Organizational cyber maturity
지금은 그 어느때보다도 불안한 사이버 보안(the century of cyber insecurity)의 시대이지만 정보 자산을 보호하는 데 충분한 진전을 이루고 있는 기업, 조직을 거의 찾아 보기 어렵습니다.
사이버 보안의 S자 곡선 : 디지털 회복탄력성을 향해 The S-curves of cybersecurity: Toward digital resilience
기업들은 위험 기반 사이버 보안 체제로 전환하고 있습니다. 이 접근 방식은 모든 자산이 동등하게 만들어지는 것도 아니며 오늘날의 모든 것을 아우르는 디지털 환경에서 동등하게 보호될 수도 없다는 것을 인식합니다. 일부 자산은 기업과 비즈니스에 매우 중요합니다. 사실 디지털 비즈니스 모델은 전적으로 신뢰에 의존하고 있습니다. 기업의 고객 인터페이스가 안전하지 않으면 리스크가 존재하게 될 수 있습니다. 이러한 자산을 보호하는 것이 사이버 위협으로부터 보호하기 위한 효과적인 전략의 핵심입니다.
디지털 회복탄력성을 위한 7가지 활동 영역 The seven action areas of digital resilience
기업은 디지털 안정성과 고객 신뢰를 보장하는 데 필요한 기본 기능을 이미 갖추고 있어야만 고도화되고 성숙된 수준으로 전환할 수 있습니다. 또한 이러한 기능과 역량을 개발하고 개선함에 따라 기업이 달성하고자 하는 목표는 기업 리스크의 감소를 입증가능하고 수량화할 수 있어 달성에 도움이 됩니다. 이러한 기능은 7가지 액션 영역으로 그룹화할 수 있습니다.
사이버 보안 성숙도 수준에 대한 조사 The McKinsey survey on cybersecurity maturity levels
2021년 맥킨지는 다양한 산업 부문에서 100개 이상의 기업 및 기관의 사이버 보안 성숙도 수준을 평가했습니다. 결과에 따르면 은행 및 의료 산업의 일부는 공정한 발전을 이루었지만 모든 산업의 대부분의 조직은 여전히 위협과 공격으로부터 정보 자산을 보호하기 위해 아직 할 일이 많이 남아 있습니다. 위험은 그 수와 심각성이 급격히 증가하고 있습니다.
기업은 역량, 기술 및 위험 관리 프로세스를 평가하여 사이버 보안 성숙도를 향한 진행 상황을 측정할 수 있습니다. 기업은 처음에 보안 및 복원력 기초(plug gaps, 레벨 1)를 구축 및 강화하여 격차를 메우고, 사이버 보안 기능을 전문화하기 위한 운영 모델 및 조직을 수립합니다. 그 결과 사이버 위험에 대한 성숙도 기반 접근 방식(maturity-based approach, 레벨 2)이 나타납니다.
기업 위험을 줄이는 것은 보다 발전된 위험 기반 접근 방식(risked-based approach, 레벨 3)의 목표입니다. 기업은 기업 위험 프레임워크에서 보안 및 개인 정보 보호 제어를 관리 및 측정하고, 위험 욕구 임계값을 설정하고, 사이버 보안 운영 모드에 모든 이해 관계자를 포함합니다.
그 너머에는 프로세스의 변환과 차세대 기술의 채택을 통해 전체적인 복원력(holistic resilience)과 디지털 신뢰가 달성되는 사전 예방적 사이버 보안(proactive cybersecurity) 영역인 레벨 4가 있습니다. 레벨 4에서 보안은 제품, 서비스 및 프로세스에 포함됩니다("보안 설계(security by design)"). 고객, 파트너, 제3자 및 규제 기관이 기업 회복탄력성 관리에 완전히 통합됩니다.
업종별 사이버 보안 수준 Cybersecurity levels by industry sector
은행, 소비자 대면 및 의료 분야는 사이버 보안 성숙도가 가장 높은 분야입니다. 다음은 성숙도 요인입니다.
규제 환경 The regulatory environment : 미국과 유럽의 산업 및 지역 중심의 규제는 규제 정밀 조사와 벌금 부과 가능성을 통해 더욱 발전된 사이버 보안을 유도합니다.
소비자의 기대치 Consumer expectations : 소비자 대면(consumer-facing) 산업에서는 세간의 이목을 끄는 데이터 침해와 개인 식별 가능 정보에 대한 위협의 인식 증가로 인해 보다 진보된 사이버 보안을 향한 발전이 가속화되고 있습니다. 점점 더 많은 고객들이 더 나은 개인 정보 보호를 요구하고 있습니다.
경쟁 압력 Competitive pressures : 데이터 보안에 대한 신뢰와 신뢰가 부족할 경우 경쟁업체로 고객은 돌아설 수 있습니다. 섹터마다 차이가 크지만 각 섹터마다 차이는 더 뚜렷합니다.
사이버 보안의 성숙도와 수익성 간의 관계 Relation between maturity in cybersecurity and profitability
조직의 사이버 보안 성과는 수익성 규모에 맞춰 조정됩니다. 사이버 성숙도와 수익성은 프로파일링된 모든 조직과 직접적인 상관관계가 있는 것은 아니지만, 사이버 성숙도가 높아지고 마진이 개선되는 전반적인 관계는 분명합니다.
