비즈니스 리더들은 너무 오랫동안 위험과 위협 관리라는 좁은 시각으로 사이버 보안을 바라보았습니다. 공격자를 차단하기 위한 최신 도구, 인력, 제어 장치에 대한 투자 등의 투입에 중점을 두었습니다. 하지만 이러한 역량이 필요하기는 하지만, 이러한 사고방식으로는 사이버 보안 노력을 실제 전략적 비즈니스 가치로 연결할 수 없습니다.
보안팀에서는 새로운 유형의 맬웨어나 공격이 발생할 때마다 이를 쫓아다니며 전술적으로 대응하는 방식을 택하는 경우가 많습니다. 최신 AI 시스템이나 고급 방화벽을 도입하는 과정에서 길을 헤매기도 합니다. 하지만 한 걸음 물러서서 다음 과 같이 질문하는 경우는 드뭅니다. "이러한 노력이 가장 중요한 조직 목표를 달성하는 데 어떻게 도움이 될까?"
이와 같은 근본적인 질문을 하지 않으므로 보안팀에서는 때때로 리소스를 정당화하거나, 장기적인 전략적 초점을 유지하거나, 경영진 수준에서 영향력 있는 직위를 차지하는 데 어려움을 겪습니다. 사이버 보안의 전략적 비즈니스 역할을 강화하기 위해 보안 리더는 초점을 근본적으로 전환하여 우선순위 비즈니스 목표에 부합하고 이를 가능하게 하는 긍정적인 결과를 정의하고 달성해야 합니다.
성과는 효과적인 보안에 따라 이루어지는 가시적인 결과를 의미합니다.
공격에 따른 재정적 영향 감소
신속한 사고 감지 및 대응
고객 신뢰 및 충성도 향상
다운타임 방지를 통한 생산성 향상
반면, 투입은 도구, 기술, 교육, 인력 등 조직을 보호하기 위해 투자하는 것을 말합니다. 투입은 중요한 구성 요소입니다. 하 지만 성과는 이러한 투자를 통해 실제로 얻을 수 있는 결과물입니다.
자동차를 운전하는 것처럼 투입과 성과를 비교해보세요. 고급 에어백, 브레이크, 내비게이션 기능도 중요한 옵션입니다. 하지만 어디로 가는지, 즉 목적지를 모른다면 이러한 기능으로 별다른 가치를 얻을 수 없습니다. 보안팀에서는 조직을 어디로 이끌고 있는지 명확하게 파악해야 합니다. 성과가 바로 그 방향을 제시합니다.
전략적 사이버 보안 성과를 정의하는 데 가장 효과적인 접근 방식은 거꾸로 작업하는 것입니다. 이 기법은 최종 목표를 구상한 다음 단계별로 목표를 달성하기 위해 필요한 사항을 결정하는 것으로 시작됩니다.
예를 들어, 지금부터 1년 후 사이버 사고로 인한 비즈니스 중단이 최소화되기를 원한다고 가정해 보겠습니다. 목표를 달성했음을 입증할 수 있는 측정 가능한 성과에는 어떤 것이 있을까요? 여기에는 다음이 포함될 수 있습니다.
평균 사고 대응 속도 20% 개선
분기당 사이버 공격으로 인한 가동 중단 시간 2시간 미만
랜섬웨어 지급 제로
이렇게 정의한 후에는 이제 거꾸로 작업하여 이러한 성과를 달성하는 데 필요한 역량과 리소스를 파악할 수 있습니다. 응답 시간과 다운타임을 줄일 수 있는 도구나 기술에는 어떤 것이 있을까요? 어떤 액세스 제어와 백업으로 랜섬 지급을 없앨 수 있을까요?
거꾸로 작업하면 명확성과 집중력을 얻을 수 있습니다. 사후 대응 전략에 빠져 길을 헤매지 말고 비즈니스 목표를 염두에 두고 시작하세요.
사이버 보안 투자를 정당화할 때 흔히 겪는 어려움은 비즈니스에 중요한 사안과 연계하는 일입니다. 보안 리더는 성과를 조직의 우선순위 목표와 목적에 직접 연계해야 합니다.
예를 들어, 새로운 시장으로의 빠른 확장 및 제품 개발 가속화가 최상위 목표인 경우 그와 관련된 성과는 다음과 같을 수 있습니다.
