2025년 10월 13일

지속적 사이버 위험 관리, 거버넌스 연계

Tech

Share

by

지속적인 사이버 위험 관리 프로세스 구축: 정보보호 관리체계 거버넌스와의 연계

기업의 생존을 위한 필수 조건은 지속적인 사이버 위험 관리 프로세스를 구축하고, 이를 정보보호 관리체계의 거버넌스와 긴밀하게 연계하는 것입니다. 이는 단순한 기술적 대응을 넘어, 조직 전체가 보안 목표를 공유하고 체계적으로 운영되는 구조를 만드는 과정입니다.

보안 아키텍처와 위험 거버넌스의 중요성

ISC2가 제안한 보안 아키텍처 도메인 모델은 사이버보안 프로그램에서 아키텍처의 중요성을 강조합니다. 특히 생성형 AI와 같은 신기술 확산으로 데이터센터 기반의 클라우드 환경에서 고도화된 연산 처리가 요구되면서 보안 아키텍처의 중요성은 더욱 커지고 있습니다. 이러한 기술 혁신은 에너지 수요 증가뿐만 아니라 접근 제어, ID 관리, 워크로드 보호를 위한 네트워크 인프라의 안전장치 구축 등 새로운 과제를 야기합니다.

위험 중심의 사고방식 구축

정보보호 관리체계를 성공적으로 구현하기 위해서는 기업의 환경과 상황을 종합적으로 이해하고 이해관계자 전반의 위험 인식 수준과 문화적 성숙도를 함께 고려해야 합니다. 이해관계자와 임직원 전반에 위험 중심의 사고방식이 충분히 확산되지 않은 상태라면, 사이버보안 프로그램을 추진하고 실행하기가 매우 어렵습니다. 사업 부문 임원들과의 긴밀한 협력과 조율을 통해 집중적인 접근이 필요합니다.

위험 문화 구축의 중요성

위험에 대한 문화적 기반, 즉 위험 허용도, 수용 범위, 위험 성향 등을 포함한 위험 문화를 관리 프로그램 범위 내에서 구축하는 것은 매우 중요합니다. 이를 통해 조직은 현재 진행 중인 위험을 명확히 파악하고, 그 위험이 어떻게 인식되고 완화되고 있는지를 체계적으로 관리할 수 있습니다. 이러한 과정은 조직의 보안 수준을 높이고 고객에게 신뢰할 수 있는 제품을 제공하며, 기업의 평판과 이미지를 강화하는 데 기여합니다.

사이버보안 관리 프로젝트 성공 요소

비즈니스의 역학과 범위를 정확히 이해하고, 조직의 이해관계자, 프로세스, 핵심 시스템을 체계적으로 파악해야 합니다. 이를 바탕으로 애플리케이션을 분류하고 데이터를 등급화하여 적절한 통제 장치를 설정해야 합니다. 또한, NIST CSF 2.0을 중심으로 ISO 27001, COBIT 등 다양한 프레임워크를 어떻게 선택하고 적용할지 명확히 이해해야 합니다.

GRC 전략과 세부 과제 정의

프로젝트 시작 단계에서는 비전, 목표, 전략, 세부 과제를 정의해야 합니다. 이는 NIST CSF의 'Govern' 섹션에서 정의하는 GRC 전략과 맥락을 같이합니다. 예를 들어 "조직 전반에 위협 기반 접근 방식을 확대하고, 비즈니스 및 시장의 규제 기준에 부합하는 사이버보안 GRC 프로그램을 구축한다"와 같은 목표를 설정할 수 있습니다. 각 목표에 대해 구체적인 세부 과제도 함께 정의해야 합니다.

