기사
새로운 기술은 새로운 위협을 의미하므로, CISO와 CIO는 새로운 대응 방식을 도입해야 합니다.
후원: Nutanix
최근 미주 전역에서 100명 이상의 최고정보보안책임자(CISO), 최고정보책임자(CIO) 및 기타 최고 경영진이 모여 사이버 위협의 증가와 AI가 사이버 보안에 미치는 혁신적인 영향에 대해 논의하는 자리를 가졌습니다. 이 모임은 글로벌 사고 리더십 및 임원 교육으로 유명한 초대 전용 포럼인 Nutanix 마스터클래스에서 진행되었습니다.
마스터클래스는 업계 리더, 성공적인 최고 경영진 및 고위 IT 임원, 선도적인 학자, 베스트셀러 작가가 모여 가장 시급한 기술 및 비즈니스 과제를 해결하고 가장 효과적인 솔루션을 공동으로 모색하는 자리입니다.
마스터클래스는 Ardagh 그룹의 CISO인 로버트 던컨(Robert Duncan)과 Northeastern University 기술 관리 및 디지털 리더십 센터의 디렉터인 아트 랭어(Art Langer) 박사가 진행했습니다. Nutanix의 CIO인 라미 마지드(Rami Mazid)도 참석했습니다. 이번 마스터클래스의 주요 내용은 다음과 같습니다.
인공지능(AI)은 사이버 보안 위협 환경을 크게 재편하고 있습니다. 따라서 최고정보보안책임자(CISO), 최고정보책임자(CIO) 및 최고 경영진은 조직, 고객, 데이터 및 공급망을 보호하기 위한 전략을 현대화해야 합니다.
세계적인 제조업체인 Ardagh Group의 CISO인 로버트 던컨은 전례 없는 지식의 성장 속도를 강조합니다: "1900년까지만 해도 지식은 100년에 한 번씩 두 배로 증가했지만, 2차 세계대전 이후에는 25년에 한 번씩 증가했고 지금은 매년 증가합니다. CISO로서는 감격스럽지만 부담스러운 일입니다." GenAI의 등장으로 정보에 대한 접근과 조작이 기하급수적으로 증가하면서 사이버 위협의 다양성과 정교함이 확대되고 있습니다. 던컨은 "회사를 방어하는 능력이 상당히 어려워졌다”고 언급했습니다.
Northeastern University의 아트 랭어 박사는 AI를 넘어 5G와 곧 출시될 6G 네트워크의 출시는 연결성과 센서 사용을 증폭시켜 기존의 운영 모델과 애플리케이션에 더 큰 도전을 가져올 것이라고 덧붙입니다. 이러한 연결성 급증으로 인해 CISO가 관리해야 하는 위협 환경이 필연적으로 확대됩니다.
레거시 시스템과 오래된 관행
던컨은 새로운 기술도 위험을 초래할 뿐만 아니라 기존의 오래된 기술도 가장 취약할 수 있다고 지적합니다. 산업 환경에서 여전히 널리 사용되는 MS-DOS 및 Windows XP와 같은 시스템은 쉽게 패치하거나 교체할 수 없어 최신 시스템과 인터페이스할 때 취약성이 증가합니다. 그는 Kill Chain이나 MITRE Att&ck와 같은 구식 보안 프레임워크의 사용이 현재의 기술 위협에 따라 진화하지 못한다고 비판합니다.
공급망 취약성
2023년 MOVEit 침해 사고는 공급망 공격의 상호 연결성과 잠재적 영향력을 보여주었으며, 6천만 명에게 영향을 미쳤습니다. 던컨은 보안 전략에서 더 광범위한 공급망을 고려하는 CISO의 중요성을 강조합니다: "영향은 피할 수 없으므로 CISO는 자신의 조직을 넘어서는 시각을 가져야 합니다."