사이버 보안 성숙도 및 조직 규모 및 지배구조 Cybersecurity maturity and organizational size and ownership structure
업계별 차이는 차치하고라도, 가장 높은 사이버 보안 수준을 달성한 조직은 더 크고 공개적으로 보유되는 경우가 많습니다.
사이버 보안 리더의 특징적 역량 The distinctive capabilities of cybersecurity leaders
점수가 가장 높은 조직은 설문 조사에서 측정된 사이버 보안 활동에서 평균 이상의 성과를 보였습니다. 일부 리더는 이러한 활동의 선별 그룹에서 두드러졌는데, 이는 자산의 최신정보 유지(up-to-date inventory of assets), 이사회 아젠다로 사이버 보안 보고, 권한 있는 액세스 권한자에 대한 업무 분리 시행(the separation of duties for those with privileged access) 등 사이버 보안 성숙도를 나타내는 핵심 지표입니다. 처음 두 가지 활동은 사이버 보안의 현 상태에 대한 인식을 높임으로써 경영진, 관리자가 격차를 파악하고 개선의 진행 상황을 쉽게 측정할 수 있도록 합니다. 세 번째 활동은 사이버 위험을 억제하기 위한 노력으로 운영 민감성(operational sensitivity)을 높이는 증거입니다.
이 조사는 각 활동 영역의 모든 활동에 대한 사이버 보안 성숙도를 조사했습니다.
모든 조직이 잘 하고 있는 영역 All organizations perform these activities well
대부분의 설문 응답 기업은 일부 필수 활동을 잘 수행하고 있는데, 특히 공급업체와 제3자에게 사이버 보안 요구사항을 전달하고, 비즈니스 크리티컬 데이터를 사용할 수 있도록 보장하며, 원격 액세스의 보안을 관리하고, 조직 전체에 사이버 보안 정책 및 표준을 지속적으로 개선하고 있습니다. (아래)
대부분의 조직에서 활동이 어렵다고 생각하는 영역 Most organizations find these activities challenging
대부분의 조직에서는 특히 조직과 데이터 흐름 매핑, 사이버 보안 대응 시뮬레이션 수행, 코드 보안 검토 및 보상(reviewing and rewarding code security) 등 특정 작업을 더 잘 수행해야 하는 과제를 안고 있습니다. (아래)
상위 리더가 훨씬 잘하고 있는 영역 Leaders outperform on these activities
주요 조직은 직원 피싱 프로그램(employee phishing programs)에서 낮은 "클릭하는 비율(click rate)" 유지하고 적어도 매년 사이버 보안 우선 순위 과제를 다시 확인 및 업데이트하고, 중앙 ID 사용하여 대부분의 애플리케이션(업무시스템)에 대한 프로비저닝 및 프로비저닝 해제를 위한 솔루션 액세스 등 몇 가지 주요 사이버 보안 활동에서 뛰어난 성과를 내고 있습니다. 그리고 IT 환경에서 정기적으로 취약성을 검사하고 표준 및 특정 위협에 대한 인텔리전스를 소싱합니다.
리스크 기반 사이버 보안 접근 방식을 채택함에 따라 선도적인 조직이 능동적으로 대응할 수 있습니다. 또한, 이러한 조직은 사이버 위험을 비즈니스 리스크로 인식함으로써 발생하는 여러 다른 활동에서도 우수한 성과를 거두고 있는 것으로 나타났습니다. 여기에는 기업 경영진이 사이버 위험과 사이버 문화를 비즈니스 의사 결정의 일부로 삼는 것, 비즈니스연속성계획 및 재해복구(business-continuity planning and disaster recovery) 시 테스트된 사이버 보안 시나리오 사용, 공급망과 조직 경계를 포괄하도록 사이버 보안에 대한 전체적인 접근, 암호화 보호 등이 포함됩니다. 보안 위협 인텔리전스를 깊이 이해하고 활용할 수 있습니다.
마지막으로, 주요 조직과 비즈니스 리더 모두 10개의 기타 기술 및 비기술적 활동에서 우수한 성과를 거두어 위험 기반 보안에 대한 전반적인 추세를 보여주었습니다. 이러한 활동에는 모바일 장치를 둘러싼 강력한 기술 통제(strong technical controls around mobile devices) 적용, 사이버 위험 의사 결정의 일부로 비즈니스 리더 포함, 민감한 정보를 더 잘 보호하기 위한 세분화되고 더 엄격한 보안 네트워크 구축, 성숙한 사이버 보안을 가능하게 하는 정보 및 정책 수립 등이 포함됩니다.
기업을 대상으로 한 설문조사는 최첨단 사이버 보안 전문가의 경험적 지식을 뒷받침하는 확실한 증거를 제공합니다. 사이버 공격자들은 현재 우위를 점하고 있으며, 조직은 어느 정도 진전을 이루었지만, 대부분은 기존의 사이버 위협에 대해 회복탄력적으로 대처하고 급변하는 위협 환경에 능동적으로 대처하기 위해 상당한 노력을 기울여야 합니다. 전체적인 사이버 리질리언스 확보를 위해 기업에게 주어진 시간은 그리 많지 않습니다.
번역 : 류종기
출처 : 맥킨지 보고서
Organizational cyber maturity: A survey of industries