[데이터넷] 사이버 보안 분야에서 가장 위험한 요소는 ‘사람’이다. 직원들은 위험한 행동이라는 것을 알면서도 보안 정책을 위반하며, 기업·기관의 보안 정책을 총괄하는 사이버 보안 리더는 극심한 스트레스로 인해 직업을 바꿀 것으로 보인다.

이는 가트너의 ‘사이버 보안 8대 주요 전망’에 따른 것으로, 가트너는 이 보고서에서 사이버 보안의 ‘사람중심 설계’가 중요하다는 사실을 강조했다.

사람 중심 설계로 보안-업무 마찰 줄여야

보고서에서는 사이버 보안 리더가 향후 2년간 보안 전략을 수립할 때 반드시 고려해야 할 전략적 계획 가정으로 2027년까지 CISO의 50%가 ‘사이버 보안 프로그램에 사람 중심 설계 방식을 공식적으로 채택할 것’이라고 전망했다.

가트너 조사에 따르면 업무 중 위험한 행동들을 했다고 인정한 직원의 90% 이상이 자신의 행동이 조직에 리스크를 증가시킬 수 있다는 점을 알고 있었음에도 그렇게 행동했다고 답했다. 이는 직원들은 업무에 불편을 주는 보안 정책을 지키려하지 않는다는 것을 알려주는 것으로, 가트너는 보안 제어를 설계할 때 위협이나 위치가 아닌 개인을 중심으로 해 업무와 보안 사이의 마찰을 줄여야 한다고 설명했다.

또한 어디서나 업무(WFA) 환경의 확대로 직원들은 더 쉽고 편하게 업무하고자 하지만, 보안이 이를 통제하지 못하는 문제는 더욱 심화될 것으로 보인다. 가트너는 2027년까지 직원의 75%가 IT 가시성 밖에서 기술을 획득, 변경, 개발할 것이며, 2022년 41%에서 증가한 수치라고 설명했다.

그래서 CISO는 통제 책임자가 아니라 리스크 결정 조력자로 변하고 있는데, 이것이 사이버 사이버 보안 운영 모델을 재구성하는 핵심적인 변화라고 설명했다. 기술과 자동화를 넘어 직원과 깊이 소통하여 의사 결정에 영향을 미치고 직원들이 적절하게 행동할 수 있도록 적합한 지식을 갖추게 해야 한다.

“위협 정량화로 실행 기반 성과 달성 기업 36% 불과”

CISO의 역할 변화에 대해 조언이 있지만, 많은 조직, 의사결정권자와 협력하는 것이 결코 쉬운 일이 아니며, 이러한 압박으로 사이버 보안 리더들은 다른 직업으로 떠날 것이라는 경고도 나왔다.

가트너는 2025년까지 절반에 가까운 사이버 보안 리더들이 직업을 바꿀 것이며, 25%는 전적으로 업무 관련 스트레스로 인해 다른 직무로 전환할 것이라고 내다봤다.

팬데믹과 업계 전반의 인력 부족으로 인해 사이버 보안 전문가의 업무 스트레스 요인이 증가하고 있으며, 지속적인 업무가 불가능한 수준에 이르렀다. 스트레스를 완전히 없애는 것은 현실적으로 어렵지만 그들이 지원을 받을 수 있는 문화를 갖춘다면 도전적이고 스트레스가 많은 업무를 관리할 수 있을 것이다.

보안 리더에 대한 조언 중 하나가 사이버 위험을 정량화해 기업의 의사결정을 주도해야 한다는 것이지만, 이 조차 쉽지 않다. 가트너는 2025년까지 사이버 보안 리더의 50%가 이 시도에 실패할 것이라고 설명했다. 사이버 위험 정량화를 도입한 기업 중 62%가 신뢰도 및 사이버 위험 인식 등 약간의 이익을 얻었다. 그러나 위험 감소, 비용 절감, 실질적인 의사 결정 영향력 등 실행 기반의 성과를 달성한 기업은 36%에 불과했다.

