![](https://cdn.imweb.me/upload/S20240129394489d6454d3/9ee2c93338fa3.png)
가트너 일본은 사이버 보안에서 억제해야 할 4가지 선입견과 실행해야 할 행동에 대해서 발표했는데요. 사이버 보안 노력은 기업에게 중요한 요소이지만 4가지의 선입견으로 인해 노력에 걸 맞는 효과가 나타나지 않고 있다고 분석되었습니다.
가트너 부회장 제이 하이저(Jay Heiser)는 최소의 노력으로 가장 큰 효과를 가져오는 마인드셋이란 사이버 보안의 진정한 가치를 제공하기 위한 ROI에 기초한 전략적 접근이라고 하며, 이 접근 법을 통해 사이버 보안 전문가들은 방어벽이라는 역할에 그치지 않고 명확한 가치를 창출하는 진정한 잠재 능력을 발휘할 수 있게 된다고 말하고 있습니다.
🔶 사이버 보안에서 조심해야 할 4가지 선입견
1. 리스크 분석을 늘리면 보다 안전해진다?
일반적인 보안 계획에서 간부급 의사결정자들의 행동을 촉진하기 위해 고도의 데이터 분석을 실시하는 것이 최선이라고 생각하고 있지만 이러한 방법으로 모든 위험을 정량화 하는 것은 현실적이지 않습니다. 이러한 정보만으로는 보안 리스크가 초래하는 비즈니스 리스크에 대해 누가 어떻게 대처하고 책임을 질 것인지 CISO와 경영자가 실행해야 할 다음 행동과 직접적으로 연결되어 있지 않기 때문입니다.
이에 하이저는 경험이 풍부한 CISO는 보다 많은 데이터나 분석을 계속 추구하는 것이 아니라 최소 노력으로 최대 효과를 가져오는 방법을 활용해야 하며, 그 방법은 사이버 보안에 대한 투자액과 그 투자로 대응 가능한 취약성의 양을 직접적으로 연결하는 데 필요한 최소한의 정보를 말하고 있습니다.
비지니스를 추진하기 위해 무작정 고도의 리스크 분석을 늘리는 것은 역효과가 나타날 수 있습니다. CISO는 최소 노력으로 최대 효과를 가져오는 지견을 바탕으로 행동하기 위해 성과주도 평가지표(ODM : Outcome-Driven Metrics)를 사용해야 합니다. ODM은 현재 실시하고 있는 보안 수준과 그에 소요된 비용에 따라 구현 가능한 대안과 그 보안 수준을 설명함으로써 보안 운용에서 얻을 수 있는 평가 지표를 비지니스 성과로 연결합니다.
2. 시큐리티 툴을 늘리면 보다 안전해진다?
대부분의 기업이 새로운 기술 획득을 검토하고 있다는 경향이지만 사이버 시큐리티 툴이나 Tech의 지출을 늘려도 시큐어가 된 실감은 얻을 수 없다고 느끼고 있습니다.
하이저는 단순히 기술 조달의 마인드셋에 빠질 때가 아니라 기업을 노리는 공격이나 그 전조 관찰/방어/대응에 필요한 최소한의 기술을 도입하여 독자적인 아키텍처 내에서 기술 투자로 인한 가치창출을 어렵게 하는 복잡성을 완화하고 상호 운용성 결여를 줄여야 한다고 말하고 있습니다.
최소 노력으로 최대 효과를 가져오는 툴을 도입하려면 먼저 기술에 드는 인적 비용을 가시화하고 절감해야 합니다. 이와 병행하여 아키텍처에도 주목하고 기술의 상호 운용성과 적응성을 설계 원칙으로 해야합니다.
![](https://cdn.imweb.me/upload/S20240129394489d6454d3/57c21ab98ae53.jpg)
3. 사이버 보안 전문가를 늘리면 안전해진다?
2022년에만 사이버보안 전문가가 65% 증가하여 많은 CISO가 수요보다 공급을 초과하는 사이버 전문가의 증가 문제를 해결하지 못하고 있습니다. 대부분 사이버 대책을 실시할 수 있는 것은 사이버 시큐리티 전문가 뿐이라다라는 선입견 때문에 문제가 야기하였는데 인재 채용에 열을 올리는 것이 중요한 것이 아니라 보안 전문지식을 일반화하는 것이 중요한 해결책 중 하나입니다.
현재 기업의 41%의 직원은 비 IT 부문 비즈니스 테크놀로지스트로서 기술을 획득, 적응 또는 구축하고 있는데 이 비율은 2027년 77%로 증가할 것이라고 가트너는 예측하고 있습니다. CISO는 이러한 비즈니스 기술자의 최소 노력으로 최대 효과를 가져올 수 있는 전문 지식 습득을 지원함으로써 팀의 부담을 줄일 수 있다. 가트너의 최신 조사에 따르면 고도의 사이버 저지먼트를 습득한 비즈니스 테크놀로지스트는 보안 리스크를 반감시키고 의사결정 판단을 내리는 속도가 2.2배 빨라지는 것으로 나타났습니다.
