CISO에게 있어서 가장 어려운 경영 과제가 있다면, 아마 사이버 보안 기능의 성공과 가치를 정량화하는 것일 터다. 그동안 보안 조
그동안 보안 조직은 다양한 지표를 사용해왔다. 그럼에도 불구하고 많은 임원과 이사회 구성원들이 이런 조치가 보안 부서의 성과, 개선 수준, 부족한 점 등에 대한 적절한 통찰 또는 이해를 제공하지 못한다고 불평하고 있다.
보안기업 스피어팁(SpearTip)의 사장 겸 CEO 자렛 콜토프는 “보안 전문가들이 아직도 현업 임원과 이사회에 너무 많은 기술 용어를 제시하고 있다. CISO들은 여전히 이사회에 치명적인 취약점과 패치의 수에 관해 이야기하고 있지만 이사회는 적절한 맥락이 제공되지 않기 때문에 그걸 이해하지 못한다”라고 말했다.
그리고 그는 “이런 수치가 CISO에게는 의미 있을 수 있지만 CISO는 이사회가 위험과 필요한 보안 투자 수준을 이해할 수 있도록 맥락을 제공하는 [지표를 개발하기 위해] 노력해야 한다”라고 덧붙였다.
콜토프를 포함한 사이버 보안 전문가들에 따르면 보안 노력이 얼마나 성과를 내고 있으며 시간이 지남에 따라 개선되고 있는지 여부를 입증할 수 있는 단일 지표는 없다. 하지만 다른 것들보다 유용한 지표 또는 적절한 조치와 설명의 조합이 있다.
기업에 중요한 보안 지표
기술 기업 아르미스(Armis)의 CISO이자 전 시스코 푸드(Sysco Foods)의 CISO 커티스 심슨은 보안이 중요해지고 이사회의 의제로 부상하는 현실을 고려할 때 지표가 그 어느 때보다도 중요하다고 생각한다.
하지만 다른 사람들과 마찬가지로 심슨은 적절한 지표를 확보하는 것이 중요하다고 말했다. 그는 “나는 기업이 실제로 관심을 갖는 지표를 선호한다”라고 말했다. 그런 의미에서 그는 기업이 목표를 달성하는데 보안이 얼마나 도움이 되는지 설명하는 조치를 추구한다.
시스코에서 그가 사용했던 지표도 이를 감안해 설정됐다. 그는 “나는 위험이 높으면 목표의 결과에 어떤 영향을 미치는지 설명하는 이야기를 해야 했다”라고 설명했다.
공격의 수에 대해 보고하는 대신에 그는, 이런 공격이 생산성과 운영 등의 영역에 미치는 영향을 측정하고 어떤 개선을 얼마의 비용으로 제공할 수 있으며 그것이 어떻게 위험을 낮추고 궁극적으로 비즈니스 영향에 대한 지표를 개선하는지 입증하고자 했다. 이 모든 것이 회사의 궁극적인 목표였던 상시 고객 지원을 위한 것이었다.
심슨은 “기업이 달성하고자 하는 것에 관해 이야기하기 때문에 매번 이목이 집중되었다”라고 말했다.
심슨은 자신이 사용한 지표가 다른 CISO에게는 효과가 없을 수 있다고 인정했다. 그는 보안 관련 비즈니스 영향, 주요 목표에 대한 위험, 시간에 따른 완화 성공을 측정하는데 도움이 될 수 있는 지표를 찾으라고 조언했다.
다른 전문가들은 그런 조치가 비즈니스 스토리를 얼마나 강조하며 CISO가 문제 그리고 나아가 비즈니스 목표를 해결하기 위해 무엇을 하고 있는지 보여주는 방식도 중요하다는데 동의했다.
IT-하비스트의 수석 조사 분석가 겸 2020년 보안연감(Security Yearbook 2020)의 저자 리차드 스티에논은 위협을 추적하고 그것들을 낮은 수준부터 범주화하며 이에 대해 비즈니스 경쟁력으로 삼았던 기업과 일했던 경험을 공유했다.
