CISO라면 누구나 알다시피 효과적인 보안 프로그램은 정적인 상태에 머물 수 없다. 보안 프로그램은 끊임없이 진화하는 위협 환경과 빠르게 변화하는 비즈니스 환경에 맞춰 지속적으로 적응해야 한다.
이러한 변화에 대응하고 보안 체계를 개선하기 위해 CISO는 현재 운영 중인 보안 프로그램을 지속적으로 점검해야 한다. 그 출발점은 성과와 투자, 전략에 대해 스스로 까다로운 질문을 던지는 것이다.
여기에서는 보안 리더들이 현재의 요구사항은 물론 미래의 과제까지 충족할 수 있는 보안 프로그램을 구축하기 위해 CISO가 반드시 고민해야 할 15가지 질문을 소개한다.
1. 우리 보안 프로그램은 어떤 문제나 사고를 해결해 비즈니스 차질을 막았는가?
클라우드 기반 IAM 플랫폼 기업 점프클라우드(JumpCloud)의 CISO 겸 보안 담당 부사장 롤랜드 팔머는 이 질문을 정기적으로 스스로에게 던진다고 밝혔다. 보안 활동이 비즈니스에 미칠 수 있는 부정적인 영향을 어떻게 예방했는지 파악하고 이를 조직에 설명하도록 만들기 때문이다.
팔머는 “이는 보안 투자의 투자수익률(ROI)을 입증하고 그 가치를 명확하게 설명하기 위한 것”이라며 “보안의 가치를 보여주는 활동을 비즈니스 조직에 어떻게 알릴 것인지, 그리고 CISO로서 어떤 역할에 집중해야 하는지 판단하는 기준이 된다”라고 말했다.
2. 우리는 조직의 가장 중요한 비즈니스 프로세스를 어떻게 보호하고 있는가?
이 질문은 CISO가 비즈니스 회복탄력성(Resilience)을 최우선 과제로 삼도록 만든다. 또한 보안 프로그램이 실제 비즈니스 요구사항과 일치하도록 하는 데 도움이 된다.
컨설팅 기업 EY의 글로벌 사이버보안 리더 리처드 왓슨은 “여전히 많은 조직이 핵심 프로세스 중심의 전략보다는 광범위한 방어 전략을 채택하고 있다”라며 “AI 기반 위협 환경에서는 모든 취약점을 찾아내는 것보다 핵심 프로세스를 보호하고 사고 발생 시 복원력을 확보하는 것이 더 중요하다”라고 설명했다.
이어 “이러한 접근 방식은 유럽연합(EU)의 디지털운영복원법(DORA)과 같은 규제를 통해서도 점점 더 강화되고 있다”라고 덧붙였다.
3. 핵심 서비스 가용성이 비즈니스에 미치는 실제 영향은 얼마나 되는가?
어떤 프로세스가 조직에 중요한지 파악하는 것만으로는 충분하지 않다. CISO는 해당 프로세스가 공격을 받을 경우 조직에 미치는 실제 영향까지 이해해야 한다. 이러한 이해는 보안 전략을 비즈니스 목표와 일치시키고 경영진에게 보안 투자 가치를 설명하는 데 도움이 된다.
소프트웨어 기업 레그스케일(RegScale)의 CISO 데일 호크는 “어떤 시스템이 수익을 창출하고 고객을 지원하며 규제 의무를 수행하고 핵심 운영을 가능하게 하는지 이해하는 것은 가장 중요한 영역에 보안 투자를 우선 배치하는 데 도움이 된다”라며 “비즈니스 영향 분석은 정기적으로 검토해야 하며 조직에 중요한 변화가 발생할 때마다 업데이트해야 한다”라고 설명했다.
미국 5위 규모 신용조합 BECU의 수석부사장 겸 CISO 숀 머피 역시 “비즈니스를 멈추게 할 수 있는 보안 문제는 무엇인가?”라는 질문을 스스로에게 던진다고 밝혔다.
머피는 “이 질문은 보안 조직이 비즈니스 위험에 맞춰 업무 우선순위를 정하도록 돕는다”라며 “단순히 IT 시스템의 복원력이 아니라 비즈니스 운영의 지속성을 확보하는 데 의미가 있다”라고 말했다.
