2024-03-28 20:00 (목)
[가트너 서밋 2018] "From TRUST, To RESILENCE...마지못해 하는 보안에서 벗어나야"
상태바
[가트너 서밋 2018] "From TRUST, To RESILENCE...마지못해 하는 보안에서 벗어나야"
  • 길민권 기자
  • 승인 2018.06.06 01:13
이 기사를 공유합니다

가트너 리서치 VP 키노트 "파트너쉽 확대하고 전사적 리스크 매니지먼트 강화" 강조

▲ 워싱턴에서 개최되는 가트너 시큐리티 서밋 2018. 키노트 발표현장. 3400여 명의 보안전문가들이 참석. [데일리시큐=워싱턴]
▲ 워싱턴에서 개최되는 가트너 시큐리티 서밋 2018. 키노트 발표현장. 3400여 명의 보안전문가들이 참석. [데일리시큐=워싱턴]
[데일리시큐=워싱턴] 가트너 시큐리티&리스크 매니지먼트 서밋 2018이 6월 4일부터 7일까지 워싱턴에 위치한 내셔널 하버 게이로드 내셔널 리조트& 컨벤션 센터에서 개최됐다.

3천400여 명의 전세계 보안전문가들이 운집한 가운데 5일 첫 키노트 발표가 포토맥C 강연장에서 진행됐다. 주제는 'Scaling Trust and Resilience–Cut the Noise and Enable Action'이다. 강연장 위에 가트너 리서치 VP인 로만 크릭캔(Ramon Krikken), 크래그 로손(Craig Lawson), 카텔 틸레만(Katell Thielemann) 3명이 올라와 공동 진행했다.

로만은 가트너 애널리스트로 시큐리티와 리스크 매니지먼트 전략팀을 이끌고 있으며 소프트웨어/애플리케이션 보안과 API 시큐리티, 데이터 암호화, 토큰, 클라우드 엑세스 시큐리티, IoT 시큐리티 분야를 연구하고 있다.

크래그는 가트너 네트워크 시큐리티, 방화벽, 웹방화벽, IPS, IDS, SIEM, 로그 매니지먼트 분야를 전문으로 하고 있는 리서치 부사장이다.

카텔은 가트너 리서치 디렉터로 미국 연방 정부 관련 업무를 맡고 있고 시큐리티 기술과 시장의 트랜드를 리서치하는 업무를 전담하고 있다. 주로 클라우드 컴퓨팅, 가상화, 모빌리티, 빅데이터, 사이버시큐리티 등을 주로 연구하고 있다.

그들은 이 자리에서 조직의 임직원, 프로세스, 기술의 조화가 과거 버전에서 새로운 버전으로 옮겨 가야 하는 이유와 과정에 대해 발표를 진행했다.

또 위협이 지속적으로 변화함에 따라서 보안 대응 또는 컴플라이언스 요구사항이 매일매일 변화해야 할 정도로 압박감을 느낄 만큼 커다란 변화의 시대에 직면해 있으며 이것이 CISO를 포함한 보안 리더들이 당면한 핵심 이슈라고 전했다.

최근 증가하는 위협은 높은 범죄율과도 연결되며 페이스북의 글로벌 프라이버시 유출 이슈 등은 특정 기업의 이슈로만 생각해서는 안되고 모든 기업들이 공동으로 사이버 보안에 대한 기준을 재정립해야 하는 기회로 전환시켜야 하는 것을 상기시켰다.

더불어 'The Global Risk Report 2018(13th Edition)'과 'Worldwide Threat Assessment' 보고서를 인용하면서 글로벌 위협에 대한 현재 상황이 심각한 상황임을 밝혔다.

또 이번 키노트를 통해 지속 가능하면서도 보안 인력을 무조건 고용하는 것 보다 프로세스 측면에서 스케일을 확장할 수 있는 방안도 함께 제시했다.

▲ 가트너 서밋 2018 첫날 키노트 주제를 담고 있는 발표자료. [데일리시큐=워싱턴]
▲ 가트너 서밋 2018 첫날 키노트 주제를 담고 있는 발표자료. [데일리시큐=워싱턴]
키노트 주제는 △Innovating for Value △Urgent Crisis and Threat △Technology Transformation 3가지 시나리오를 바탕으로 각각의 시나리오에 대해서 △What’s important △What’s dangerous △What’s real이라는 질문과 함께 CISO 등 보안리더들이 수행해야 할 과제들과 조직의 변화 방향성에 대해서 권고했다.

