KPMG 파트너 인디 다미, 사이버 회복탄력성의 시작점을 설명하다

기존 인포섹에서 사이버 복원력으로의 전환은 단순한 진화가 아니라 혁명입니다.  

오늘날 사이버 보안의 초점은 단순히 자산을 보호하는 것에서 지속적이고 정교한 위협에 맞서 비즈니스를 지속할 수 있도록 보장하는 것으로 옮겨졌습니다. 이러한 회복탄력성 사고방식은 기업이 사이버 위협을 방어할 뿐만 아니라 새로운 도전에 빠르게 대응하고 적응하는 데 도움이 됩니다.  

더 세그먼트의 최신 에피소드에서 제로 트러스트 리더십 팟캐스트에서 저는 KPMG UK의 파트너인 인디 다미와 이야기를 나눴습니다. 지난 20년간 업계의 진화 과정, 사이버 복원력이 그 어느 때보다 중요한 이유, 제로 트러스트 보안 이니셔티브에 대한 비즈니스의 동의를 얻는 방법을 살펴봤습니다.

인디 다미, KPMG 영국 파트너 소개

사이버 보안 업계에서 20년 이상 경력을 쌓은 Indy는 KPMG UK의 파트너로서 풍부한 경험을 쌓았습니다. 그는 2000년대 초 건축가 회사의 IT를 관리하면서 사이버 보안에 관심을 가지기 시작했습니다.

인디의 경력은 글로벌 인증 정보 보안 관리 시스템 구축을 도우면서 전환점을 맞이했습니다. 그는 전문성을 더욱 연마하여 유럽과 그 밖의 지역에서 대규모 보안 혁신 프로젝트를 이끌었습니다. KPMG에 입사하기 전에는 사이버 기업에 투자하는 싱가포르 정부 투자 회사에서 근무했습니다.  

KPMG에서 인디는 다양한 분야를 새로운 위협으로부터 보호하기 위한 혁신적인 전략을 추진하는 디지털 트랜스포메이션 리더입니다. 그는 커리어 멘토링과 코칭에 열정을 가지고 있으며, 진정한 리더십을 통해 긍정적인 문화 변화를 이끌어내고 있습니다.  

회복탄력성으로 사이버 보안의 인식 문제 해결

인디가 사이버 보안에 입문했을 때, 그는 사이버 공격에 대한 긴박감이 부족하고 치명적인 침해로 이어질 수 있는 잠재력을 기억합니다.  

한 번은 회사 경영진과 함께 위기 시뮬레이션 훈련을 진행했는데, 그들은 조직에서 공격이 일어날 수 있다고 믿지 않았습니다. 인디는 "이러한 유형의 문제는 종종 고려되지 않았습니다."라고 설명합니다.

그럼에도 불구하고 그는 뉴스에서 사이버 공격의 빈도가 증가함에 따라 사이버 공격이 일상적인 것으로 인식되어 실제 영향력이 가려지는 경우가 많다고 생각합니다.  

"보고가 충분히 이루어지지 않고 있습니다."라고 인디는 말합니다. "일반 대중은 여전히 사이버 보안이 왜 중요한지에 대해 '아하'하는 순간을 경험하지 못합니다."

이러한 대중의 인식 격차로 인해 사이버 복원력의 필요성이 그 어느 때보다 중요해졌습니다. 오늘날 침해에 대한 대중의 인식과 이를 예방하거나 탐지하는 데 사용했던 기존의 도구만으로는 충분하지 않습니다. 모든 침해를 막는 것이 불가능하다면, 조직은 침해가 발생했을 때 이를 막을 수 있도록 사전에 대비해야 합니다.  

사이버 회복탄력성의 시작점: 위험 감수성 및 내성

그렇기 때문에 사이버 복원력이 매우 중요합니다. "지금 당장 뉴스에서 사이버 공격을 한 번, 두 번, 세 번 볼 수 있습니다."라고 그는 말합니다. "이 문제가 더 널리 퍼지면서 사람들은 보안 리더에게 더 어려운 질문을 던지고 있습니다."

전통적인 정보 보안에서 사이버 복원력으로의 전환은 판도를 바꾸고 있습니다. 더 이상 문제를 해결하는 데 그치지 않고 위기 상황에서도 운영을 유지해야 합니다.  

"사이버 회복탄력성뿐만 아니라 운영 회복탄력성은 이러한 모든 예상치 못한 일이 발생하더라도 계속 기능을 유지할 수 있는 방법에 관한 것입니다."라고 Indy는 말합니다.

이는 사이버 공격으로 인한 중단을 견딜 수 있는 인프라가 시급히 필요하다는 것을 강조합니다. 사이버 사고가 빈번해지면서 보안 리더들은 강력한 복원력 전략을 개발해야 한다는 압박을 받고 있습니다.  

