열려있는 정책플랫폼 |
국가미래연구원은 폭 넓은 주제를 깊은 통찰력으로 다룹니다

※ 여기에 실린 글은 필자 개인의 의견이며 국가미래연구원(IFS)의 공식입장과는 차이가 있을 수 있습니다.

이준호의 사이버보안 이야기 <3> CEO의 대시보드 : 예측가능한 사이버보안 경영의 열쇠 본문듣기

작성시간

  • 기사입력 2024년08월19일 17시10분
  • 최종수정 2024년08월16일 10시00분

작성자

  • 이준호
  • 시그넷파트너스(주) 부사장

메타정보

  • 11

본문

우리는 매일 아침 스마트폰으로 날씨를 확인한다. 오늘 비가 올지, 우산을 챙겨야 할지 미리 알 수 있다. 지하철을 탈 때도 몇 분 후에 열차가 도착할지 정확히 알 수 있다. 배달 음식을 주문하면 음식이 어디쯤 오고 있는지 실시간으로 추적할 수 있다. 이렇게 예측 가능한 정보들이 우리의 일상을 더욱 효율적이고 안정적으로 만들어준다.

 

그런데 기업의 사이버 보안 영역에서는 이런 예측 가능성이 왜 이리 부족할까? <1>편에서 다룬 크라우드스트라이크 사건을 떠올려보자. 단순한 소프트웨어 업데이트 오류가 전 세계적인 혼란을 일으켰다.<2>편에서 언급한 AI 해커의 등장은 이 불확실성을 더욱 증폭시키고 있다. 우리는 언제 어디서 다음 공격이 올지, 어떤 형태로 올지 전혀 예측하지 못하고 있다.

 

안개 속 항해: 불확실성의 바다를 건너는 CEO

 

CEO들은 지금 안개 낀 바다를 항해하는 선장과 같다. "우리 회사의 보안 상태는 지금 어떨까?", "다음 공격은 언제, 어디서 올까?", "우리의 중요한 데이터는 안전할까?" 이러한 질문에 시시각각 대답할 수 있어야 한다. 하지만 현실은 그렇지 못하다.

한 대형 유통업체 CEO의 사례를 보자. 2023년 말, 이 회사는 대규모 개인정보 유출 사고를 겪었다. CEO는 사고 발생 12시간이 지나서야 상황을 파악했고, 그 사이 회사의 주가는 폭락했다. 사후 조사 결과, 해당 공격은 몇 주 전부터 징후가 있었지만, 아무도 이를 CEO에게 제대로 보고하지 않았다는 사실이 밝혀졌다. 이 CEO는 "만약 그때 알았더라면…"이라는 말을 되뇌였다고 한다.

 

정보보호는 언제 일어날지 모르는 사고에 대비하는 보험 같은 성격이다. 그래서 자발적으로 투자하기보다는 강제성에 의해, 또는 사고 후 화들짝 놀라서 투자하는 경향이 짙다. 개인정보보호법, 정보통신망법, 산업기술보호법 등 다양한 법령이 있지만, 이를 어디까지 준수하고 있는지 파악하기가 쉽지 않다. 많은 CEO들이 "우리는 법을 잘 지키고 있겠지!"라고 막연히 생각할 뿐, 실제로 어떤 상황인지 정확히 알지 못한다.

 

안개를 가르는 빛: CEO의 대시보드


여기서 우리에게 필요한 것이 바로 'CEO의 대시보드'다. 마치 자동차를 운전할 때 계기판을 보는 것처럼, CEO가 한 눈에 회사의 사이버 보안 상태를 파악할 수 있는 도구다. 이 대시보드에는 다음과 같은 요소들이 담겨야 한다.

 

실시간 보안 상태 모니터링: 네트워크 트래픽, 침입 시도, 취약점 현황, AI 방어 시스템 상태 등을 실시간으로 보여준다. 마치 병원의 중환자실 모니터링 시스템처럼, 회사의 '사이버 건강 상태'를 시각화한다. 예를 들어, 비정상적인 데이터 흐름이 감지되면 즉시 빨간색 경고등이 켜지는 식이다.

 

AI 예측 모델: 과거 데이터와 현재 상황을 기반으로 미래의 위협을 예측한다. "향후 1주일 내 랜섬웨어 공격 가능성 68%" 같은 예측 정보를 제공할 수 있다. 이는 마치 기상청의 태풍 예보와 같아서, CEO가 선제적으로 대응할 수 있게 해준다.

