5가지 주요 사이버 위험: 모든 이사회가 알아야 하는 위험

* 본 아티클의 원문은 2024년 10월 30일 Google Cloud 블로그(영문)에 게재되었습니다.

전략적 리더십과 의사결정을 담당하는 이사회는 전례 없는 혁신의 시기를 겪고 있습니다. 급속한 기술 발전, AI 기반 혁신로 인해 발생하는 혼란, 끊임없이 진화하는 사이버 보안 환경, 역동적인 규제 환경 등의 요소의 결합은 고유한 문제와 기회를 동시에 발생시킵니다.

그러나 현재 이사회는 올해 미국 증권거래위원회(SEC)에서 새로운 규칙을 시행하는 등 큰 변화로 인해 여러 사이버 보안 위험 관리와 거버넌스 결정에 관해 곤란한 입장에 놓여 있습니다. 최근 발표된 SEC 지침은 운영 복원력과 사이버 공격에 대비하고 복구할 수 있는 조직의 능력에 대한 우려가 커진 데 따른 것입니다.

2023년 설문조사에 따르면 사이버 보안이 가장 큰 위험 문제라고 답한 비율이 보안 리더(33%)보다 비즈니스 리더(38%)가 높았습니다. 이는 보안 리더들 사이에 널리 퍼져 있는 관점 즉, 비즈니스 리더가 조직에 대한 사이버 위협의 위험을 제대로 인식하지 못한다는 의견과 상반되는 결과입니다.

이러한 우려는 Proofpoint의 2023년 이사회 설문조사에도 나타났습니다. 설문조사에 참여한 이사회 구성원 중 70% 이상은 사이버 보안이 이사회의 최우선 순위라고 생각하며, 조직에서 직면한 위협을 이해하고 있고 사이버 보안에 충분한 리소스를 투자했다고 답했습니다.

Google Cloud CISO실에서는 이사회, CISO, 비즈니스 리더의 우려가 하나로 모이는 것에 주목하고 있습니다. 사이버 보안 인식의 달을 맞아 Google Cloud는 조직의 위험을 더 효과적으로 관리할 수 있도록 이사회가 보안 및 디지털 혁신에 대해 자세히 알아볼 시간을 가져야 할 필요성을 강조합니다. 또한 이사회가 조직의 보안 상황을 더 구체적으로 파악하고 사이버 위험 관리 결정에 더 많이 참여하면 조직 전체의 복원력을 높일 수 있다고 확신합니다.

이를 위해 이사회를 위한 보안 관련 관점 보고서 시리즈를 통해 이사회 수준에서 고려해야 할 상위 5가지 보안 사항을 선별했습니다.

