사이버 리스크를 이해하고 체계화, 수치화하는 것이 기업 경쟁력을 좌우한다고 강조한 이번 보고서는 리스크 성향을 주요하게 다뤘다. 리스크 성향은 조직이 감수할 수 있는 사이버 리스크 수준이 어디까지인지와 조직이 리스크를 관리하기 위해 얼마나 투자 및 소비할 수 있는지를 확인하는 척도다.
EMC는 이 보고서를 통해 무엇보다 기업들이 스스로 사이버 리스크를 재정의해야 한다고 조언한다.
새로운 프레임워크는 사이버 리스크의 목록을 만들고 분류하기 위해 두 가지 측면, 즉 고의적 요인과 비고의적 요인, 내부적 요인과 외부적 요인으로 구분했다. 사이버 리스크는 민감한 정보들을 빼내기 위한 고의적이고 악의적 공격으로부터 발생될 수 있다. 또 일시적인 시스템 사용 불가를 가져오는 사용자 실수와 같은 비고의적인 사고로도 발생된다. 더불어 사이버 범죄나 공급망 파트너로 등의 조직 외부 요인과 직원 등의 조직 내부 요인으로 구분할 수 있다.
보고서는 조직들이 사이버 리스크 성향을 효과적으로 측정하기 위해서 사이버 리스크의 종합적인 목록을 만들고 잠재적 영향을 수치화해 우선순위를 매기라고 조언한다. 어떠한 손실이 더 큰 영향을 줄지, 절대 누출되면 안 되는 정보는 어떤 것인지 등을 사전에 정의해야 한다는 것이다. 또 우선순위 작업을 위해 감안해야 하는 다양한 요인으로 핵심 인프라와 확장된 생태계(공급망 관리나 파트너 포털 등), 비즈니스 크리티컬 시스템 등 소개하고 처음에 마련된 우선순위를 지속적으로 평가해서 보완해 나가야 한다고 강조했다.
조직의 판단력을 높이기 위한 사이버 리스크 수치화도 중요한 과정으로 다뤄졌다. 벌금이나 수수료, 생산성 손실 등의 비용은 쉽게 수치화할 수 있지만 브랜드 자산 감소나 고객 선호도 및 지적자산권 손실은 파악이 어려우므로 투자와 리스크의 상관관계를 바탕으로 수치화하려는 조직의 노력이 필요하다고 지적했다.
또한 보고서는 누구나 사이버 리스크를 일으킬 수 있다는 점에서 조직 내 사이버 리스크 관련 이해관계자의 확장도 언급했다. 사이버 리스크 관리와 관련한 정책을 결정하는 이해관계자들에 직원 정보를 다루는 인사 담당자, IT 인프라 관리 책임자, 공급망 관리자 등 다양한 직책을 포함함으로써 기업의 사이버 리스크를 최소화할 수 있다.
한국EMC 김경진 사장은 “기업 경쟁력에 치명적인 영향을 끼치는 사이버 리스크는 기업이 존재하는 한 어디서든 발생할 수 있다는 것을 인정해야 한다”며 “사이버 리스크 성향을 이해하고 체계화함으로써 리스크 발생시 충분히 검토된 판단을 내릴 수 있을 때 그 피해를 최소화할 수 있을 것”이라고 말했다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