 

리스크 관리와 의사결정 지원: 보안 위협의 심각성과 시급성을 시각화하여 CEO가 우선순위를 정하고 자원을 배분하는 데 도움을 준다. 예를 들어, "현재 가장 시급한 보안 투자 분야: 클라우드 인프라 보안 강화 (위험도: 상, 예상 투자 비용: 50억 원)" 같은 정보를 제공한다.

 

인적 요소와의 연계: CISO와 CEO의 소통 문제를 해결하고, 보안 팀의 성과 지표를 관리한다. 예를 들어, "보안 팀 대응 속도: 평균 15분 (업계 최고 수준)", "직원 보안 교육 이수율: 95%" 등의 정보를 제공한다.

 

법령 준수 현황 모니터링: 레그테크(Regulation Technology) 기술을 활용한 CMS(Compliance Management System)로 보안 관련 법령 준수 현황을 실시간으로 파악한다. "개인정보보호법 준수율: 98%, 미비점: 제3자 제공 동의 절차 개선 필요" 같은 구체적인 정보를 제공한다.

 

이러한 대시보드는 단순히 정보를 나열하는 것이 아니라, CEO가 즉시 행동할 수 있는 인사이트를 제공해야 한다. 예를 들어, 랜섬웨어 공격 가능성이 높아지면 즉시 백업 시스템 점검을 제안하고, 법령 준수율이 낮아지면 즉각적인 개선 방안을 제시하는 식이다.

 

c0bba66c83bf1ca87c1c2580d2a3a9a5_1723769
새로운 항로: 예측 가능한 보안 경영의 시대


2025년 3월 15일, B사의 김 회장은 아침 일찍 스마트폰으로 대시보드를 확인한다.

"오후 2시경 대규모 DDoS 공격 예상. AI 방어 시스템 가동 중. 추가 대응 필요." 

이런 알림을 받은 김 회장은 즉시 CISO에게 연락해 대책을 논의한다. 

"네트워크 대역폭 30% 추가 확보 필요. 비용 5억 원 예상. 승인 요청드립니다." 

CISO의 신속한 보고에 김 회장은 즉시 승인을 내린다. 예측된 시간에 실제로 공격이 들어왔지만, B사는 이미 준비가 되어 있었기에 큰 피해 없이 방어에 성공한다.

 

이처럼 CEO의 대시보드는 기업의 사이버 보안을 예측 가능한 영역으로 만들어준다. <1>편에서 언급한 "오늘도 무사히" 식의 보고가 아니라, 데이터에 기반한 객관적인 상황 인식이 가능해지는 것이다. 우리가 일상에서 날씨 앱을 확인하듯, CEO들은 매일 아침 이 대시보드로 회사의 '사이버 날씨'를 확인하게 될 것이다.

 

물론 이러한 대시보드 구축에는 상당한 투자가 필요하다. 하지만 사이버 공격으로 인한 피해 비용을 생각하면, 이는 결코 비싼 투자가 아니다. 2024년 한 연구에 따르면, 대규모 사이버 공격으로 인한 평균 피해액은 기업당 약 500억 원에 달한다. 반면, 효과적인 보안 시스템 구축 비용은 이의 10분의 1 수준에 불과한 50억원 안팎이다.

 

결국, 예측 가능한 보안 경영은 기업의 생존과 성장을 위한 필수 요소가 될 것이다. 크라우드스트라이크 사건이나 AI 해커의 위협 같은 예측 불가능한 상황들을 조금이라도 더 예측 가능한 영역으로 만드는 것, 그것이 바로 우리가 나아가야 할 방향이다.

CEO의 대시보드는 그 여정의 첫걸음이 될 것이다. 이제 CEO들은 안개 속 항해가 아닌, 밝은 빛 아래에서의 항해를 시작할 수 있을 것이다. 불확실성의 바다에서 안전하게 항해하기 위해, 우리는 더 나은 나침반을 갖추어야 한다. 그 나침반이 바로 CEO의 대시보드다. 이를 통해 우리는 더 안전하고, 더 예측 가능한 디지털 미래를 향해 나아갈 수 있을 것이다.

<ifsPOST>

 

 

11
  • 기사입력 2024년08월19일 17시10분
  • 최종수정 2024년08월16일 10시00분

댓글목록

등록된 댓글이 없습니다.