그렇다면 조직은 어디서부터 시작할 수 있을까요? 제로 트러스트 전략은 사이버 복원력을 확보하기 위한 가장 좋은 방법 중 하나입니다. 제로 트러스트는 "절대 신뢰하지 말고 항상 검증하라"는 모토를 바탕으로 전 세계적으로 검증된 전략입니다. 제로 트러스트 세분화(ZTS)라고도 하는 네트워크 세분화를 핵심으로 하여 조직이 침해에 선제적으로 대비할 수 있도록 도와줍니다.

제로 트러스트를 구축할 때 인디는 다음 두 가지 질문을 해볼 것을 권장합니다:

1. 사이버 보안에 대한 위험 성향은 어느 정도인가요?

2. 허용 범위의 내부 또는 외부에 있는지 여부를 측정할 수 있는 데이터 포인트는 무엇인가요?

인디의 경험에 따르면, 이를 통해 비즈니스 리더는 비즈니스에서 가장 중요한 것이 무엇인지, 무엇을 먼저 보호해야 하는지, 이를 위해 어떤 종류의 정보와 도구가 필요한지 더 명확하게 파악할 수 있습니다.

사이버 보안을 팀 스포츠처럼 다루기

인디는 또한 정부의 사이버 보안 의무와 가이드라인이 공공 및 민간 부문의 조직이 복원력 목표를 달성하는 데 어떻게 도움이 될 수 있는지에 대해서도 강조했습니다.  

CISA의 제로 트러스트 성숙도 모델(ZTMM) 이나 EU의 DORA 및 NIS2 규정과 같은 미국 연방 가이드라인은 규모나 산업에 관계없이 모든 조직을 위한 단계별 지침과 모범 사례를 제공합니다.  

Indy가 이러한 문서를 통해 파악한 핵심 요구 사항은 네트워크 및 워크로드 트래픽 흐름에 대한 실시간 엔드투엔드 가시성입니다.

"환경의 사물이 어떻게 상호 작용하는지를 잘 이해하는 것부터 시작해야 합니다."라고 그는 설명합니다. "또한 모든 공급업체와 업스트림 및 다운스트림 종속성이 시스템 수준에서 어떻게 상호 작용할까요?" 이 정보를 통해 팀은 네트워크의 노출을 파악한 다음 적절한 보안 제어를 적용할 수 있습니다.

네트워크 인프라에 대한 심층 분석은 조직 전체의 팀이 참여한다는 것을 의미합니다. 인디에게 성공적인 탐색을 위해서는 보안을 "팀 스포츠"로 전환해야 합니다. 협업적 접근 방식을 취하면 복원력을 키우고 사이버 보안 이니셔티브를 조직 전체의 목표에 맞게 조정할 수 있습니다.

제로 트러스트를 비즈니스 목표에 연결하는 방법

인디의 관점에서 제로 트러스트 전략은 보안 리더가 사이버가 비즈니스 목표에 어떻게 부합하는지에 대해 더 나은 스토리를 전달할 수 있도록 도와줍니다.  

"장면을 설정하고, 올바른 방식으로 프레임을 구성하고, 이사회 수준의 리더들이 공감할 수 있도록 하는 것이 중요합니다."라고 인디는 설명합니다.    

제로 트러스트는 보안을 기술적 제어의 영역에서 벗어나기 때문에 사이버 동의를 얻는 데 유용한 프레임워크입니다.  

Indy는 보안 리더가 팀의 이니셔티브와 요구 사항을 옹호할 때 이러한 접근 방식을 취할 것을 권장합니다:

• 항상 비즈니스의 목표부터 시작하세요: "비즈니스 전략을 선택하고, 연례 보고서를 읽고, 비즈니스가 무엇을 하려고 하는지 파악한 다음 보안 계획과 오버레이하세요."

• 제로 트러스트 원칙을 전략적 도구로 활용하세요: "제로 트러스트가 전략적 기둥을 사용하여 [회사를] 어떻게 지원할 수 있는지 설명하세요."

• 기술은 마지막을 위해 남겨두세요: "그런 다음 이러한 각 사항을 제공하는 데 필요한 기술 제어를 시작할 수 있습니다."

더 세그먼트를 듣고, 구독하고, 리뷰하세요: 제로 트러스트 팟캐스트

자세히 알아보고 싶으신가요? 인디와 함께한 전체 에피소드는 웹사이트, Apple 팟캐스트, Spotify 또는 팟캐스트를 듣는 곳 어디에서나 들을 수 있습니다. 에피소드 전문을 읽어보실 수도 있습니다.

곧 더 많은 제로 트러스트 인사이트로 다시 찾아뵙겠습니다!