4. 만약 내일 침해 사고가 발생한다면 우리는 얼마나 빨리 알아차릴 수 있는가?
평균 탐지 시간(MTTD), 평균 대응 시간(MTTR), 평균 격리 시간은 여전히 보안 프로그램의 효과를 측정하는 핵심 지표다. 일반적으로 MTTD가 짧을수록 공격의 확산 범위가 줄어들고 비즈니스에 미치는 영향도 작아진다.
레그스케일(RegScale)의 데일 호크는 바로 이런 이유 때문에 이 질문이 중요하다고 강조했다.
호크는 “현실적으로 모든 조직은 언젠가 공격자가 내부 환경 어딘가에 침투할 것이라고 가정해야 한다”라며 “더 중요한 것은 보안팀이 악성 활동을 얼마나 빨리 탐지하고, 공격 범위를 정확히 파악하며, 효과적으로 대응할 수 있느냐는 점”이라고 설명했다.
이어 “이 질문은 지속적인 모니터링과 테이블톱 훈련(Tabletop Exercise), 퍼플팀 훈련(Purple Team Exercise), 사고 대응 테스트 등을 통해 끊임없이 검증해야 한다”라고 말했다.
5. 우리는 사람의 속도로 움직이고 있는가, 기계의 속도로 움직이고 있는가?
리처드 왓슨은 CISO가 보안 조직의 전반적인 운영 속도를 점검하고, 현재의 위협 환경에 맞는 수준으로 대응하고 있는지 고민해야 한다고 말했다.
왓슨은 “현재의 사이버보안 및 IT 운영 모델, 거버넌스 프로세스, 통제 체계는 지금보다 훨씬 느린 위협 환경을 전제로 설계됐다”라며 “AI가 공격과 방어 역량 모두를 가속화하면서 조직은 이러한 변화에 발맞추고 있는지, 아니면 공격자가 고도화된 자동화와 AI를 활용하면서 새로운 보안 공백이 생기고 있는지 평가해야 한다”라고 설명했다.
6. 우리는 무엇을 모르고 있는가?
BECU의 숀 머피는 어떤 위협이 등장하더라도 대비할 수 있도록 이 질문을 정기적으로 보안팀에 던진다고 밝혔다.
머피는 “우리가 가시성을 확보하지 못한 영역은 어디인지, 사각지대는 무엇인지, 지금은 모르지만 반드시 알아야 하는 것은 무엇인지 고민해야 한다”라며 “사람, 프로세스, 기술 어느 영역도 예외가 아니다”라고 말했다.
이어 “불편한 대화일 수 있지만 잠재적인 공백이 어디에 있는지 생각해야 한다”라며 “새롭게 노출될 수 있는 위험 영역도 지속적으로 점검해야 한다”라고 설명했다.
머피와 보안팀은 위협 인텔리전스와 내부 동료, 업계 전문가 그룹, 산업 협회, 자체 보안 시스템에서 수집한 정보를 활용해 현재 상황을 분석하고 있다.
머피는 “활용 가능한 정보를 최대한 수집하고 분석하는 과정”이라며 “호기심을 갖고 비판적으로 검토하며, 당연하게 여기지 않고 끊임없이 질문해야 한다. 보이지 않는 위험까지 미리 내다보려고 노력하고 있다”라고 말했다.
7. 어떤 제3자 파트너가 침해될 경우 우리 운영에 심각한 영향을 미칠 수 있는가?
레그스케일의 호크는 최근 발생한 공급망 공격 사례들이 단 하나의 신뢰된 공급업체가 침해되더라도 수천 개 조직으로 위험이 확산될 수 있다는 점을 보여줬다고 설명했다.
호크는 “많은 기업이 자사 환경에 대해서는 높은 수준의 가시성을 확보하고 있지만, 실제로 의존하고 있는 외부 조직에 대해서는 그렇지 못한 경우가 많다”라고 말했다.
이어 “벤더 관계와 소프트웨어 의존성, 위협 환경은 끊임없이 변화한다”라며 “CISO는 어떤 외부 파트너가 비즈니스 운영에 중대한 영향을 줄 수 있는지 지속적으로 점검해야 한다”라고 강조했다.