3가지 시나리오 주요 내용을 살펴보면, 기업 보안은 기업 전체의 포괄적 리스크 관점에서 출발하고 통합 리스크 매니지먼트(IRM)를 실제 적용해야 한다. 그리고 전 조직간의 강력한 커뮤니케이션 체계를 갖추라고 강조했다.

또 긴급한 위기와 위협 상황과 관련해서는 자산과 시스템에 대한 가시성을 확보하는 것이 가장 중요하고 다양한 레벨에서 회복력(RESILENCE)을 강화할 수 있도록 시스템을 설계해야 한다. 그리고 분석력과 자동화를 통해 시큐리티 능력을 배가시켜야 한다고 밝혔다.

기술 변화와 관련해서는 리스크 매니지먼트 분야에 외부 전문가를 적극 활용할 수 있어야 하고 버그바운티 혹은 다양한 방법으로 집단지성을 활용하는 것이 중요하다. 내부 조직의 역량만으로는 위협에 대응하기 힘들기 때문이다. 또 적용할 수 있고 활용할 수 있는 리스크 컨트롤 솔루션들을 선별해 사용하라고 조언했다. 파트너쉽을 확대해 나가며 리스크 매니지먼트를 더욱 강화하라는 메시지로 요약할 수 있다.

또 발표자는 "권고된 과제와 방향성에서 중요한 포인트는 국가나 보안 기관이 제시하는 대응 권고 사항을 수동적으로 등 떠밀려 수행하는 것으로부터 탈피해야 하며 자율적인 기업의 권한강화 체제로 변화해야 한다"고 강조했다.

이어 "자율적인 기업 권한 체계는 △조직 △임직원 △기술 사이에 신뢰 형성이 우선 되어야 한다. 최근에는 위협 발생 시 기업 자체적으로 버티고 극복할 수 있는 역량을 강화하는 방향으로 가고 있다. 기업 보안의 전반적인 체질 개선이 무엇보다도 중요하다"며 "이를 'From TRUST, To RESILENCE'라는 키워드로 풀어 나갔다.

특히 위협 극복과 역량 강화는 보안 조직만으로 완성시키 수 없고 비즈니스 그룹 및 일반 IT 그룹 등과 함께 공조해 풀어나가야 할 기업의 목표가 되도록 노력해야 한다고 덧붙였다.

또 기존의 모든 보안 프레임워크가 보안팀 및 보안그룹 자체에서만 생성되었다면 이제 비즈니스 그룹과 IT 그룹에서도 기업 전반의 보안 리스크 관리를 완성시키기 위해 그들이 담당하고 있는 업무 도메인 영역에서 보안의 위협 또는 리스크가 무엇인지를 상호 인식하고 개선 사항을 함께 제시하는 과정이 필요하다고 강조했다.

▲ 가트너 서밋 강연을 듣기 위해 강연장을 옮겨 다니는 수많은 참관객들. 가트너 시큐리티&리스크 매니지먼트 서밋은 제대로 보안에 대해 공부할 수 있는 주제들과 분위기를 만들고 있다.[데일리시큐=워싱턴]
▲ 가트너 서밋 강연을 듣기 위해 강연장을 옮겨 다니는 수많은 참관객들. 가트너 시큐리티&리스크 매니지먼트 서밋은 제대로 보안에 대해 공부할 수 있는 주제들과 분위기를 만들고 있다.[데일리시큐=워싱턴]
이를 위해 가트너가 수년간 강조해 온 보안 프레임워크 'CARTA(Continuous Adaptive Risk&Trust Assessment)'를 소개하며 이는 계속 업그레이드 되고 있으며, 이번 가트너 서밋에서 지속적으로 언급될 것이라고 전했다.

끝으로 이번 가트너 서밋 2018 키워드는 △Adapt △Transform △Scale로 요약할 수 있다. 모든 세션이 어떤 방식으로 이 주제를 풀어 나갈 것인지 남은 일정 동안 살펴볼 계획이다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★