두 명의 Gartner 분석가에 따르면 기업은 모든 사이버 공격과 침해 발생을 막는 것이 불가능하며 어느 정도의 손실을 감수해야 한다는 점을 인정해야 하며 대응 및 복구를 예방과 동등한 수준으로 끌어올려야 합니다.
‘무실패 허용’ 접근 방식을 취하는 많은 CISO의 경우, 영향력 있는 분석 회사의 연례 위험 및 보안 서밋에서 Gartner VP인 Akif Khan과 Christopher Mixter가 한 이 조언은 직관에 어긋난다고 느꼈을 것입니다.
분석가 듀오는 리더들에게 끊임없이 확장되는 환경에서 기업은 사이버 공격과 랜섬웨어로 인해 연간 손실을 탕감해야 한다고 말했습니다.
“소매점은 좀도둑질로 인해 일정 금액의 손실을 감수합니다. 은행은 사기로 인해 일정 금액을 수용합니다. 왜냐하면 이러한 일을 완전히 중단하면 비용이 엄청나게 많이 들 것이라는 것을 알고 있기 때문입니다.”라고 Khan은 말했습니다.
“조직과 그 리더는 어디에서나 내결함성에 대한 임계값을 잘 개발했습니다. 사이버 보안이 허용되는 모든 곳. 왜 조직은 사기로 인해 수익의 3%를 빼앗기는 것은 괜찮으면서도 사이버 공격으로 인해 손실을 겪는 것은 전혀 불가능하다고 생각합니까?” 그는 대표자들에게 물었다.
Mixter에 따르면 모든 단일 공격이 발생하지 않도록 방지하는 데는 비용이 많이 듭니다. “사이버 공격을 예방하는 데 지금보다 10배를 투자해도 이 방에 있는 모든 조직은 대량으로 노출될 것입니다.”
분석가들은 무관용이 직원들의 탈진을 초래한다고 주장했습니다. “우리의 무관용 원칙이 시작되고 우리는 ‘내 시계에는 없다’고 말합니다. 그러나 영웅주의는 지치기 때문에 그것은 소진의 주요 원인입니다.”라고 Khan은 말했습니다.
“우리는 이러한 영웅적 사고방식을 깨뜨려야 하며 이를 위한 가장 좋은 방법 중 하나는 어떤 종류의 영향을 견딜 수 있는지에 대해 이야기하는 것입니다. 거꾸로 생각하고 투자 수준을 생각하라”고 조언했다.
GenAI용 IR 플레이북
컨퍼런스의 개회 기조연설에서 Gartner는 리더들에게 무관용 사고방식에서 벗어나 대응 및 복구 역량에 참여할 것을 권고하는 “증강된 사이버 보안” 개념을 공개했습니다.
Mixter는 이것을 “아드레날린을 통한 탄력성보다는 의도를 통한 탄력성”이라고 불렀습니다. 분석가들은 기업이 이미 지속적인 공격을 받고 있는 두 가지 영역에 대한 사고 대응(IR) 플레이북을 구축하는 것부터 시작할 것을 제안했습니다.
첫 번째는 제너레이티브 AI(Generative AI)로, 공격이 항상 발생하는 것을 100% 방지하는 것이 불가능한 영역이라고 Khan이 말했습니다. “따라서 조직이 Gen AI를 성공적으로 탐색하려면 불가피한 문제에 적응하고 대응하고 복구하는 능력이 중요합니다.
Gartner 분석가의 경우 ‘품질 문제로 인해 데이터가 AI에 적합하지 않은 경우 얼마나 많은 정보를 허용할 수 있습니까?’와 같은 질문을 묻는 IR 핸드북을 작성하는 것부터 시작하십시오. 특히 AI 챗봇과 같은 중요한 앱의 경우 더욱 그렇습니다.
“다른 AI 대체 애플리케이션으로 교체할 수 있나요? 전환 비용은 얼마입니까? 가장 중요한 질문은 심각한 문제가 발생하는 경우 플러그를 뽑아 비즈니스 운영을 복구할 수 있는가입니다. 예를 들어 챗봇이 고객에게 부당한 환불을 제공하기로 결정한 경우 어떻게 대응합니까?” 칸이 제안했다.
일부 사람들은 GenAI 노력에도 불구하고 조직을 통제하는 것이 과도한 사이버 팀에 더 많은 작업을 생성할 수 있다고 말할 수 있지만 Mixter는 CISO가 조직을 이끌고 강력한 대응과 복구가 얼마나 “유일한 방법인지 보여줄 수 있는 독특한 기회를 제공한다”고 주장했습니다. Gen AI처럼 끊임없이 진화하는 기술 앞에서 성공하는 것”이라고 그는 주장했다.
Gartner는 또한 2026년까지 AI 보안 애플리케이션이 보안 운영 센터의 효율성을 40% 증가시킬 것이라고 예측했습니다.