KPI와 KRI를 통한 성숙도 측정

지속적인 성숙도 측정 프로그램 내에서는 KPI(핵심성과지표)와 KRI(핵심위험지표)를 결합하여 명확한 지표를 정의해야 합니다. 예를 들어 "패치 적용: 인터넷에 노출된 시스템이나 핵심 시스템에서 치명적, 고위험 취약점을 수정하는 데 걸리는 평균 일수"와 같은 핵심 통제 항목을 설정할 수 있습니다. 이러한 지표 설정은 이해관계자와 애플리케이션 담당자가 보안 문제 해결의 필요성을 인식하게 하고, 프로그램의 성숙도를 높이는 동시에 경영진에게 투명성을 제공합니다.

비즈니스 중요 자산 이해 및 거버넌스 구축

프로그램에서 가장 핵심적인 부분은 비즈니스에 중요한 자산을 명확히 이해하는 것입니다. 이를 위해 애플리케이션을 체계적으로 매핑하고, 갭 분석, 위험 평가, 모의 침투 테스트, 최신 감사 결과 등을 종합하여 전체적인 관점을 확보해야 합니다. 사이버보안 관리 프로그램을 위한 정책, 표준, 절차를 정의하고 이를 기반으로 관리 체계를 구축해야 합니다.

프레임워크 모델 도입 및 위험 허용도 정의

ISO 27001, NIST CSF, NIST 800-30, NIST 800-39, RMF 등의 프레임워크 모델을 도입하고, 기업의 위험 허용도와 수용 범위가 비즈니스 목표와 정렬되어 정의되도록 해야 합니다. 이해관계자의 참여를 유도하고, 프로젝트의 성공을 좌우할 위험 문화를 조성하는 것이 중요합니다. CISO의 조직 구조 역시 반드시 포함되어야 하며, 이는 NIST CSF에서 정의하는 식별(Identify), 보호(Protect), 탐지(Detect), 대응(Respond), 복구(Recover)의 단계를 기반으로 해야 합니다.

지속적인 정보보호 인식 제고 및 사고 대응 훈련

위험 문화를 강화하는 것과 병행하여 지속적인 정보보호 인식 제고 프로세스를 구축해야 합니다. 전 직원이 참여해야 하며, 특히 사고 대응과 사이버 회복력에 관여하는 인력을 중심으로 진행되어야 합니다. 랜섬웨어, 피싱, AI 기반 공격 등 재난 상황을 가정한 테이블탑 훈련을 수행하는 것이 효과적입니다. 소프트웨어 개발자 대상의 보안 개발 실무 교육도 매우 중요합니다.

기술적 통제 항목 선택 및 구현

NIST CSF가 정의한 식별, 보호, 탐지, 대응, 복구 단계별로 적절한 통제 항목을 선택하고 구현하는 것이 중요합니다. 다만, 이러한 통제 항목의 선정은 조직의 전체적인 사이버보안 전략과 시장의 베스트 프랙티스에 따라 달라질 수 있습니다. 식별된 각 문제에 대해서는 이에 대응하는 통제 항목을 정의해야 하며, 이는 3선 방어 체계를 통해 지속적으로 모니터링되어야 합니다.

법적, 규제적 요건 준수

사이버보안 관리 프로그램은 개인정보보호 및 사이버보안 관련 법률을 포함해 각종 법적, 규제적, 지역적 요건을 반드시 고려해야 합니다. 여기에는 LGPD, CCPA, GDPR, FFIEC, 중앙은행 규제 등이 포함됩니다. 이러한 규정을 준수하지 않을 경우 기업은 심각한 법적, 운영적 문제에 직면할 수 있습니다.

결론

성공적인 사이버 위험 관리 프로그램은 잘 설계되고 구현된 아키텍처를 기반으로 합니다. GRC와 CISO의 역할이 긴밀히 정렬될 때 기업의 위협 대응 역량과 사이버보안 수준을 획기적으로 높일 수 있습니다. 지속적인 노력과 투자를 통해 기업은 더욱 안전하고 신뢰할 수 있는 환경을 구축할 수 있을 것입니다.

이것도 좋아하실 수 있습니다...