8. 사람과 비인간 계정을 포함한 IAM 체계는 얼마나 잘 관리되고 있는가?
신원 및 접근관리(IAM)는 현대 보안 프로그램의 핵심 요소로 자리 잡았다.
점프클라우드의 롤랜드 팔머는 CISO가 조직 내에서 운영되는 사람 계정과 비인간 계정의 수를 정확히 파악하고, 각 계정의 접근 권한이 필요한 범위 내로 적절히 제한돼 있는지 확인해야 한다고 말했다.
팔머는 “이제는 매일 확인해야 하는 질문이 됐다. 더 나아가 매시간 확인해야 하는 질문이라고 말하고 싶다”라며 “AI 활용 확대와 섀도우 AI, AI 에이전트 증가로 인해 계정 수와 권한이 끊임없이 변하고 있기 때문”이라고 설명했다.
9. 우리는 비인간 계정을 어떻게 보호하고 있는가?
AI 확산과 관련해 리처드 왓슨은 모든 CISO가 비인간 자산에 대한 보안 수준을 점검해야 한다고 강조했다.
왓슨은 “비인간 계정은 새로운 사이버 위험 영역으로 떠오르고 있지만, 많은 기존 신원 거버넌스 도구는 아직 이를 충분히 지원하지 못하고 있다”라며 “조직이 자동화와 AI 에이전트 기반 프로세스를 확대할수록 이러한 계정의 접근 권한과 권한 관리는 더욱 중요해질 것”이라고 말했다.
10. AI는 어디에서 사용되고 있으며, 어떤 데이터가 공유되고 있고, 이에 대한 책임은 누가 지고 있는가?
협업·업무관리 소프트웨어 기업 앱파이어(Appfire)의 CISO 더그 커스턴은 많은 직원이 경영진이 존재조차 인식하기 전에 AI 도구를 업무에 도입하고 있다고 지적했다.
커스턴은 “많은 직원이 실제 업무 문제를 해결하기 위해 스스로 AI 도구를 사용하고 있으며, 이 과정에서 식별되지 않은 새로운 보안 위험이 발생하고 있다”라며 “이는 오랫동안 문제가 됐던 섀도우 IT와 유사한 가시성 및 책임성 문제를 만들어내고 있지만 훨씬 더 빠른 속도로 진행되고 있다”라고 설명했다.
그는 이러한 질문에 자신 있게 ‘예’라고 답하기 위해서는 기술 발전 속도에 맞춰 진화하는 거버넌스 체계가 필요하다고 강조했다.
또한 보안 조직뿐 아니라 법무, 구매, 인사, 엔지니어링, 사업 부문까지 함께 참여하는 전사적 관리 체계를 구축해야 한다고 조언했다.
11. 모두가 개발자가 되는 시대에 우리 애플리케이션 보안 프로그램은 준비돼 있는가?
AI의 발전으로 애플리케이션 개발은 이제 조직 내 거의 모든 구성원이 접근할 수 있는 영역이 됐다. 이에 따라 CISO는 현재의 보안 프로그램이 이러한 새로운 현실에 적합한 통제 체계를 갖추고 있는지 점검해야 한다.
보안 기술 기업 엑스보우(XBOW)의 CISO 니코 와이즈먼은 “CISO는 조직이 바이브 코딩(Vibe Coding)을 안전하게 수행할 수 있도록 적절한 가드레일을 마련해야 한다”라며 “그 가드레일 역시 바이브 코딩의 속도에 맞춰 설계돼야 한다”라고 말했다.
12. 바이브 코딩이 만들어내는 확대된 공격 표면에 대응할 준비가 돼 있는가?
와이즈먼은 바이브 코딩이 공격 표면 확대와 기술 부채 증가라는 새로운 과제를 만들어내고 있다고 지적했다. 따라서 CISO는 현재의 보안 프로그램이 이러한 변화에 대응할 수 있는지 고민해야 한다고 강조했다.