설명에 따르면 해당 기업은 무의미한 경우가 많은 ‘위협 수’를 대신해 다른 임원들과 이사회 구성원들이 이해하고 활용하여 보안 개선 투자에 대한 유의미한 의사를 결정할 수 있는 맥락을 제공했다고 말했다.
스티에논은 “여기에서 얻은 교훈은 수치를 넘어 모두에게 중요한 용어에 집중하라는 것이다”라고 덧붙였다.
다른 사람들도 유사한 조언을 제공했다. MSS(Murray Security Services)의 사장 겸 CEO이자 ISSA의 COO인 숀 P. 머레이는 “지표를 조직 내의 핵심 비즈니스 기능과 일치시키는 것이 이사회에는 정말로 중요하다. CISO가 사업부들과 협력하여 기업의 성공을 위해 어떤 주요 프로세스를 유지해야 하는지 이해하는 것이 중요하다. 우리는 적절한 것을 측정하는 방법을 사용한다”라고 말했다.
그는 CISO가 자산과 목표에 걸맞은 정보 분류에 따라 핵심 위험 지표를 수립해야 한다고 조언했다.
가령 조직의 보안 목표가 중단 최소화인 경우라면 이와 관련된 측정 및 추적이 가능한 목표를 세워야 한다. 조직이 기술 배치에 따른 보안 개선을 원하는 경우 CISO는 보안팀이 기술 관련 조달에 참여하는 방법, 시긴, 장소와 이런 것들이 시간이 지남에 따라 어떻게 개선되는지를 보여주는 측정값을 생성하고 추적할 수 있다.
사용자 만족도도 고려해야 할 지표라고 30년 경력의 IT 사이버 보안 책임자이자 현 시큐어오스(SecureAuth)의 CISO 빌 하머가 말했다. “보안의 핵심은 언제나 그랬듯이 사용성과 보안의 균형이며 앞으로도 그럴 것이다”라고 그는 말하면서, 사용성 문제가 의도한 보안 이점을 무력화시키는 우회책으로 치닫게 만드는 경우가 많다고 지적했다.
CISO가 실제로 정량화 가능한 정보를 산출하고 실제로 데이터를 획득하여 이런 측정값을 일관되게 생성할 수 있다. 다음으로 중요한 것은 비즈니스 목표와 관련하여 보안의 효과성을 측정하는 영역을 찾는 것이다.
머레이는 “CISO의 포트폴리오의 모든 기능은 기업의 니즈와 일치해야 하며 CISO는 그 일치도를 이해해야 한다. 일치도를 이해하고 나면 CISO는 조직 전체의 전략이 적절히 정리되며 기업이 기대했던 수준의 성공을 제공하도록 하기 위해 그의 목표의 성과를 측정하는 적절한 지표를 수립할 수 있다”라고 덧붙였다.
여전히 중요한 6가지 전통적인 지표
비즈니스 목표와 관련하여 보안을 평가하는 지표가 더 많이 활용되고 있기는 하지만, 베테랑 CISO 및 보안 관리 자문가들은 역사적으로 보안팀이 활용했던 많은 지표가 여전히 가치 있다고 말했다.
하지만 그들은 CISO가 이런 지표를 중심으로 추가적인 맥락을 수립하는 것도 고려해야 한다고 말했다. 이사회는 여러분이 얼마나 많은 피싱 메일을 받는지 등은 관심 없다고 금연 비영리 조직 TI(Truth Initiative)의 CISO 데릭 A. 버츠가 말했다. 그는 “이런 것들을 방지하고 비즈니스에 대한 영향을 방지하기 위해 시스템의 효과성을 측정하는 것이 더욱 중요하다”라고 강조했다.
버츠와 다른 보안 리더들이 사용하며 필요한 맥락을 제공하는 조치는 다음과 같다.