“AI는 기존 도구를 대체하는 대신 비보안 직원이 쉽게 이해하고 조치를 취할 수 있도록 하는 문제를 제시하여 도구를 강화합니다. 설명 가능성, 위험 평가 및 소음 감소는 모두 주의를 산만하게 유지하면서 올바른 문제의 우선 순위를 지정하는 데 도움이 됩니다. 최소한으로”라고 Mixter는 말했습니다.
그는 Gen AI의 차세대 물결은 “사용자 작업과 작업 부하를 관찰하지만 대화하는 챗봇과 달리 AI 증강은 작업 부하를 줄이고 의사 결정 속도를 높이는 증강 에이전트를 만들 것”이라고 덧붙였습니다.
Gartner는 이러한 강화가 2028년까지 “사이버 보안 기술 격차를 해소”하는 데 도움이 되어 모든 초급 사이버 보안 직위의 최대 절반에 대한 전문 교육의 필요성을 제거할 것이라고 예측합니다.
제3자 공급망
또한 회사는 공급업체의 제3자 위험을 강조하면서 공급업체에 사고가 발생할 경우 출구 전략을 포함하여 조직이 공식적인 제3자 비상 계획을 마련할 것을 권고했습니다.
글로벌 CrowdStrike 중단과 같은 최근 사건은 타사 시스템이 비즈니스에 미칠 수 있는 영향을 강조했습니다.
“증강된 사이버 보안은 제3자 위험 노출을 최대한 쉽게 관리할 수 있도록 이러한 방어선을 구축하고 제3자 사고 대응 계획을 수행하여 이러한 계획을 실행하는 것을 의미합니다.
“우리는 테이블탑 작업을 많이 합니다. 이제 우리 명단에 타사 테이블탑 운동을 추가해야 할까요?” 믹서가 말했다.
그는 이러한 계획을 통해 제3자 사이버 위험 관리 효율성이 43% 향상될 수 있다고 덧붙였습니다.
다른 곳에서 Gartner는 또한 기업이 도구 세트를 더욱 통합하고 조직이 이미 확인해야 하는 기술 스택을 합리화할 수 있는 항목에 대한 목록을 작성하라고 조언했습니다. 이는 회사가 작년 같은 컨퍼런스에서 처음 제안한 내용입니다.
한편 전시장에서 벤더들은 Gartner의 기조 연설 메시지에 대해 엇갈린 견해를 보였습니다.
Zero Trust 사이버 회사 ThreatLocker의 창립자이자 CEO인 Danny Jenkins는 일부 분야에서는 일단 침해가 발생하면 되돌릴 수 없는 피해가 이미 발생했다고 지적했습니다.
“데이터가 추출되면 복구할 수 없습니다. 사이버 공격으로부터 복구할 수 있다는 생각은 쓰레기입니다.
“누군가가 6테라바이트의 기밀 파일을 가져가면 어떻게 될까요? 어떻게 회복합니까? 한번 나가면 다시 되돌릴 수 없습니다.
“당신이 병원이거나 보잉이고 모든 항공기 설계가 경쟁자에게 넘어가는 경우 IR이 얼마나 좋은지는 중요하지 않습니다. 이는 복구 불가능하며 위험을 전가할 수 없고 시가총액 손실을 방지할 수 없습니다. “라고 그는 TI에 말했다.
“탐지가 아닌 대응에 투자해야 한다는 생각은 미친 짓입니다. 물론 IR 계획을 갖고 싶지만 이 계획을 사용할 필요는 없습니다. 집에 소화기와 연기 탐지기가 있지만 외출할 때 팬을 요리판 위에 올려두는 것은 싫습니다.
“가장 좋은 대응은 그것을 실행하지 않아도 되는 것입니다. 공격이 너무 많기 때문에 제로 트러스트가 중요합니다. 모든 단일 공격을 탐지하는 것은 불가능합니다. 그러나 시스템을 강화하고 공격보다 더 효과적으로 제어할 수 있다면 공격은 일어날 수 없습니다.”
버그 현상금 플랫폼 Bugcrowd의 CIO 겸 CISO인 Nicholas McKenzie는 도구 통합이 합리적이기는 하지만 보호적인 보안 통제와 예방적 통제가 여전히 우선 순위가 되어야 한다고 말했습니다.
“운영 및 비용 관점에서 보안 도구의 통합은 모든 사람의 최우선 과제이자 중심입니다.”
“그러나 위험이 있다는 점을 제외하고 효과적으로 위반하고 항상 대응하는 것은 사고 방식이 크게 다릅니다. 계속해서 공격에 대응하고 복구한다면, 공격을 막는 것이 아니라 대응하는 데 점점 더 많은 리소스를 계속해서 모아야 할 것입니다.”
