[요약] 사이버 리스크를 평가, 측정하는 방법은 최근 몇 년 간 발전해왔지만여전히 기술 중심적이고 좁은 범위에 국한되어 있거나 왜곡되어 있습니다. 진정으로 효과적인 사이버 리스크에 대한 평가는 기술적 분석, 거버넌스, 문화 및 불리한 사이버 이벤트의 재정적 영향을 고려하는 전체적인 평가여야 합니다. 이러한 격차를 해소하기 위해, 비즈니스 리더들은 평가와 평가의 기본 구성요소가 자신과 회사에 실제로 어떤 의미인지를 해석하는 방법을 배워야 합니다. 그러나 사이버 리스크에 정통해지기 위해서 모든 경영진이 기술 전문가가 될 필요는 없습니다. 이것이 의미하는 바는 사이버 위험에 대한 회사의 내성(tolerance)을 확립하고, 사이버 보안 투자를 이끌기 위해 비즈니스에 가장 중요한 결과를 정의하고, 사이버 보안과 사이버 복원력(resilience, 회복탄력성 / 리질리언스)의 문화를 육성할 수 있어야 합니다.
지난 10년 간 비즈니스 리더들은 불편한 진실에 직면해야 했습니다. 이제는 기업의 경영을 책임지는 위치에서 사이버 리스크의 위협에 대처하지 않는 것은 더이상 불가능해졌습니다. 사이버 공격은 점점 더 만연하고 있으며 기업에 실존적 위협을 가할 수 있으며, 회사의 이사회와 경영진은 기술적으로 세부 사항을 파악할 수는 없더라도 이를 평가할 방법이 필요합니다. 이로 인해 기업 내외부 이해관계자 간에 사이버 리스크를 측정하고 관리하라는 요구가 폭발적으로 증가하고 있습니다.
최근 몇 년간 사이버 위험을 측정하는 방법이 발전해 왔지만, 신용 평가 기관, 투자자 및 보험 회사의 노력 덕분에 경영진 차원에서 정보에 입각한 의사결정을 대체할 수 있는 방법은 없습니다. 사이버 보안 전문가로서, 우리는 제3자 평가뿐만 아니라 기술적 분석, 거버넌스, 문화 및 불리한 사이버 사건의 재정적 영향을 고려하는 전체적인 평가를 바탕으로 점수를 개발해야 할 때가 왔다고 생각합니다. 이러한 평가는 기업이 기술적 취약성에 노출되어 있다는 것을 이해하는 데 사용할 수 있는 기업 이사들에게 필수적이고 강력한 도구가 되어야 합니다.
그러나 사이버 리스크에 정통해지기 위해서 모든 경영진이 기술 전문가가 될 필요는 없습니다. 이것이 의미하는 바는 사이버 위험에 대한 회사의 내성(tolerance)을 확립하고, 사이버 보안 투자를 이끌기 위해 비즈니스에 가장 중요한 결과를 정의하고, 사이버 보안과 회복탄력성(resilience)의 문화를 육성할 수 있어야 합니다.
사이버 리스크 평가에서 알 수 있는 것은
What cyber risk assessments do (and don’t) tell you
가장 기본적인 수준에서 제3자(third-party)에 의한 사이버 리스크 평가는 제품 및 서비스의 중단, 기밀 데이터 침해 또는 사이버 공격에 의한 부정 행위 등 사이버 공격으로부터 기업을 보호하기 위해 설계된 방어를 얼마나 잘 구현했는지를 보여줍니다. 또한 이러한 평가는 기업이 이러한 공격으로부터 방어하고 복구하기 위해 얼마나 잘 준비했는지, 즉 사이버 복원력(cyber resilience)을 측정합니다. 이는 광범위한 전사적 리스크 관리(enterprise risk-management) 전략의 중요한 구성요소입니다. 사이버 복원력이 취약할 경우 회사에 처할 위험은 매우 명확합니다. 기업 이사회는 내부 정보가 해킹되어 다크웹으로 유출, 거래되는 뉴스들, 공장 생산 중단으로 인한 수익 손실, 은행 송금 사기 및 고객 개인 정보 침해 등으로 인해 피해가 기업에 지속적인 평판 손상을 입히고 있다고 보고 있습니다.
지난 10년 동안 사이버 리스크를 이해, 평가하고 정량화하는 일은 주로 문제의 기술적 측면을 주로 다루는 CISO(Chief Information Security Officer, 정보보호 최고 책임자)와 그 팀의 몫이었습니다. 평가 과정에서 이들은 주로 이전 공격 횟수, 공격 영향 그리고 공격에 대한 대응, 해결 속도에 초점을 맞추는 경향이 있었습니다. 간단히 말해서, 정보보호 팀의 목표는 확립된 방어를 점검하고 강화하는 것이었습니다. 이 접근법의 문제는 대부분 뒤돌아본다는(backward-looking, 이미 벌어진 상황을 회고하는) 것입니다. 평가에는 때로 인터넷에 노출된 회사 시스템을 공격자가 볼 수 있는 것으로 보고 이러한 시스템이 얼마나 공격에 취약한지를 확인하는 작업이 포함됩니다. 이 접근 방식의 문제는 조직의 약점을 연구하려는 해커를 의도적으로 속이려는 노력을 포함하여 조직이 가지고 있을 수 있는 계층적 방어(layered defenses)를 고려하지 않는 경우가 많기 때문에 결과적으로 리스크에 대한 좁은 시야만 반영될 수 있습니다.