1. AI 및 사이버 보안에 대한 이사회 참여: 이미 AI가 사이버 보안에 미치는 영향이 나타나기 시작했습니다. AI 기술의 효과를 극대화하고 위험을 최소화하기 위해 이사회와 CISO, 기술 리더, 비즈니스 리더가 협력하여 보안 및 AI와 관련해 주요 3가지 방안을 마련하는 것이 좋습니다. 첫째, 이사회는 조직이 안전한 AI 시스템을 어떻게 배포할 계획인지 파악해야 합니다. 다음으로 더 나은 사이버 보안 성과를 대규모로 달성할 수 있도록 CISO와 협력하여 AI의 강력한 성능을 활용하는 최고의 방법을 파악해야 합니다. 마지막으로 위협을 예측할 수 있도록 CISO와 협력하여 AI 개발에 대한 최신 정보를 파악합니다. 보고서 읽기
2. 이사회가 사이버 위험 감독을 지원하는 방법: 사이버 위험을 다룰 때 정부 주도의 필수 최소 사이버 보안 표준을 비롯해 고려해야 할 복잡한 문제가 많이 있습니다. 이로 인해 훨씬 세밀한 위험 계산이 요구되지만 그렇다고 불가능하지는 않습니다. 이사회 관점에서 볼 때 전반적인 비즈니스 위험 측면에서 사이버 위험을 이해하고 관리하는 것이 좋습니다. 이를 위해서는 사이버 보안과 복원력을 비즈니스 전략, 위험 관리 관행, 예산 책정, 리소스 할당에 통합하려는 노력이 필요합니다. 보고서 읽기
3. 이사회 지원 위기 커뮤니케이션: 사이버 이슈가 발생했을 때 위기 커뮤니케이션은 비즈니스 연속성을 유지하기 위한 노력의 생명선이 될 수 있습니다. 이를 위해 조직은 사이버 위기가 발생했을 때 이해관계자, 고객, 일반 대중과 빠르고 효과적으로 소통하는 방법에 대해 이슈 발생 전에 학습할 필요가 있습니다. 이사회의 감독 위치는 기술적 방어와 위기 커뮤니케이션 전략 모두에 대한 고유한 인사이트를 제공합니다. 이를 결합하면 조직의 디지털 애셋과 명성을 보호하기 위해 더 나은 기반을 구축하고, 신뢰를 유지하고 개선하는 데 도움이 됩니다. 보고서 읽기
4. 협업을 통한 보험 보호 최적화: 사이버 보험은 조직이 정보 유출, 랜섬웨어, 기타 유형의 사이버 공격으로 인해 발생한 사이버 보안 관련 비즈니스 중단을 복구할 수 있도록 지원합니다. 이러한 팁은 조직의 보험 니즈를 적정 규모로 조정하는 프로세스를 간소화하는 데 도움이 될 수 있습니다. 견고한 사이버 보험 전략을 개발하는 데 필요한 분석과 접근방식은 대부분 사이버 위험 관리를 위한 더 광범위한 접근방식과 겹칩니다. 조직은 두 프로세스를 동시에 진행하는 것이 아니라 통합해야 합니다. 포괄적인 사이버 위험 관리를 위해 이사회는 CISO(기술적 측면에 집중)와 재무(재정적 영향에 집중)팀 간의 협력을 촉진해야 합니다. 보고서 읽기
5. 사이버 보안 리더십의 심리적 복원력: CISO와 그 팀이 직면한 스트레스는 심리적 부담으로 이어지며 잘못된 의사결정이나 번아웃을 초래할 수 있습니다. 끊임없이 발생하는 새로운 위협, 가장 강력한 방어조차도 침해될 수 있다는 사실, 예산과 인력 확보의 어려움이 보안 결정에 미치는 영향, 심각한 보안 위험에 대한 고위 경영진과의 소통 등이 모두 엄청난 심리적 압박을 유발할 수 있습니다. 이러한 부담으로 인해 CISO팀은 고립되고 지원을 받지 못하는 것처럼 느낄 수 있지만, 실제로는 그렇지 않습니다. 이사회와 경영진은 전반적인 비즈니스 전략의 핵심 구성요소로서 CISO와 보안팀의 심리적 복원력을 높은 우선순위로 지정하는 것이 좋습니다. 보고서 읽기

Mandiant의 창립자이자 Google Public Sector 이사회 임원인 Kevin Mandia가 올해 RSA 콘퍼런스 기조연설에서 언급했듯이 사이버 보안 및 운영 복원력에서 이사회의 역할이 그 어느 때보다 중요합니다.

“이사회는 회사를 감독하기 위해 존재합니다. 그 감독의 역할이 지금은 의무가 되었으며, 이 점을 전달해야 합니다. 새로운 데이터 주권 법률, 개인 정보 보호법, 사이버 보안 표준, 법률, 규제가 등장하는 가운데, 이사회에는 적극적이고 꾸준한 참여가 요구됩니다.”라고 Kevin은 말했습니다.

블로그, 보고서, 동영상, 연락처 정보 등 이사회를 위한 최신 Google Cloud 가이드를 자세히 알아보려면 이사회 인사이트 허브를 방문하세요.