• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

“위험 관리 못하면 똑같은 문제 반복될 것” 2017.12.19

위험 관리 상위 4개 업종은 건강, 금융, 컨설팅, 보험
전반적 업계 성숙도는 아직 저조, 형식적 차원에 그쳐

[보안뉴스 오다인 기자] 위험 관리의 실패는 우선순위 설정의 실패, 자원 낭비, 보안 문제 해결 실패 등 심각한 문제들을 연속적으로 초래한다. 그러나 기업 상당수는 위험을 어떻게 수량화하고 관리해야 할지 모른다. 때문에 기업들은 똑같은 보안 문제에 반복해서 봉착하게 되고, 새로우면서 더 큰 문제들에 직면하고 있다.

[이미지=iclickart]


정보 위험 측정 및 관리를 위한 비영리 단체 페어 인스티튜트(FAIR Institute)는 정보보호최고책임자(CISO), 사이버 보안 전문가, 위험 관리자, 위험 분석가, 최고 경영진 등 114명의 전문가를 설문조사했다. 현재 위험 관리가 어느 수준으로 성숙했는지 파악하기 위해서였다.

그 결과, 건강, 금융, 컨설팅, 보험 부문이 상위 4개 업종으로 나타났다. 페어 인스티튜트 이사장이자 사이버 위험 관리 업체 리스크렌즈(RiskLens)의 R&D 부사장인 잭 존스(Jack Jones)는 금융 서비스 산업이 가장 높은 점수를 받긴 했으나 백분위 상위 25%의 점수가 상대적으로 낮았다고 말했다. 즉, 위험 관리가 전반적으로 미성숙했다는 신호다.

존스는 대부분의 사이버 위험 관리 프로그램이 “형식적인 차원”에서 그친다고 지적했다. 기업들이 구성원, 절차, 기술 등에 대해 결정을 내릴 때 이 결정이 적절하게 공지되고 실행되는지 분명히 확인하지 않고 진행한다는 것이다.

존스는 “역사적으로 산업계는 효과적인 위험 측정이나 우선순위 수립보다는 모범 사례 체크리스트에 집중해왔다”고 말하면서, 위험에 대한 이해가 부족해서 발생한 일이라고 분석했다. 위험 관리에 대한 의사결정이나 이를 실천하는 일은 둘 다 업계 전역에서 매우 저조하게 나타났는데 문제가 심각하다는 뜻이라고 그는 덧붙였다.

존스는 컴플라이언스 체크리스트가 본질적으로 해로운 것은 아니지만, 사람들이 이를 통해 위험 관리 목표까지 달성한 것이라고 생각하는 게 문제라고 짚었다. 많은 기업이 부정확한 용어, 공유되지 않은 멘탈 모델(Mental model), 위험 평가자들의 불충분한 능력 같은 문제 때문에 여러 사안들의 우선순위를 매기는 데 실패하고 있다.

이 중에서도 위험 평가 시 공식적인 분석 모델보다 멘탈 모델에 “크게 의존”하는 것이 주요한 문제라고 존스는 설명했다. 설문조사 응답자의 43%가 외부의 위험 관리 기관이나 그런 기관의 멘탈 모델에 위험 평가를 맡기고 또 의존하기 때문에 자사 모델의 품질 수준이 “떨어진다(weak)”고 밝혔다.

“멘탈 모델이 일관성이나 신뢰성이 떨어진다는 건 너무도 잘 알려진 사실입니다. 특히, 사이버 공간처럼 역동적이고 복잡한 곳에서는 더 그렇죠. 멘탈 모델은 의사결정권자에게 부정확한 위험 정보를 전달할 가능성을 엄청나게 높입니다. 이건 우선순위 정립과 대안 선택의 전략에도 모두 영향을 미칩니다.”

게다가 기업의 지도자들이 위험 관리를 수익 목표나 마감, 예산 요건만큼 진지하게 생각하도록 만드는 것도 어려운 일이다. 존스는 “이런 상태가 지속되는 이상, 내부 정책이나 외부 규제를 준수하지 않는 문제도 계속해서 골칫거리로 남게 될 것”이라고 말했다.

일전에 근본 원인을 분석한 사실을 언급하며, 존스는 좋지 않은 비밀번호 설정이나 패치 습관 등 규정 불이행의 75% 이상이 마감과 예산 같은 긴급한 문제들로 인해 우선순위에서 밀렸기 때문에 발생했다고 설명했다.

“위험 관리는 기업의 다른 목표들과 동등한 선에서 취급돼야 합니다.” 존스는 경영진이 매년 받는 보상금이 특정한 위험 관리 목표와 결부돼있다고 말했다. 이 목표들은 그 결과를 책임지게 될 경영진에 의해 합의된 것들이라고 그는 강조했다.

존스는 위험에 대한 이해를 재정립할 것, 용어, 멘탈 모델, 위험 측정 습관을 정상화할 것 등을 기업에 조언했다. 이와 함께, 위험 평가를 책임질 사람에 대해 보다 신중하게 생각해야 한다고도 덧붙였다.

“누군가 감사를 꼼꼼히 한다고 해서, 또는 그가 훌륭한 보안 엔지니어라고 해서 위험 관리도 잘 할 거라는 보장은 없습니다. 위험을 측정한다는 건 구체적이고 일반화되지 않은 분석 절차를 도입한다는 의미입니다. 비판적인 사고 능력, 가능성에 대한 기초적인 이해, 정확한 평가 능력, 공식적인 분석 모델을 사용할 수 있는 능력이 모두 필요하다는 뜻이죠.”

기업이 위험을 관리하지 못하면 그 파장은 엄청나게 커진다. 거대한 문제들이 해결되지 못하고, 자원은 하찮은 문제들에 할당되고 만다. 존스는 기업들이 똑같은 문제가 반복되는 악순환의 고리를 이제 끊어야 한다고 말했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>