시뮬레이션 피싱 공격의 결과. 버츠는 인식 교육이 얼마나 효과가 있는지 평가하고 개선 목표를 설정하기 위해 시뮬레이션 피싱 공격을 이용한다.
평균 복구 시간. 하머는 조직의 수립한 위험 수용 범위에 기초하여 돌발 상황의 영향을 받은 사용자의 백분율, 보안팀의 문제 해결 속도, 목표 시간 준수, 초과, 부족 여부를 측정한다.
평균 감지 시간. 스티에논은 공격 성공 시점부터 감지 시점까지의 길이에 대한 측정값인 평균 감지 시간 등의 지표를 사용하라고 조언했다. 왜냐하면 이 또한 보안 프로그램이 얼마나 효과가 있으며 이를 추적하여 개선을 입증할 수 있는지 나타내기 때문이다.
그리고 그는 이런 지표가 CISO가 임원 및 이사회와 개선을 위해 어떤 투자가 필요한지 논의하는데 도움이 된다고 말했다. 또한 이런 지표는 지속적인 개선을 촉진한다. 평균 감지 시간을 분 단위로 만들면 CISO가 이를 초 단위로 줄이기 위해 목표를 세울 수 있다.
침투 시험. 시뮬레이션 피싱 공격과 마찬가지로 침투 시험에 대한 지표는 조직이 이런 이벤트에 얼마나 잘 저항할 수 있으며 시간이 지남에 따라 개선을 추적할 수 있는지 나타낸다. 하머의 경우 다른 임원 및 이사회 구성원들이 이해하고 중요하게 여기는 정보이다.
취약성 관리. 머레이는 CISO가 취약성 관리 프로그램의 효과성에 대해 보고하기 위해 사용할 수 있는 지표를 개발하라고 조언했다. 그는 수행한 패치의 수를 보고하기보다는 보안 부서가 조직의 보안 지침에 기초하여 취약성을 가장 효과적으로 관리하는 능력을 측정하라고 말했다.
그는 이어 100개의 저위험 패치를 이행하는 것보다는 위험이 가장 큰 것을 가능한 빨리 수행하도록 하는 것이 더 중요하다고 덧붙였다.
머레이는 “관련성이 없거나 중요하지 않다면 나는 CISO로서 그것을 보고하지 않을 것이다. 나는 기업에 영향을 미치기 때문에 이사회가 알아야 할 것에 관해서는 보고할 것이다. 나는 그것을 측정하기 위해 준비해야 한다”라고 덧붙였다.
기업 보안 감사. 버츠는 자신의 조직을 위해 NIST, ITIL, CIS 프레임워크로 개발한 점수표를 사용한다. 그는 “상황이 어떻게 진행되고 있는지 보여줄 수 있는 좋은 정보이다”라고 말했다.
버려야 할 4가지 지표
보안 기능의 효과성을 측정하기 위해 새롭게 개선된 지표 목록이 등장하고 있는 가운데, 전문가들은 다음의 지표를 최소한으로 사용하거나 모두 버려야 한다고 조언했다.
공격 횟수. 심슨은 “한 달에 10만 회의 공격을 받고 대응한다고 해도 아무도 신경 쓰지 않는다. 그러면 사람들은 이렇게 말한다. ‘100%인데 굳이 100만 달러를 추가로 제공할 필요가 있을까?’라고 말이다 게다가 10만 회의 저수준 공격을 막는 것보다는 회사가 말할 수도 있는 심각한 공격을 막는 것이 중요하다”라고 말했다.
완료된 패치. 확인된 취약성. 차단된 바이러스. 이런 측정값이 CISO에게 수행한 업무의 내부적인 측정값으로써 또는 조직이 특정 규정을 준수하고 있음을 확인하기 위해 필요할 수 있지만 그 자체로는 거의 가치가 없다. 심슨은 “또한, 보안에 대한 거짓된 안도감을 갖게 만들 수도 있다”라고 말했다.
dl-ciokorea@foundryco.com
