얼마 전에 DELL사가 10여개 국가 600개 기업을 대상으로 진행한 디지털 트랜스메이션을 추구하는 기업들이 전환 과정에서 경험하는 시행 착오와 학습 그리고 이를 토대로 내린 결론에 대한 보고서를 요약해 공유했습니다.
관련 블로그 링크: https://blog.naver.com/gowit_sps/221334071976
오늘은 기업들이 IT 솔루션 및 서비스 도입을 할 때 가장 많이 참고한다고 알려진 Gartner 컨설팅 그룹의 보고서를 요약했습니다. Gartner 보고서는 짧지만 디지털 기반의 비즈니스를 계획하거나 디지털 트랜스포메이션이란 더 큰 그림을 그리는 IT 및 비즈니스 리더들이 귀담아 들어야 할 내용들이 정리되어 있네요. 본 포스트 내용은 Gartner Security & Risk Management Summit 2016에서 발표된 내용을 토대로 정리했습니다.
우리 모두가 인지하는 것처럼, 디지털 비즈니스에 대한 관심 그리고 이 방향으로 전환하는 기업들은 계속 늘고 있죠. 그런데 이런 흐름이 강화되면서 기업들이 직접 통제권을 갖지 못하는 IT 및 비즈니스 인프라와 서비스도 같이 증가하게 됩니다. 그리고 이는 기업에게 커다란 위험이 될 수 있습니다. Gartner 컨설팅은 사이버 보안을 이용해 이 문제를 해결하는 전략이 필요하다는 의견을 제시하고 있군요. 가트너 컨설팅은 2020년까지 기업이 운영하는 디지털 비즈니스의 약 60 % 정도가 실패할 가능성이 높다고 예측하는데, 그 이유를 디지털 위험을 제대로 관리할 수 있는 IT보안팀의 역량 미비이라고 진단하고 있습니다. IT 기술과 인프라를 활용해야만 하는 디지털 비즈니스의 속성을 고려할 때, 사이버 보안 위험의 대처 능력은 비즈니스 성공과 실패를 가늠하는 기준이 된다는 가트너 컨설팅 주장에 동조할 수밖에 없지요.
가트너 컨설팅 분석가인 폴 프록터는 “개방된 디지털 세상에는 외부 생태계와의 연결이 필수이면서 일상화되고, 디지털 비즈니스가 극복해야 하는 문제들이 계속 발생하기 때문에 좋은 사이버 보안은 필수다!”라고 권고하고 있습니다.
폴 프록터 설명이 함축적이라 조금 풀어보겠습니다. “성공적인 디지털 비즈니스 구성을 위해서는 다양한 파트너들 (외부 생태계)과의 연동 및 협력이 필수적이다.” – 웹 사이트를 통해 서비스를 중계하는 디지털 비즈니스 모델을 예로 들오 보죠, 사용자 인증을 위해서는 자체 인증 방식도 필요하지만 사용자 요구에 따라 facebook, 구글 혹은 MS계정도 지원해야 합니다. 그리고 결제를 위해서는 신용카드사나 페이팔 등의 결제 서비스와 연동해야 합니다. 이것이 모두 외부 생태계 연결인 것이죠.
“디지털 비즈니스를 수행하기 위해 해결해야 하는 새로운 보안 및 법과 규제가 계속 늘고 있기 때문에 사이버 보안이 꼭 필요하다!” – 보안 공격 및 위협 증가는 따로 설명하지 않아도 잘 아실 겁니다. 그리고 개인정보보호법 및 GDPR처럼 기업이 반드시 지켜야 하는 법과 규제도 절대 줄어들 기미는 보이지 않습니다. 이런 흐름은 기업 혼자서 대응하기에는 불가능한 수준으로 확대되고 있는 것이죠.
그리고 이렇게도 덧붙였네요 “조직은 디지털 혁신을 진행하면서 어떤 보안이 필요하고 어떤 수준까지 위험을 감수해야 하는지를 학습하게 됩니다. (그래서 가능한 빨리 시도해서 경험하고 역량을 강화하는 것이 중요하다!) 디지털 세상에서의 도덕 기준과 윤리, 분석 그리고 사람에 대한 투자도 기술 통제만큼 중요한 요소가 될 것입니다.”
가트너 컨설팅이 제시하는 성공적 디지털 비즈니스 보안을 위해 필요한 5개 영역입니다:
• 리더십 및 통제 (거버넌스) 확보 – 디지털 비즈니스의 사이버 보안 및 기술 위험을 해결할 때 기술 도구 및 기술 개발보다 더 중요한 것이 리더십과 통제을 개선하는 일입니다. 리더쉽과 통제에 포함되는 의사 결정, 업무 우선 순위 지정, 예산 할당, 측정, 보고 및 투명성 확보 그리고 책임 등은 비즈니스 운영을 위해 필요한 균형있게 유지하는 성공적 프로그램의 주요 특성들입니다.