보안 리더는 자기 주도적인 분석을 통해 비즈니스의 관심을 끌기 위해 설득하는 대신, 의사 결정권자가 요구하는 정량화에 역량을 집중해야 한다고 조언했다.

다소 희망적인 전망은 2026년까지 70%의 이사회에 사이버 보안 전문성을 갖춘 이사가 1명 이상 포함될 것이라는 점이다.

사이버 보안 리더가 비즈니스 파트너로 인정받기 위해서는 이사회와 기업이 어떤 리스크에 관심을 가지는지 알아야 한다. 이는 사이버 보안 프로그램이 불리한 상황이 발생하지 않도록 방지하는 방법뿐만 아니라 기업의 효과적인 위험 감수 능력 향상 방법 또한 보여줘야 한다는 뜻이다. CISO는 변화에 앞서 이사회에 사이버 보안을 촉진 및 지원하고 긴밀한 관계를 구축해 신뢰와 지원을 개선해야 한다.

소비자 데이터 활용-보호 딜레마 겪어

한편 가트너는 조직이 직면한 복잡한 위협 중 하나로 더 많은 소비자 데이터를 활용해야 하는데, 개인정보보호법 등 강력한 규제를 준수해야 한다는 어려움을 들었다. 가트너는 2024년까지 최신 개인정보 보호 규제가 대부분의 소비자 데이터를 포함할 것으로 보이는데, 개인정보 보호를 경쟁 우위 선점을 위한 무기로 활용하는 데 성공한 조직은 10%가 채 안될 것이라고 분석했다.

기업들은 개인정보 보호 프로그램을 통해 데이터를 더욱 광범위하게 사용하고 경쟁사와 차별화하며, 고객, 파트너, 투자자 및 규제 기관과 신뢰 관계를 구축할 수 있다는 사실을 인지하기 시작했다. 점점 더 경쟁이 치열해지는 시장에서 기업을 차별화하고 끊임없이 성장시키려면, 보안 리더들은 GDPR에 따라 포괄적인 개인정보 보호 표준을 시행해야 한다.

위협 환경이 복잡해지면서 2026년까지 위협 탐지, 조사 및 대응(TDIR) 기능의 60% 이상이 탐지된 위협의 유효성 검증 및 우선 순위 지정을 위해 노출 관리 데이터를 활용할 것이라는 전망도 나왔다. 이는 현재 5% 미만에서 증가한 수치다.

SaaS·클라우드 애플리케이션 사용과 연결성 증가 등으로 인해 조직의 공격 표면이 확장됨에 따라, 기업은 위협과 노출을 지속적으로 모니터링할 수 있는 더 광범위한 가시성과 및 중앙 집중화된 장소를 필요로 한다. TDIR 기능은 탐지, 조사, 대응을 관리할 수 있는 통합 플랫폼 또는 플랫폼 에코시스템을 제공하여 보안 운영 팀이 위험과 잠재적 영향을 완벽하게 파악할 수 있도록 한다.

더불어 제로 트러스트 프로그램의 성숙도도 한층 높아질 것으로 보인다. 대기업 중 포괄적이고 성숙하며 측정 가능한 제로 트러스트 프로그램을 갖춘 기업은 1% 수준이지만, 2026년까지 10%로 높아질 것으로 보인다.

성숙하고 광범위하게 배포된 제로 트러스트 구현은 여러 다른 구성 요소의 통합 및 배열을 필요로 하기 때문에 상당히 기술적이고 복잡할 수 있다. 성공 여부는 비즈니스 가치로 전환할 수 있는지에 의해 크게 좌우된다. 소규모로 시작하면 끊임없이 진화하는 제로 트러스트 사고방식을 통해 프로그램의 이점을 더 쉽게 파악하고 복잡성을 단계적으로 관리할 수 있다.