와이즈먼은 “누구나 자신만의 제품을 만들 수 있는 시대가 되면 네트워크와 IT 환경 전반에 수많은 애플리케이션이 생겨날 것”이라며 “이는 결국 기술 부채로 이어질 가능성이 높다. 사람들은 소프트웨어를 만드는 것은 좋아하지만 유지·관리하는 것은 좋아하지 않기 때문”이라고 설명했다.
이어 “아무도 관리하지 않는 애플리케이션은 취약점이 발생해도 모니터링되거나 수정되지 않을 수 있다”라며 “결국 보안팀만 해당 애플리케이션을 관리하게 되는 상황이 벌어질 수도 있다”라고 말했다.
이 같은 상황을 방지하기 위해서는 모든 자산을 체계적으로 파악하고, 각 애플리케이션에 명확한 소유권을 부여해야 한다고 조언했다.
13. 해커가 ‘미토스’를 손에 쥐게 될 미래에 우리는 무엇을 준비하고 있는가?
클로드 미토스(Claude Mythos)는 AI 기업 앤트로픽이 개발한 AI 모델로, 소프트웨어 취약점을 자율적으로 찾아내고 악용할 수 있는 능력을 갖춘 것으로 알려져 있다. 만약 이러한 기술이 공격자에게 활용된다면 공격을 개발하고 실행하는 속도는 지금보다 훨씬 더 빨라질 수 있다.
와이즈먼은 “이제 공격의 속도와 규모는 완전히 다른 차원에 진입하고 있다”라며 “앤트로픽과 오픈AI의 모델은 이전에는 상상할 수 없었던 규모의 공격을 가능하게 하는 길을 열고 있다”라고 설명했다.
이어 “CISO는 이러한 변화가 조직의 보안 태세에 어떤 영향을 미칠지 고민해야 한다”라며 “공격의 규모와 속도가 더욱 커지는 상황에서 어떻게 방어할 것인지 준비해야 한다”라고 강조했다.
14. 고객이 요구한다면 실시간 보안 현황을 자신 있게 공개할 수 있는가?
점프클라우드의 팔머는 정기적으로 자신과 보안팀을 평가하기 위해 이 질문을 던진다고 밝혔다.
팔머는 “우리의 패치 관리 수준과 취약점 관리 수준을 고객에게 공개해도 괜찮은가”라며 “고객이 내부 운영 현황을 직접 들여다본다고 해도 자신 있는가”라고 자문한다고 말했다.
그는 이러한 질문이 현재 보안 프로그램이 목표 수준에 도달했는지 판단하는 데 도움이 된다고 설명했다.
팔머는 “대부분의 경우 이 질문에 ‘예’라고 답할 수 있지만, 때로는 ‘아니오’라고 답할 때도 있다”라며 “가끔 부정적인 답변이 나오는 것은 자연스러운 일이지만 분기당 두 번 이상 그런 답변이 나온다면 보안팀의 우선순위와 운영 방향을 다시 점검해야 한다는 신호로 받아들인다”라고 말했다.
15. 우리는 현재의 비즈니스뿐 아니라 1년 후의 비즈니스까지 보호하고 있는가?
레그스케일(RegScale)의 데일 호크는 기술 발전 속도와 위협 환경 변화, 그리고 비즈니스 전략 변화가 매우 빠르게 진행되고 있는 만큼 미래를 내다보는 시각이 필수적이라고 강조했다.
호크는 “보안 프로그램은 종종 비즈니스 성장과 디지털 전환 이니셔티브의 속도를 따라가지 못한다”라며 “조직은 AI를 빠르게 도입하고 애플리케이션을 현대화하며 클라우드 환경을 확장하고 새로운 외부 서비스를 통합하고 있다”라고 설명했다.
이어 “현재의 위험만을 기준으로 수립된 보안 전략은 금세 시대에 뒤처지게 된다”라며 “보안 전략은 미래의 비즈니스 변화까지 고려해야 한다”라고 말했다.
그는 이를 위해 스스로 미래에 대비할 준비가 돼 있는지 지속적으로 점검한다고 밝혔다.
또한 “전략적 사업 계획이 수립되거나 인수합병(M&A), 대규모 기술 프로젝트, 신규 시장 진출 기회가 발생할 때마다 이 질문을 다시 검토해야 한다”라고 강조했다.
dl-ciokorea@foundryco.com