• 진화하는 위협 환경의 이해 – IT 위험 및 보안 부서의 리더는 모든 위협을 100% 차단하려는 시도를 하지 말아야 합니다. 완벽한 방어는 불가능함을 인정해야 한다는 의미이죠. 가트너 컨설팅은 2020년 정도에는 기업 정보보안 예산의 약 60 %가 (2016년에는 30 % 이하)였던 ‘신속한 보안 탐지 및 대응 방안’확보에 할당될 것으로 예상하는군요. 기업은 악의적 위협 행동 및 사건들을 탐지하고 즉시 대응할 수 있는 구조를 만들어야 합니다. 어떤 최상의 예방 제어도 모든 사건을 예방하지는 못하기 때문입니다.
• 디지털 비즈니스 속도에 맞춘 사이버 보안의 속도 – 디지털 비즈니스는 기존 비즈니스보다 빠르게 진행됩니다. 디지털 혁신 시대에는 ‘최대한의 통제력 확보를 목표로 설계된 전통적 보안 접근 방식’은 더 이상 작동되지 않게 된다고 가트너 컨설팅은 권고합니다. IT 위험 및 정보보안 리더는 기업이 추구하는 혁신을 가로 막는 장애물이 아닌 원동력이 될 수 있도록 현재의 보안 체계 및 프로그램을 평가하고 변형해 나가야합니다. 비즈니스를 보호하면서 성장시킬 수 있는 균형 잡힌 생태계를 구축할 수 있는 조직은 확실한 경쟁력을 확보할 수 있습니다.
• 새로운 차원의 사이버 보안 영역 – 대부분의 기업 정보 및 자원이 자체 데이터센터에 유지되던시대에는 데이터 보호가 비교적 쉬웠습니다. 하지만 새로운 비즈니스 환경은 기업이 통제해야 하는 범위를 자체 데이터센터를 넘어서 클라우드, 모바일, SaaS 및 기타 분야로 계속 확장시키고 있습니다. 예를 들어, 2018년 기준으로 기업 데이터 트래픽의 약 25 %는 기업의 보안 통제를 받지 않고 모바일 장치에서 클라우드로 직접 이동하고 있습니다. 이제 기업들은 자신들이 직접 소유 및 통제하지 않는 기술 및 자산에 대한 사이버 공격과 위험도 대응해야 합니다. 사업부 혹은 부서별 IT시스템 (조직)이 전사적 조직과 별도로 운영되는 것은 현대 기업에게는 일반적 현상입니다. 그러나, 이제 이들을 위한 보안 정책, 기준 수립과 제공이 필요합니다.
• 인력 및 프로세스: 문화적 변화 – 디지털 비즈니스의 가속화와 기술이 개인에게 제공됨에 따라 그 개인의 (직원과 고객 모두) 행동에도 변화가 동반됩니다. 기업의 업무 및 보안 프로세스도 이에 맞춰 변해야 합니다. 물론 이 일은 어렵기도 하고 시간도 오려 걸리지만 매우 중요한 사항입니다. 사이버 보안은 기업의 각종 업무 프로세스와 문화적 변화를 통해 사람들의 요구를 수용하고 해결해 줄 수 있어야 합니다. 사람 중심의 보안은 기업의 모든 구성원이 기업 정보 및 기기들을 사용하는데 있어 자율성을 높이는 개인들이 정보와 기기를 사용할 때 적용되어야 하는 보안 수준을 최적화하는 것이 목표입니다. 구성원들은 개별적으로 특정한 권리를 가지면서 전체 조직과 연결되게 됩니다. 혼자서만 움직이는 것처럼 보이지만 전체 조직과 연결되어 있고 한 개인의 실수가 팀, 부서 및 회사 전체에 영향을 준다는 것을 인지하도록 교육과 훈련이 따라야 합니다.
기업이 비즈니스를 디지털화 (혹 디지털 비즈니스) 하거나 디지털 트랜스포메이션으로 전환해야 하는 것은 선택이 아닌 필수가 되고 있습니다. 그리고 디지털 비즈니스의 성공과 실패를 가늠하는 핵심 요소 중 하나가 사이버 보안이라고 Gartner 컨설팅은 이야기합니다. 그리고 이를 위한 리더쉽과 통제력 확보를 중심으로 한 5가지 영역을 제시하고 있습니다. 여러분 기업에서도 고려해 보시기 바랍니다.
오피스 365 무료 체험 링크
https://cloud.gowit.co.kr/contact/free-trial/
오피스 365 도입 및 서비스 지원 문의
고우아이티 컨설팅 담당 이은주 부장
02-462-5365 | gocloud@gowit.co.kr
https://cloud.gowit.co.kr
GowIT는 기업 환경에 최적화된 클라우드 서비스와 지원을 제공합니다.