그러나 이러한 두 가지 접근 방식의 가장 큰 제약사항은 사이버 보안에 대한 의사 결정을 해당 서비스의 주관부서(현업, business)와 분리하고 있다는 것입니다. 사이버 보안을 위한 기술적 평가는 CISO의 요구가 필요할 수 있지만, 이사회가 진정으로 필요로 하는 것, 즉 기업의 사이버 보안(cybersecurity 또는 cyber security)의 기술적 영향 뿐만 아니라 재무 및 비즈니스 영향을 고려하는 리스크 기반(risk-oriented)이면서 기업 조직 전반을 아우르고 검증된 관점을 제공하지는 못합니다. 더욱이 사이버 보안에 대한 기술 평가 보고서는 지배구조, 조직 문화, 의사결정 관행 (decision-making practices) 또는 기업의 사이버 리스크 프로파일(risk profile, 리스크의 특성, 유형, 발생가능성, 성과에 미치는 영향, 그리고 상호연관성 등이 정의, 기록된 내용을 의미)과 리스크 선호도(risk appetite, 가치 창출을 위해 기업이 리스크를 감수하려는 의지와 정도로, 업의 특성이나 조직 유형, 문화에 따라 회피 성향이나 추구 성향 등 조직마다 다를 수 있음)에 대한 광범위한 처리와 같은 속성을 적절히 포착하지 못하고 있습니다. 이사회와 기업 경영진들은 사이버 보안 강화를 개선하기 위해 투자할 것인지 여부를 제대로 결정하고자 한다면 이 모든 것을 이해하고 있어야 합니다.
도움이 되는 감사를 받는 방법 How to get the audit you need
평가가 이사회 임원들에게 유용하려면, 이사회는 먼저 요구사항을 명확히 해야 하는데 즉, 무엇을 요청해야 하는지 알아야 합니다. 이사회는 액면 그대로의 점수나 회사의 기술 관리자나 감사로부터의 질적 평가(qualitative assessment)를 받아들이기 보다는 종합적인(comprehensive) 평가를 요구해야 합니다. 즉, 기술적 세부 사항을 넘어 내외부 관점을 모두 포함하는 평가입니다. 동시에 사이버 보안 관리자는 경영진과 이사회와 협력하여 배경과 맥락(context)을 제공하고 평가를 이사회가 효과적인 감독을 제공하는 데 필요한 지식을 공유하는 도구로 사용해야 합니다. 신뢰할 수 있는 조언자에 의해 수집되고 공유되는 방식으로 제시될 경우, 사이버 리스크 정보는 기업의 다른 여러 비즈니스 위험에 대비하고 특정 전략적 기회에 대해서도 유사하게 평가할 수 있습니다. 그렇다고 완벽한 결과가 나오지는 않겠지만, 사이버 리스크에 대한 기업의 이해를 크게 개선하고 접근 방식이 개선됨에 따라 감독 기능의 진화를 위한 명확한 경로도 제공될 수 있을 것입니다.
실제 업무에서 이 것은 어떻게 실행될까요? 적절한 의사 결정을 내리기 위해 이사회는 전반적인 사이버 리스크 프로파일에 대해 "양호(good)"라는 것이 무엇을 의미하는지, 그리고 전체론적 평가가 실제로 무엇을 수반해야 하는지 이해해야 합니다(내부, 외부, 벤치마크, 손실 분석 등). 또한 회사의 목표에 부합하는 결과에 대한 기대치를 설정해야 합니다. "양호"라는 것이 무엇을 의미하는지 결정하는 것은 회사마다 다릅니다. 다행스럽게도 이것은 사이버 평가 및 평가 방법론이 성숙할 때 회사가 올바른 결과를 얻을 수 있도록 빌딩 블록이 제 위치에 있도록 하기 위해 이사회가 할 수 있는 일이 상당히 많다는 것을 의미합니다.
리스크 선호도를 정의하세요 Define your risk appetite : 이사회가 가장 먼저 인식해야 할 것은 다른 위험과 마찬가지로 사이버 손실 사건에 대해서도 회사의 리스크 선호도를 결정해야 한다는 것입니다. 이사회가 직면한 기업 리스크 유형과 주제에 대해 이해하게 되면, "완벽한(perfect)" 사이버 보안은 달성할 수 없다는 것을 인식하게 됩니다. 오히려, 사이버 리스크를 평가하고 사이버 평가에 대해 곰곰이 생각해 보는 것을 통해 적어도 이 두 가지 주요 질문을 신중하게 고려해야 한다는 것을 인정하게 될 것입니다. 1) 고객들은 우리에게 무엇을 기대하는가? 2) 동종 회사들은 이러한 위험에 어떻게 접근하고 있는가?
