른 공격 경로가 되지 않도록 정확히 어떻게 보호하고 있을까요? 이사회는 AI에 대해 "논의"하는 것뿐만 아니라 질문과 조사를 하고 있으며, 사이버 보안팀에서는 주목을 받으면서 절실히 필요한 답변을 제공해야 합니다.
이사화실에서는 보안에 대한 인식이 바뀌고 있습니다. 점점 더 많은 이사회에서 보안을 부서가 아 니라 문화로 인식하고 있습니다. 이는 "보안은 모두의 책임입니다"라는 모토를 전략적 차원으로 격상시킨 것입니다.
역사적으로 인적 오류는 보안의 아킬레스건이었지만, 발상을 전환하면 인적 요소를 자산으로 바꿀 수 있습니다. 직원 교육은 단순한 규제 준수 확인란에 불과한 것이 아니라 전략적 무기가 될 수 있습니다.
이런 상황을 상상해 보세요. 교육을 잘 받은 직원 한 명이 수백만 달러의 손실이 발생할 수 있었던 피싱 시도를 막아냅니다. 이게 바로 이사진이 듣고 싶어 하는 이야기 아니겠어요? 인적 요소는 버그가 아니라 기능입니다. 실수로 악의적 링크를 클릭한 사용자를 더 이상 비난하지 마세요. 대신 직원들이 사이버 보안에 참여하고 투자하도록 유도하여 회사 내에서 책임을 묻지 않는 문화를 조성하세요. 사이버 보호 기능을 제공하여 사용자가 안전하게 작업하고 의심스러운 사항을 발견하면 기꺼이 신고할 수 있도록 해야 합니다. 그리고 보안 문화에 이사회를 포함시키는 것도 잊지 마세요. 이상적으로는 보안 문화가 이사회실에서부터 시작하여 하향식으로 일상적인 행동으로 확산되는 것이 좋습니다.
솔라윈즈(SolarWinds) 유출 사고를 떠올려 보세요. 그 사건은 물론 사이버 보안 사고로 분류되었지만, 본질적으로는 거대한 지정학적 사고가 아니었을까요? 이사회에서는 사이버 보안의 영역이 조직의 울타리를 훨씬 넘어선다는 사실을 잘 알고 있습니다. 사이버 보안은 현재 글로벌 환경의 복잡한 일부분입니다.
지정학적 역학 관계가 사이버 보안 논의에 공식적으로 추가되면서 몇 가지 복잡한 문제도 함께 대두되고 있습니다. 국가적 위협, 핵티비스트, 데이터 주권, 개인정보 보호, 국제 규제 준수 문제 등이 바로 그것입니다. 이러한 주제를 다른 사람의 골칫거리로 여기는 것에서 벗어나 이제는 여러분 자신의 문제이기도 하다는 점을 기억하세요. 특히 "중요 인프라"로 간주되는 산업에서 근무하는 경우 더욱 그렇습니다.
이는 여러분이 담당하는 범위에 관해서 어떤 의미가 있나요? 이는 여러분이 이사회와 동일한 입장에 있다는 것을 알려 줍니다. 다음 이사회 회의에서 지정학적 환경의 변화가 사이버 보안 전략에 어떤 영향을 미칠 수 있는지에 대하여 몇 가지 인사이트를 소개하세요. 이사들의 이목이 집중될 것입니다.
전통적으로 코스트 센터로 여겨지던 사이버 보안은 전략적 의사 결정에 기여하는 비즈니스 부서로 발전했습니다. 이러한 인식의 변화는 최근 몇 년간 보안팀에 있어서 가장 중요한 패러다임의 변화입니다. 이사회에서는 이 사실을 알고 있으며 보안팀에서도 이를 인식하기를 원합니다.
그렇다면 이는 보안팀과 이사진의 대화에서 어떤 의미가 있을까요? 단순히 최신 침입 감지 통계나 방화벽의 효율성만 나열하는 것만이 중요한 것이 아닙니다. 대신 사이버 보안이 기업이라는 배를 안정적으로 지탱하는 용골이 되어 더 강한 바람과 더 높은 파도를 헤쳐 나갈 수 있는 그림을 그려보세요. 이는 기업이라는 배가 전복되지 않고 시장 기회와 비즈니스 혁신을 이루는 것과 같습니다.
우리 보안팀이 보안 고려 사항을 비즈니스 모델의 DNA에 자연스럽게 녹여내는 전략적 전문가가 되지 못하는 이유는 무엇일까요? 아무런 이유도 없습니다. 오래된 관습과 낡은 인식을 제외하고는요. 이 말을 귀하에게 전해지는 분명한 메시지라고 생각하세요. 다음 번 이사회 회의는 단순한 업데이트가 아니라 새로운 사실이 밝혀지는 자리가 되어야 합니다. 수호자에서 안내자로, 문지기에서 길잡이로 변신할 수 있는 무대가 펼쳐집니다. 방향 전환을 준비하세요.
준비되셨나요? "아니요 부서"에서 회사가 전략적으로 "예"라고 선언하는 데 도움이 될 촉매제로 전환할 의향이 있으신가요?
William Gibson의 말을 인용하자면, "미래는 이미 도래했지만, 균등하게 분배되지 않았을 뿐입니다." 이제 이사회를 시작으로 조직 내에서 사이버 보안에 대한 지혜를 더 널리 확산시켜야 할 때입니다. 따라서 다음에 '이사회'라는 단어를 들으면 관전용 스포츠라고 생각하지 말고 비즈니스의 미래를 만들어 가는 전략적 플레이어 가 되어달라는 초대장이라고 생각하세요.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
John Engates — @jengates
Cloudflare 필드 CTO
이 글을 읽고 나면 다음을 이해할 수 있습니다.
부서로서의 보안을 전사적 문화로 전환하는 패러다임 전환
이사회실에서 보안에 대한 대화를 한 단계 업그레이드하는 방법
숫자 이상의 영향력을 전달하는 것의 중요성