Regulations, Reporting and Risk Management: The Voice of the CISO 2024
2024년 CISO(Chief Information Security Officer , 정보책임보호자)들의 현황과 도전 과제를 조명한 Onyxia의 최신 보고서가 발표되었다. ‘Regulations, Reporting and Risk Management: The Voice of the CISO 2024’라는 제목의 이 보고서는 미국의 200명 CISO를 대상으로 한 설문조사 결과를 바탕으로 작성되었다. 조사 대상 CISO들은 최소 3년 이상의 경력을 가지고 있으며, 금융 서비스(20%), 정보 기술(20%), 그리고 기타 분야(60%)에 걸쳐 다양한 산업을 대표한다. 또한 기업 규모별로도 500-1,000명, 1,000-5,000명, 5,000명 이상의 직원을 둔 기업들이 균등하게 분포되어 있어, 다양한 관점을 제공한다.
사이버 보안 규제 준비 미흡
보고서의 주요 발견 사항 중 가장 눈에 띄는 것은 대다수의 CISO들이 현재의 사이버 보안 규제에 충분히 준비되어 있지 않다는 점이다. SEC의 사이버 보안 공시 규칙이나 디지털 운영 복원력법(DORA) 등 새로운 규제에 대해 67%의 CISO가 준비가 미흡하다고 응답했다. 이는 리스크 관리 전략을 입증하고 중대한 사이버 보안 사고를 4일 이내에 공개해야 하는 규제 요구사항에 대한 우려를 반영한다. 더욱 우려되는 점은 56%의 CISO가 현재의 인시던트 대응 계획에 완전히 만족하지 않는다고 답한 것이다. 또한 절반 이상이 사고 발생 시 정부나 관계 당국에 보고하는 방법이나 시기에 대해 충분한 지식이 없다고 인정했다.
이러한 결과는 CISO의 역할이 기술적 측면에서 비즈니스 전략적 측면으로 확대되고 있음을 시사한다. 규제 증가와 사이버 공격의 심각성으로 인해 보안이 더 이상 기술적 문제만이 아닌 비즈니스의 핵심 문제로 대두되고 있기 때문이다. CISO들은 이제 경영진에게 보안 전략을 설득하고 이니셔티브에 대한 지지를 얻어야 하는 상황에 놓여있다. 그러나 67%의 CISO가 이 부분에 어려움을 겪고 있다고 답했다.
흥미로운 점은 경력이 짧은 CISO들이 경영진과의 소통을 더 쉽게 느끼는 것으로 나타났다는 것이다. 5년 이상의 경력을 가진 CISO 중 19%만이 경영진과의 전략 공유가 매우 쉽다고 답한 반면, 4년 이하 경력의 CISO는 40%가 그렇다고 응답했다. 이는 CISO 역할이 기술과 비즈니스 스킬의 균형을 요구하는 방향으로 변화하고 있음을 시사한다. 새로운 세대의 CISO들이 비즈니스 의사결정에 더 많이 노출되고, 보안의 기술적 측면과 비즈니스적 측면을 동시에 관리하는 능력이 요구되고 있는 것이다.
보안 프로그램의 성과 측정 방식에서도 변화의 필요성이 드러났다. 84%의 CISO가 보안 프로그램의 효과와 성과를 스프레드시트, 분석가, 또는 이 둘의 조합으로 측정하고 있으며, 전문 서비스를 사용하는 경우는 10%에 불과했다. 이러한 수동 측정 방식은 보안 팀에 큰 부담을 주고 있으며, 더 전략적인 업무에 집중할 시간을 빼앗고 있다.
AI가 문제 해결책 될 수 있어
그러나 AI가 이러한 문제의 해결책이 될 수 있다는 인식이 확산되고 있다. 97%의 CISO가 AI가 조직의 리스크 관리를 강화할 수 있다고 보았다. 구체적으로 54%는 AI가 보안 스택의 격차와 중복을 식별하는 데 도움이 될 것으로 보았고, 47%는 리소스 변경이 보안 태세에 미칠 영향을 예측하는 데 AI가 유용할 것으로 예상했다. 또한 42%는 AI가 비즈니스 수준의 리스크 관리 보고를 자동화하는 데 기여할 것으로 기대했다.
보고서는 또한 기본적인 보안 조치의 미흡함을 지적했다. CISO들은 업계 표준으로 허용 가능한 수준에 대해 다음과 같이 응답했다: 사용자 계정의 11%가 약한 비밀번호를 사용, 계정의 13%가 MFA(다중 인증) 미설정, IAM 시스템의 13%가 비활성 계정, 특권 계정의 11%가 MFA 미설정. 이러한 높은 비율은 많은 조직들이 기본적인 보안 조치조차 제대로 이행하지 못하고 있음을 보여준다.
도전에 직면한 CISO
결론적으로, 2024년 CISO들은 규제 준수, 경영진과의 소통, 기본적인 보안 조치 강화 등 여러 도전 과제에 직면해 있다. 그러나 AI를 활용한 리스크 관리 강화와 자동화에 대한 기대가 높아지고 있어, 이를 통해 CISO들이 더 전략적인 역할을 수행할 수 있을 것으로 보인다. CISO들은 기술적 전문성과 비즈니스 통찰력을 결합하여 조직의 사이버 보안 태세를 강화하고, 경영진과 효과적으로 소통하며, 새로운 규제 환경에 적응해 나가야 할 것이다. 이를 위해 AI 기술의 적극적인 도입과 활용, 지속적인 보안 프로그램 개선, 그리고 조직 전체의 보안 인식 제고가 필요할 것으로 보인다.
이 보고서는 CISO들에게 현재의 도전 과제를 명확히 인식하고, 미래를 대비하는 전략을 수립하는 데 유용한 인사이트를 제공한다. 빠르게 변화하는 사이버 보안 환경에서 CISO의 역할이 더욱 중요해지고 있음을 고려할 때, 이러한 데이터 기반의 통찰은 매우 가치 있는 자료가 될 것이다.
이 리포트의 원문은 Onyxia의 CISO 보고서에서 확인할 수 있다.
기사는 클로드 3.5 Sonnet과 챗GPT-4o를 활용해 작성되었습니다.
관련 콘텐츠 더보기
