가트너, 사이버 보안 8대 주요 전망 발표…사람 중심 설계, 제로 트러스트 구현, 사이버 위험 정량화 필요

2024-03-29     임병선 기자

[smartPC사랑=임병선 기자] 가트너(Gartner)가 사이버 보안 8대 주요 전망을 발표했다. 가트너가 최근 발표한 주요 사이버 보안 전망에 따르면, 전 세계 최고 정보 보안 책임자(Chief Information Security Officer, CISO) 중 절반 가까이가 사이버 보안 운영 마찰을 줄이기 위해 사람 중심 설계를 채택할 것이다. 대기업은 제로 트러스트 프로그램 구현에 집중할 것이며, 사이버 보안 리더의 절반이 사이버 위험 정량화를 사용하여 의사 결정을 내리는 데 실패하는 경험을 하게 될 것이다.

지난 28일(현지 시간) 시드니에서 열린 가트너 보안 및 위험 관리 서밋(Gartner Security & Risk Management Summit)의 오프닝 기조 연설에서 가트너의 시니어 디렉터 애널리스트인 리차드 애디스콧(Richard Addiscott)과 가트너 어드바이저리의 시니어 디렉터인 리사 노이바우어(Lisa Neubauer)가 디지털 시대에 보안 및 위험 관리 리더의 성공에 도움을 줄 수 있는 주요 전망을 발표했다.

애디스콧은 “CISO와 그 팀이 조직의 보안을 최대한 유지하기 위해 현재 일어나고 있는 일에 집중해야 한다는 건 의심의 여지가 없는 부분”이라며, “그러나 일상적인 과제에서 벗어나 향후 몇 년 동안 보안 프로그램에 영향을 미칠 수 있는 일이 무엇인지 살필 시간을 가져야 한다”고 강조했다.

이어 “가트너의 전망은 앞으로 등장할 몇 가지 사항에 대한 신호탄이며 효과적이고 지속 가능한 사이버 보안 프로그램을 구축하고자 하는 모든 CISO가 고려해야 할 사항”이라고 덧붙였다.

가트너는 사이버 보안 리더들이 향후 2년간의 보안 전략에 다음과 같은 전략적 계획 가정을 수립해야 한다고 밝혔다.

 

2027년까지 CISO50%는 운영상의 마찰을 최소화하고 제어를 극대화하기 위해 사이버 보안 프로그램에 사람 중심 설계 방식을 공식적으로 채택할 것이다.

가트너의 조사에 따르면, 업무 중 위험한 행동들을 했다고 인정한 직원의 90% 이상이 자신의 행동이 조직에 리스크를 증가시킬 수 있다는 점을 알고 있었음에도 그렇게 행동했다고 답했다. 사람 중심의 보안 설계는 제어 설계 및 구현 모델링 시 기술, 위협 또는 위치가 아닌 개인을 중심으로 하여 마찰을 최소화한다.

 

2024년까지 최신 개인정보 보호 규제는 대부분의 소비자 데이터를 포함할 전망이다. 그러나 개인정보 보호를 경쟁 우위 선점을 위한 무기로 활용하는 데 성공한 조직은 10%가 채 안 될 것이다.

기업들은 개인정보 보호 프로그램을 통해 데이터를 더욱 광범위하게 사용하고 경쟁사와 차별화하며, 고객, 파트너, 투자자 및 규제 기관과 신뢰 관계를 구축할 수 있다는 사실을 인지하기 시작했다. 점점 더 경쟁이 치열해지는 시장에서 기업을 차별화하고 끊임없이 성장시키려면, 보안 리더들은 GDPR에 따라 포괄적인 개인정보 보호 표준을 시행해야 한다.

 

2026년까지 대기업의 10%가 포괄적이고 성숙하며 측정 가능한 제로 트러스트 프로그램을 갖출 전망이다. 이는 현재 1%에서 크게 증가한 수치다.