4. 압박을 강화하면 그만큼 안전해진다?
가트너의 조사에 따르면 직원의 과반수가 보안 관점에서 위험한 행동을 인지하고 있다 라고 생각합니다. 또한 자신의 행동이 기업의 리스크를 증대시킨다고 인정하는 직원이 93%나 이른다고 합니다. 직원에게 안전한 행동을 하게 하는 데에는 어느 정도 직원의 협력을 얻는 것은 중요하나 압박에 의해서 행동을 제어하려고 한다면 다양한 불만이나 마찰이 생깁니다.
이 4가지 선입견을 가지지 않도록 기업이 주의하고 사이버 시큐리티의 대처로부터 올바른 가치를 가져오는 데에 다음 3가지 포인트를 염두에 두어야 한다고 가트너는 제안하고 있습니다.
- 식견, 툴, 전문지식, 직원의 노력의 관점에서 대처를 추진할 것
- 다양한 장소에서 인간 중심의 시큐리티 디자인에 의한 사용자 경험을 도입하여 사이버 심판을 육성할 것
- 사이버 시큐리티 메시를 사용하여 영속적으로 새로운 툴을 도입할 것
마크애니는 기업, 기관의 기밀문서와 데이터를 보호하기 위해 촘촘한 엔드포인트 문서 보안 솔루션을 보유하고 있습니다. 랜섬웨어 공격으로 문서와 데이터가 유출돼도 인가된 직원이 아니면 함부로 파일을 열어볼 수 없고 사내·외, 원격 환경 지원이 가능해 언제 어디서나 기업 네트워크를 강력하게 보호하죠. 이미 공공, 금융, 제조, 유통 등 국내 600여 곳이 마크애니 솔루션과 함께하고 있답니다.
⭐기업 데이터를 안전하게 보호하기 위한 솔루션이 필요하시다면 마크애니와 함께 해보세요!
![](https://cdn.imweb.me/upload/S20240129394489d6454d3/697919587ad8f.png)
*참고자료
サイバーセキュリティにおいて払拭すべき4つの「先入観」と実行すべきアクションを発表. GartnerJP, 23-07-26
마크애니 박춘식 고문는 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology 에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임하였다. 현재는 아주대학교 사이버보안학과 교수로 재직중이다
가트너 일본은 사이버 보안에서 억제해야 할 4가지 선입견과 실행해야 할 행동에 대해서 발표했는데요. 사이버 보안 노력은 기업에게 중요한 요소이지만 4가지의 선입견으로 인해 노력에 걸 맞는 효과가 나타나지 않고 있다고 분석되었습니다.
가트너 부회장 제이 하이저(Jay Heiser)는 최소의 노력으로 가장 큰 효과를 가져오는 마인드셋이란 사이버 보안의 진정한 가치를 제공하기 위한 ROI에 기초한 전략적 접근이라고 하며, 이 접근 법을 통해 사이버 보안 전문가들은 방어벽이라는 역할에 그치지 않고 명확한 가치를 창출하는 진정한 잠재 능력을 발휘할 수 있게 된다고 말하고 있습니다.
🔶 사이버 보안에서 조심해야 할 4가지 선입견
1. 리스크 분석을 늘리면 보다 안전해진다?
일반적인 보안 계획에서 간부급 의사결정자들의 행동을 촉진하기 위해 고도의 데이터 분석을 실시하는 것이 최선이라고 생각하고 있지만 이러한 방법으로 모든 위험을 정량화 하는 것은 현실적이지 않습니다. 이러한 정보만으로는 보안 리스크가 초래하는 비즈니스 리스크에 대해 누가 어떻게 대처하고 책임을 질 것인지 CISO와 경영자가 실행해야 할 다음 행동과 직접적으로 연결되어 있지 않기 때문입니다.
이에 하이저는 경험이 풍부한 CISO는 보다 많은 데이터나 분석을 계속 추구하는 것이 아니라 최소 노력으로 최대 효과를 가져오는 방법을 활용해야 하며, 그 방법은 사이버 보안에 대한 투자액과 그 투자로 대응 가능한 취약성의 양을 직접적으로 연결하는 데 필요한 최소한의 정보를 말하고 있습니다.
비지니스를 추진하기 위해 무작정 고도의 리스크 분석을 늘리는 것은 역효과가 나타날 수 있습니다. CISO는 최소 노력으로 최대 효과를 가져오는 지견을 바탕으로 행동하기 위해 성과주도 평가지표(ODM : Outcome-Driven Metrics)를 사용해야 합니다. ODM은 현재 실시하고 있는 보안 수준과 그에 소요된 비용에 따라 구현 가능한 대안과 그 보안 수준을 설명함으로써 보안 운용에서 얻을 수 있는 평가 지표를 비지니스 성과로 연결합니다.