사이버 보안 침해의 경제적 영향
Nutanix의 CIO인 라미 마지드가 사이버 사고의 재정적 영향에 대해 설명합니다: "한 번의 사고로 24시간 이내에 기업 가치가 20%% 감소할 수 있습니다." 던컨은 이를 수치화하여 며칠간의 업무 중단으로 인해 4천만~5천만 달러의 손실이 발생했을 것으로 추정했습니다. 그는 NotPetya 공격을 언급하며 간접 공격도 광범위한 피해를 야기할 수 있다는 점을 상기시킵니다.
사이버 보안의 전략적 변화
사이버 보안 전략을 조정해야 할 필요성에 대한 논의가 이어집니다.
예산: 마지드는 현재 사이버 보안이 IT 예산의 20~25%를 차지하며, 이는 과거 수준보다 크게 증가한 수치라고 말합니다. 그러나 랭어 박사는 단순히 예산을 늘리는 것만으로는 충분하지 않으며, 자원 배분의 적응력이 중요하다고 경고합니다.
조직 구조: 던컨은 사이버 보안 예산을 IT 부서에 배치하는 기존의 방식을 비판하며, 보안을 IT에만 국한하지 말고 더 폭넓게 고려해야 한다고 제안합니다.
사이버 보안 복원력 구축
이러한 과제에 대응하기 위해 사이버 보안 복원력을 구축하는 방향으로 전환하고 있습니다.
이사회 인식: 던컨은 취약점이 발견되었을 때 비난에서 지원으로 전환하는 이사회 차원의 이해가 진화하는 것을 관찰했습니다.
사전 예방적 보안: 사후 대응적인 '안 된다'에서 비즈니스 위험 허용 범위와 보안을 연계하는 방식으로 전환하여 필요한 경우 시장의 요구를 충족할 수 있는 유연성을 확보할 수 있습니다.
기술 발전: 세분화, 제로 트러스트, AI와 같은 기술은 보안을 강화하는 데 핵심적인 역할을 합니다. 던컨은 인간 분석가가 몇 시간이 걸리는 일을 AI는 몇 초 만에 해낸다고 비유하며 AI의 역량을 높이 평가했습니다.
결론: 전략적 플레이북
이 글은 사이버 사고는 피할 수 없다는 점을 강조하면서 전체 최고 경영진이 활용할 수 있는 포괄적인 사이버 보안 플레이북을 옹호하는 던컨의 말로 마무리됩니다. 이 플레이북에는 사이버 위험을 정량화하여 통계적으로 위험을 모델링하고 보안과 수익에 미치는 영향을 모두 고려하여 사이버 보안 투자를 비즈니스 우선순위에 맞추는 데 도움이 되는 사이버 위험 정량화가 포함되어야 합니다.
마무리 생각:
AI 및 기타 새로운 기술에서 CISO와 광범위한 최고 경영진 커뮤니티의 역할은 단순히 방어하는 것이 아니라 조직의 복원력과 성장을 위해 이러한 기술을 이해하고 활용하는 데 앞장서야 합니다.
©2025 Nutanix, Inc. All rights reserved. Nutanix, Nutanix 로고 및 여기에 언급된 모든 Nutanix 제품 및 서비스 이름은 미국 및 기타 국가에서 Nutanix, Inc.의 등록 상표 또는 상표입니다. 쿠버네티스는 미국 및 기타 국가에서 The Linux Foundation의 등록 상표입니다. 여기에 언급된 기타 모든 브랜드명은 구분을 위한 목적으로만 사용되었으며 각 해당 소유주(들)의 상표일 수 있습니다. 본 간행물에 포함된 특정 정보는 제3자 출처에서 얻은 연구, 출판물, 설문조사 및 기타 데이터와 관련되거나 이를 기반으로 할 수 있으며, 당사 내부의 추정치 및 연구 결과일 수도 있습니다. Nutanix는 이러한 타사 연구, 간행물, 설문조사 및 기타 데이터가 이 문서에 제시된 날짜를 기준으로 신뢰할 수 있다고 믿고 있지만, 달리명시하지 않는 한 이러한 데이터는 독립적으로 검증되지 않았으며 Nutanix는 타사로부터 획득한 정보의 적절성, 공정성, 정확성 또는 완전성을 주장하지 않습니다.