9개월 만에 신규 시장에 안전한 온라인 플랫폼 출시
보안 문제로 인한 제품 출시 주기 지연 30% 단축
이를 통해 보안 확보 노력이 장애물이 아닌 원동력으로 자리매김할 수 있습니다. 주요 성과를 지원하거나 추진하는 데 도움이 되는 기능에 리소스를 투자하는 것을 훨씬 더 쉽게 정당화할 수 있습니다.
또한 성과는 메트릭과 KPI를 통해 정량화할 수 있어야 합니다. "위험을 줄이겠습니다"라고 말하는 대신 다음과 같이 정의합니다. "한 회계연도 내에 전체 사이버 위험 점수를 78점에서 68점으로 낮추겠습니다". 그러면 진전 상황을 실제로 측정할 수 있습니다.
기술, 재무, 비즈니스 요소에 걸쳐 계단식으로 구성된 지표가 가장 이상적입니다.
기술: 더 빠른 위협 감지, 더 적은 소프트웨어 취약성
재무: 보안 유출 및 사고로 인한 비용 절감
비즈니스: 고객 신뢰와 가동 시간으로 인한 수익 증대
이점 실현 분석을 수행하면 생산성 향상, 브랜드 평판, 규제 준수 등의 영역에서 얻을 수 있는 이점을 더욱 정량화할 수 있습니다.
명확한 성과가 정의되면 이러한 성과를 실현하는 데 적합한 인력, 도구, 기술의 조합을 찾는 것이 진정한 작업의 시작입니다. 이를 위해서는 보안 전략과 현장의 실행을 긴밀하게 연계해야 합니다.
AI, 자동화 등의 신기술은 큰 도움이 될 수 있지만, 응답 시간 단축이나 보안 유출 감소 등의 구체적인 목표 성과에 의도적으로 초점을 맞출 때만 가능합니다. 그렇지 않으면 가장 진보된 도구라 하더라도 사용되지 못하고 예산 낭비 요소가 됩니다.
때로, 가장 좋은 방법은 새로운 사이버 기능을 구매하는 것이 아니라 방해가 되는 도구를 간소화하거나 제거하는 것입니다. 중복되는 벤더를 통합 플랫폼으로 통합하면 이전에 통합 및 유지 관리에 낭비되던 예산과 잠재적 대역폭을 확보할 수 있습니다.
메트릭을 통해 진행 상황을 지속해서 추적하면 접근 방식과 투자를 개선하는 데 중요한 피드백을 얻을 수 있습니다. 특정 기능으로 우선순위 성과가 향상되지 못한다면 해당 기능을 재고하거나 재할당해야 할 수도 있습니다. 이러한 측정은 민첩하고 진화하는 보안 전략의 원동력이 됩니다.
초점은 비즈니스 가치를 창출하는 정의된 목표를 실현하는 데 맞추어야 합니다. 여정에 참고할 수 있는 북극성처럼 보안 리더는 자신감을 가지고 앞으로의 험난한 여정을 헤쳐 나갈 수 있습니다.
사이버 보안의 전략적 역할을 강화하려면 사이버 보안의 초점을 투입 확보에서 성과 구현으로 전환하는 것이 중요합니다. 비즈니스 리더에게는 보안팀에서 조직의 사명을 뒷받침하는 가시적인 결과를 책임져 주는 것이 필요합니다.
이처럼 비즈니스에 미치는 긍정적인 영향에 대하여 대외적으로 초점을 맞추는 것은 IT, 재무, 마케팅, 법무, 기타 그룹 전반에 걸쳐 중요한 내부 파트너십 구축에도 도움이 됩니다. 그에 따라 협업이 촉진되어 보안 성과가 추진되며 전사적으로 목표가 향상됩니다.
마지막으로, 결과에 집중하면 혼란스러운 시기에도 명확성을 확보할 수 있습니다. 새로운 위협이 등장하기 마련이고 투자에는 위험이 수반됩니다. 비즈니스 요구사항에 기반한 이러한 정의된 목표를 통해 보안 리더는 앞으로 나아갈 길을 자신 있게 헤쳐 나갈 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
John Engates — @jengates
Cloudflare 필드 CTO
이 글을 읽고 나면 다음을 이해할 수 있습니다.
사이버 보안 성과와 투입의 차이
보안의 역할을 위험 관리에서 비즈니스 가치의 전략적 동인으로 전환해야 할 필요성