성숙하고 광범위하게 배포된 제로 트러스트 구현은 여러 다른 구성 요소의 통합 및 배열을 필요로 하기 때문에 상당히 기술적이고 복잡할 수 있다. 성공 여부는 비즈니스 가치로 전환할 수 있는지에 의해 크게 좌우된다. 소규모로 시작하면 끊임없이 진화하는 제로 트러스트 사고방식을 통해 프로그램의 이점을 더 쉽게 파악하고 복잡성을 단계적으로 관리할 수 있다.

 

2027년까지 직원의 75%IT 가시성 밖에서 기술을 획득, 변경 및 개발할 것이다. 이는 202241%에서 증가한 수치다.

CISO의 역할과 책임 범위는 통제책임자(Control Owner)에서 리스크 결정 조력자(Risk Decision Facilitator)로 변화하고 있다. 사이버 보안 운영 모델을 재구성하는 것이 다가올 변화의 핵심이다. 기술과 자동화를 넘어 직원과 깊이 소통하여 의사 결정에 영향을 미치고 직원들이 적절하게 행동할 수 있도록 적합한 지식을 갖추게 해야 한다.

 

2025년까지 사이버 보안 리더의 50%가 사이버 위험을 정량화함으로써 기업의 의사결정을 주도하려고 시도했으나 실패할 것이다.

가트너에 따르면 사이버 위험 정량화를 도입한 기업 중 62%가 신뢰도 및 사이버 위험 인식 등 약간의 이익을 얻었다. 그러나 위험 감소, 비용 절감, 실질적인 의사 결정 영향력 등 실행 기반의 성과를 달성한 기업은 36%에 불과했다. 보안 리더는 자기 주도적인 분석을 통해 비즈니스의 관심을 끌기 위해 설득하는 대신, 의사 결정권자가 요구하는 정량화에 역량을 집중해야 한다.

 

2025년까지 절반에 가까운 사이버 보안 리더들이 직업을 바꿀 것이며, 25%는 전적으로 업무 관련 스트레스로 인해 다른 직무로 전환할 것이다.

팬데믹과 업계 전반의 인력 부족으로 인해 사이버 보안 전문가의 업무 스트레스 요인이 증가하고 있으며, 지속적인 업무가 불가능한 수준에 이르렀다. 스트레스를 완전히 없애는 것은 현실적으로 어렵지만 그들이 지원을 받을 수 있는 문화를 갖춘다면 도전적이고 스트레스가 많은 업무를 관리할 수 있을 것이다. 문화적 변화를 촉진하는 데는 참여 방식의 변경이 도움이 될 것이다.

 

2026년까지 70%의 이사회에 사이버 보안 전문성을 갖춘 이사가 1명 이상 포함될 것이다.

사이버 보안 리더가 비즈니스 파트너로 인정받기 위해서는 이사회와 기업이 어떤 리스크에 관심을 가지는지 알아야 한다. 이는 사이버 보안 프로그램이 불리한 상황이 발생하지 않도록 방지하는 방법 뿐만 아니라 기업의 효과적인 위험 감수 능력 향상 방법 또한 보여줘야 한다는 뜻이다. CISO는 변화에 앞서 이사회에 사이버 보안을 촉진 및 지원하고 긴밀한 관계를 구축하여 신뢰와 지원을 개선해야 한다.

 

2026년까지 위협 탐지, 조사 및 대응(TDIR) 기능의 60% 이상이 탐지된 위협의 유효성 검증 및 우선 순위 지정을 위해 노출 관리 데이터를 활용할 것이다. 이는 현재 5% 미만에서 증가한 수치다.

SaaS 및 클라우드 애플리케이션 사용과 연결성 증가 등으로 인해 조직의 공격 표면이 확장됨에 따라, 기업은 위협과 노출을 지속적으로 모니터링할 수 있는 더 광범위한 가시성과 및 중앙 집중화된 장소를 필요로 한다. TDIR(Threat Detection, Investigation, and Response) 기능은 탐지, 조사, 대응을 관리할 수 있는 통합 플랫폼 또는 플랫폼 에코시스템을 제공하여 보안 운영 팀이 위험과 잠재적 영향을 완벽하게 파악할 수 있도록 한다.