결과에 집중하세요 Focus on outcomes : 비즈니스 리더들은 평가 등급 비교로 바로 넘어가지 말고 달성하고자 하는 결과에 집중해야 합니다. 조직의 리스크 선호도, 사이버 보안에 대한 사전적인 그리고 앞으로 미래를 위한 투자, 그리고 고객, 주주 및 규제 당국의 기대치와 요구사항이 결합된 올바른 결과를 의미합니다. 오프라인 소매업체가 대형 은행과 같은 금융기관이나 군사 장비 제조업체와 동일한 사이버 보안 프로그램과 방어 시스템을 갖출 것이라고는 아무도 생각하지 않습니다. (서비스 중단에 대한 걱정이 많은 전력회사와 고객 개인정보 유출에 대한 걱정이 많은 로펌(법무법인)의 상황을 비교해보십시오.) 마찬가지로 이사회와 비즈니스 리더는 리스크에 대한 선호도를 파악하고 업계 프로파일(industry profiles)에 상응하는 사이버 보안에 투자하여 기대치를 조정해야 합니다. 이러한 사항이 확정되면, 이사회는 내부 표준과 목표를 설정하고 이를 이행할 책임을 경영진에게 물어야 합니다.
사이버 보안 및 회복탄력성 문화를 확립하세요 Establish a culture of cybersecurity and resilience : 거버넌스와 문화는 사이버 리스크를 평가하는 데 있어 중요한 역할을 합니다. 이사회는 회사의 사이버 보안 프로그램의 이러한 측면이 가장 중요하다는 것을 확실히 하기 위한 이사회의 역할을 강력하게 주장해야 합니다. 현재 사이버 리스크를 측정, 평가하는 방법은 다양하지만, 올바른 결과는 항상 올바른 문화에서 시작됩니다. 평가기준, 평가 값이 바뀌더라도 문화(culture)는 측정할 수 있는 사이버 레질리언스의 모든 측면의 동인이며, 여기에는 외부로 드러나는 평가점수의 개선을 주도하는 기술 프로세스의 개선, 비즈니스 이니셔티브와 관련된 사이버 관리 참여, 목표에 대한 책임을 보장하기 위한 이사회 참여 등이 포함됩니다. 문화는 또한 컴퓨팅 추세가 변화함에 따라 변화하는 경향이 있는 기술 측정보다 지표의 변동 폭이 더 적기 때문에 중요합니다. 예를 들어 데이터 센터에서 사이버 보안을 측정하는 것은 클라우드에서 사이버 보안을 측정하는 것과 크게 다르지만 이러한 환경이 효과적으로 관리되는지 여부에 대한 문화적 측면은 유사합니다.
사이버 보안 평가 시장이 전체적 관점으로 보는 사이버 보안 평가로 발전함에 따라 이사회와 비즈니스 리더들은 사이버 리스크를 측정하는 기준과 측정값들이 진정으로 비교가능한 벤치마크 정보를 제공하고 내외부 측정 간의 균형을 적절히 고려하고 있으며, 조직의 기술적, 거버넌스, 문화적 측면을 완전하게 검토하고 있는지에 세심한 주의를 기울여야 합니다. 이를 달성하기 위해서는 리스크 평가에 사용되는 방법론의 투명성이 매우 중요합니다. 그러나 조직이 사이버 리스크에 대한 욕구를 적절히 설정하고 관리하고, 해당 사이버 이벤트가 기업에 미칠 수 있는 재정적 영향 범위와, 이를 완화하는 데 있어 올바른 정보에 입각한 거버넌스가 수행하는 역할을 이해하는 것도 매우 중요합니다.
다니엘 도브리고스키(Daniel Dobrygowski)는 사이버 보안을 위한 세계 경제 포럼 센터의 거버넌스 및 정책 책임자로, 사이버 보안 문제에 대한 전략, 법률 및 정책에 대해 조언합니다. 그의 연구 분야에는 사생활 보호, 선거 보안, 지적 재산권, 경쟁법, 디지털 신뢰, 신기술 및 신흥 기술의 거버넌스 등이 있습니다.
데릭 발다라(Derek Vadala)는 국제 신용 평가 기관인 Moody's Corporation과 회사를 건설하는 벤처 그룹인 Team8의 합작 회사인 Cyber Assessments의 CEO입니다. 데릭은 이 중요한 문제에 대한 글로벌 대화를 개선하기 위해 사이버 리스크 커뮤니케이션을 위한 표준 벤치마크를 만드는 데 주력하고 있는 팀을 이끌고 있습니다. 이 벤처를 이끌기 전에는 Moody의 Cyber Risk 글로벌 책임자로, 사이버 위험을 평가하고 이러한 기능을 신용 분석에 통합하는 기능을 개발했습니다.
번역 : 류종기
출처 : HBR 디지털 아티클
Does Your Board Really Understand Your Cyber Risks?
by Daniel Dobrygowski and Derek Vadala September 01, 2020