2. 시큐리티 툴을 늘리면 보다 안전해진다?
대부분의 기업이 새로운 기술 획득을 검토하고 있다는 경향이지만 사이버 시큐리티 툴이나 Tech의 지출을 늘려도 시큐어가 된 실감은 얻을 수 없다고 느끼고 있습니다.
하이저는 단순히 기술 조달의 마인드셋에 빠질 때가 아니라 기업을 노리는 공격이나 그 전조 관찰/방어/대응에 필요한 최소한의 기술을 도입하여 독자적인 아키텍처 내에서 기술 투자로 인한 가치창출을 어렵게 하는 복잡성을 완화하고 상호 운용성 결여를 줄여야 한다고 말하고 있습니다.
최소 노력으로 최대 효과를 가져오는 툴을 도입하려면 먼저 기술에 드는 인적 비용을 가시화하고 절감해야 합니다. 이와 병행하여 아키텍처에도 주목하고 기술의 상호 운용성과 적응성을 설계 원칙으로 해야합니다.
3. 사이버 보안 전문가를 늘리면 안전해진다?
2022년에만 사이버보안 전문가가 65% 증가하여 많은 CISO가 수요보다 공급을 초과하는 사이버 전문가의 증가 문제를 해결하지 못하고 있습니다. 대부분 사이버 대책을 실시할 수 있는 것은 사이버 시큐리티 전문가 뿐이라다라는 선입견 때문에 문제가 야기하였는데 인재 채용에 열을 올리는 것이 중요한 것이 아니라 보안 전문지식을 일반화하는 것이 중요한 해결책 중 하나입니다.
현재 기업의 41%의 직원은 비 IT 부문 비즈니스 테크놀로지스트로서 기술을 획득, 적응 또는 구축하고 있는데 이 비율은 2027년 77%로 증가할 것이라고 가트너는 예측하고 있습니다. CISO는 이러한 비즈니스 기술자의 최소 노력으로 최대 효과를 가져올 수 있는 전문 지식 습득을 지원함으로써 팀의 부담을 줄일 수 있다. 가트너의 최신 조사에 따르면 고도의 사이버 저지먼트를 습득한 비즈니스 테크놀로지스트는 보안 리스크를 반감시키고 의사결정 판단을 내리는 속도가 2.2배 빨라지는 것으로 나타났습니다.
4. 압박을 강화하면 그만큼 안전해진다?
가트너의 조사에 따르면 직원의 과반수가 보안 관점에서 위험한 행동을 인지하고 있다 라고 생각합니다. 또한 자신의 행동이 기업의 리스크를 증대시킨다고 인정하는 직원이 93%나 이른다고 합니다. 직원에게 안전한 행동을 하게 하는 데에는 어느 정도 직원의 협력을 얻는 것은 중요하나 압박에 의해서 행동을 제어하려고 한다면 다양한 불만이나 마찰이 생깁니다.
이 4가지 선입견을 가지지 않도록 기업이 주의하고 사이버 시큐리티의 대처로부터 올바른 가치를 가져오는 데에 다음 3가지 포인트를 염두에 두어야 한다고 가트너는 제안하고 있습니다.
- 식견, 툴, 전문지식, 직원의 노력의 관점에서 대처를 추진할 것
- 다양한 장소에서 인간 중심의 시큐리티 디자인에 의한 사용자 경험을 도입하여 사이버 심판을 육성할 것
- 사이버 시큐리티 메시를 사용하여 영속적으로 새로운 툴을 도입할 것
마크애니는 기업, 기관의 기밀문서와 데이터를 보호하기 위해 촘촘한 엔드포인트 문서 보안 솔루션을 보유하고 있습니다. 랜섬웨어 공격으로 문서와 데이터가 유출돼도 인가된 직원이 아니면 함부로 파일을 열어볼 수 없고 사내·외, 원격 환경 지원이 가능해 언제 어디서나 기업 네트워크를 강력하게 보호하죠. 이미 공공, 금융, 제조, 유통 등 국내 600여 곳이 마크애니 솔루션과 함께하고 있답니다.
⭐기업 데이터를 안전하게 보호하기 위한 솔루션이 필요하시다면 마크애니와 함께 해보세요!
*참고자료
サイバーセキュリティにおいて払拭すべき4つの「先入観」と実行すべきアクションを発表. GartnerJP, 23-07-26
마크애니 박춘식 고문는 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology 에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임하였다. 현재는 아주대학교 사이버보안학과 교수로 재직중이다