보안 인사이트
규제 완화와 책임 강화를 통한 사이버 보안 혁신
김인순
Dec 14, 2024
규제 완화와 책임 강화를 통한 사이버 보안 혁신
한국 정부와 금융권의 사이버 보안 규제가 대 전환의 시대를 맞았다. 정부과 금융위원회는 각각 ‘국가 망 보안 정책 개선방향’과 ‘금융권 망분리 개선안’을 내놨다. 공공과 금융 부분 전반에 걸친 대대적인 변화다.
기업은 망분리 규제 완화로 새로운 기회를 가지며 동시에 사이버 보안의 책임은 커진다. 이제 기업들은 자율적으로 보안을 관리하고 강화하는 체계를 구축해야 한다.
자율 보안 체계는 기술적 방어 변화는 물론이고 보안에 대한 철학과 접근 방식의 근본적인 변화를 의미한다.
그동안 한국 정부와 금융권은 망분리란 성에 둘러쌓여 있었다. 이 정책은 일정 수준의 보안을 보장하는 긍적적인 효과를 가져왔지만 생성형 AI와 클라우드 등의 사용을 가로 막아 업무 효율과 혁신에 방해가 됐다. 보안팀은 망분리 규제의 틀 안에서 법률과 정책에서 허용한 것만 실행하는데 집중했다.
이제 각 기관과 기업은 자체 상황에 맞는 최적의 보안 체계를 만들고 시행해야 한다.
기관과 금융기업은 보유 데이터의 특성, 위험 수준 등을 고려해 최적의 보안 체계를 마련해야 하는 여정을 시작한다. 스스로 보호해야 할 데이터와 범위를 정의하고, 이에 맞는 적절한 보안 조치를 취해야 한다.
만약 보안 사고가 발생할 경우 책임은 기관과 기업에 돌아간다. 각 기관이 어떤 보안 방법이 가장 효과적인지를 고민하고 선택해야 하는 일이 늘어난다.
자율보안체계로 변화는 각 기관과 기업 보안 담당자에게 상당한 부담이 될 수 있다. 이미 금융권 보안팀은 생성형 AI와 클라우드를 안전하게 활용할 수 있는 방법을 찾는데 분주하다. 보안 전문가는 이 기회를 통해 역량을 강화하고 조직 내에서 더 중요한 역할을 할 수 있다.
기업은 탄력적인 사이버 보안 로드맵을 만들기 위해 분주하다.
가트너 사이버 보안 로드맵에 따른 전략
가트너에 따르면 사이버 보안 로드맵은 조직이 정보 시스템과 데이터를 사이버 위협으로부터 보호하기 위해 취해야 하는 단계와 이니셔티브를 개략적으로 설명하는 전략적 계획이다.
사이버 보안 위험을 관리하고, 규정 준수를 보장하고, 보안 노력을 비즈니스 목표와 일치시키기 위한 가이드 역할을 한다.
조직은 우선 사업과 기술, 경제 환경에 기반한 사이버 보안 비전을 수립한다. 비전을 정의한 후에 현재 사이버 보안 상태를 평가한다. 비전을 현실로 만들기 위해 어느 정도 노력해야 하는지 가늠한다.
기존 보안 상태와 나아가려는 방향 간에 격차를 파악한다. 얼마나 차이가 나는지 정확히 알아야 향후 수행할 프로젝트와 조치 목록을 만들 수 있다.
가트너는 사이버 로드맵 수립을 위해 유사한 기업을 벤치마킹하고 업계 표준에 맞춰 현재 보안체계를 평가하라고 조언한다. 기술 인프라 측면에서 취약성 평가와 침투 테스트 등을 진행할 수 있다.
조직은 리소스 부족과 한정된 시간 속에서 모든 활동을 다 처리할 수 없다. 어떤 사이버 보안 프로젝트에 먼저 집중할 것인지, 어떤 순서로 진행할지 결정해야 한다. 내부 리소스로 처리가 안될 경우 외부의 도움을 얻는 것도 고려한다.
자율 보안 체계의 성공을 위해서는 정기적인 평가와 피드백이 필요하다. 성과 지표를 설정하고, 이를 바탕으로 보안 프로그램의 효과성을 측정한 후, 지속적으로 개선점을 찾아내야 한다.
