[디지털데일리 오병훈기자] “리스크 매니지먼트(RM) 측면에서 경영진을 설득해야 보안 투자에 대한 지원 받기가 수월해진다”

25일 김용철 SK쉴더스 그룹장은 서울 양재동 엘타워에서 개최된 ‘클라우드빅테크2024’에서 클라우드 환경에서 필요한 보안 전략에 대해 강조하며 이같이 말했다.

클라우드 기술 등장 이전에 기업들은 지금보다 비교적 수월하게 보안 업무을 볼 수 있었다. 기업 내부에 서버를 구축하는 ‘온프레미스’ 환경에서는 독립적인 환경에서 서비스를 운영하기 때문에 보안 측면에서도 신경 써야 할 위협이 압도적으로 적었기 때문이다.

그러나 클라우드 기술 등장으로 가상머신(VM), 컨테이너 등 데이터 관리 체계가 다층화되면서 보안 측면에서 신경써야 할 부분도 많아졌다. 그에 비해 기업 경영진으로부터 보안전략을 위한 추가 지원을 받기는 어려워졌다. 온프레미스 때보다 복잡해진 클라우드 보안 환경을 기술적으로 설명하는 것도 쉽지 않은 일이다. 결과적으로 외부 위협은 늘었고, 재정적인 지원은 받기가 힘들어지면서 이중고를 겪고 있는 모습이다.

김 그룹장은 “최고보안책임자(CSO)나 정보보호최고책임자(CISO) 등 C레벨 인사가 경영진에 보안 필요성을 설득해야 되는데, 기술적으로 경영진에게 설명하는 것은 쉽지 않다”며 “경영진들 대부분 클라우드 기술은 모를 수 있지만, 리스크관리(RM)에 대해서는 모두 잘 알고 있다는 점을 이용해야 한다”고 조언했다.

희망적인 것은 세계적인 추세로도 정보보안 책임자의 목소리가 커지고 있다는 분석이 나오고 있다는 점이다. 가트너는 오는 2026년까지 주요 기업 이사회 70%는 사이버 보안 전문 지식을 갖춘 한 명 구성원 포함될 것이라고 내다봤다. 보안사고 사례가 늘면서 정량적으로 피해금액이 가시화되면서 기업들도 보안책임자 중요성을 본격적으로 인식하기 시작했다는 분석이다.

김 그룹장은 리스크매트릭스, 리스크매니지먼트프레임워크 등을 경영진 설득을 위한 정량적 자료로 제안했다. 글로벌 스탠다드격인 자료를 활용해 예상 피해를 구체화하고 활용하라는 조언이다.

그는 “예를 들어 이제 랜섬웨어가 위험도가 가장 높은 수준 단계인 ‘크리티컬’인 상황에서 ‘미디움’이나 ‘로우’로 낮추겠다고 소통하면 경영진 입장에서 이해가 쉬울 것”이라고 덧붙였다.

이어 그는 효율적인 보안을 위해 보안상 ‘가시성(Visibility)’을 확보하는 것이 중요하다는 점도 강조했다. 클라우드 환경에서는 단순히 서비스 이용자, 관계자만 데이터에 접근하는 것이 아니라 사물인터넷(IoT), 소프트웨어 단에서 발생하는 공급망(오픈소스 등 서플라이체인) 등 다양한 주체가 정보에 접근하기 때문에 이를 정확히 파악할 수 있는 환경이 조성돼야 한다는 것이다.

그는 “데이터가 서비스 과정에서 어디에, 어떤 방식으로 흐르고 있는지 인식하고 있어야 한다”며 “서비스 전반에 대한 가시성이 확보가 돼야 수월하게 보완 조치를 할수 있다”고 강조했다.

마지막으로 그는 보안 실무 책임 범위를 명확히 하라고 조언했다. 클라우드 환경에서는 서비스 형 인프라(IaaS), 서비스 형 플랫폼(PaaS), 서비스 형 소프트웨어(SaaS) 등 서비스별로 각 주체가 책임지는 보안 책임이 달라진다는 설명이다.

예컨대 한 기업이 클라우드제공사(CSP)와 PaaS 계약을 체결하면, 애플리케이션이나 응용프로그램인터페이스(API)에서 보안 책임은 클라우드 사용 기업이 지게되고, 가상 네트워크(Virtual Network)나 서비스오케스트레이션 등 보안 책임은 CSP가 지는 식이다. 통상적으로 사용되는 책임 분담 모델이 있지만, 실무상으로 계약에 따라 그 책임 소재 범위가 바뀔 수도 있다는 조언이다.

김 그룹장은 “CSP와 계약할 때 포함되는 부분으로, 제대로 구분하지 않고 계약했다간 뜻하지 않게 보안 책임을 지게 될 수 있다”며 “실무진 및 경영진 모두 이해도를 높여야할 내용이라고 생각한다”고 말했다.