기업 사이버 보안 프로그램의 두 가지 주요 목표는 개인 데이터를 비공개로 유지하고 회사 리소스를 안전하게 보호하는 것입니다. 이전 글에서는 이러한 목표와 개인정보 보호 중심의 보안 전략 추구라는 가치의 균형에 대해 논의했습니다.
이번 글에서는 보안에 투자하지 않을 때의 위험과 비용, 그리고 보안 및 개인정보 보호 리더가 조직에 보안 투자의 중요성을 설득하는 데 있어 강력한 파트너가 될 수 있는 방법에 대해 자세히 살펴봅니다. 보안 및 개인정보 보호 리더가 협 력하면 올바른 보안 도구를 찾아 데이터 유출의 위험으로부터 조직을 보호하고 비즈니스에 가장 적합한 솔루션에 대해 정보에 입각한 결정을 내릴 수 있습니다.
이상적으로, 조직의 보안 및 개인정보 보호 리더는 긴밀하게 협력해야 합니다. 고객 및 기업 데이터의 개인정보를 보호하는 가장 좋은 방법은 효과적인 데이터 보안 프로그램을 구현하는 것입니다.
개인정보 보호 리더는 고객 데이터를 보호하는 데 있어 보안 조치가 중요하다는 점을 잘 알고 있습니다. 그러나 보안 리더가 개인정보 보호 리더에게 특정 보안 기술의 장점을 설득하는 데 어려운 경우도 있습니다. 보안 솔루션의 작동 방식과 목적이 무엇인지 명확하게 이해하지 못하면 데이터 개인정보 보호를 위협하는 것처럼 보일 수 있습니다. 예를 들어, 모든 회사 이메일을 스캔하여 피싱 시도를 차단하는 이메일 보안 도구를 온보딩하거나 회사 IT 팀이 직원의 업무용 컴퓨터 웹 활동을 확인할 수 있는 보안 웹 게이트웨이를 구현하여 맬웨어를 호스팅하는 웹 사이트에 방문하지 못하도록 하겠다는 보안 리더의 제안은 개인정보 보호 리더에게 회의감을 불러일으킬 수 있습니다.
기업 네트워크에 대한 보안 투자를 고려할 때는 조직이 어떤 개인정보 피해를 방지하고자 하는지를 고려하는 것이 중요합니다. 회사의 개인 정보 보호 리더는 단순히 회사 이메일을 스캔하여 “예, 좋습니다” 또는 “아니요, 나쁩니다”라고 판단하는 기계로 인해 직원에게 발생할 수 있는 잠재적인 개인정보 피해와 이러한 보안 조치를 취하지 마련하지 않을 때 발생할 수 있는 잠재적인 피해를 비교 검토해야 합니다. 이러한 보호 조치가 마련되지 않은 경우 직원은 쉽게 피싱 익스플로잇의 피해자가 되어 결국 위협 행위자는 해당 직원의 자격 증명을 사용하여 내부 시스템에 액세스하고 회사 고객의 중요한 개인 데이터를 유출할 수 있습니다.
저는 개인정보 보호를 효과적으로 구현하기 위해서는 조직에 가장 큰 개인정보 보호 위험을 명확히 파악하는 것이 중요하다고 생각합니다. 보안 투자는 비용이 많이 들 수 있지만, 장점이 더 큰 경우가 많습니다. 위의 예에서 전 세계 대부분의 관할권에서 직원이 회사 시스템으로 보내는 이메일에 대한 개인정보 보호 조치가 거의 마련되어 있지 않다는 점에 주목할 필요가 있습니다. 그러나 회사 고객의 개인 데이터가 유출되면 회사는 데이터 유출 통지 의무, 규제 처벌, 계약상 손해배상 처분을 받을 수 있습니다.
기업 사이버 보안 솔루션은 조직을 향한 다양한 위협에 대응하도록 설계되었습니다. 예를 들어, 일반적인 한 가지 위협은 데이터 유출 가능성으로, 2023년에 평균 비용이 약 445만 달러 발생했습니다. 하지만 이 수치는 데이터 유출로 인한 기업의 평판에 대한 피해와 데이터가 유출된 고객에게 미치는 부정적인 영향은 고려하지 않은 수치입니다.
보안을 갖추지 않은 조직이 1년에 겪을 수 있는 데이터 유출 건수는 정확히 알 수 없지만 대략적인 수치는 추정할 수 있습니다. 예를 들어, 작년에 85%의 기업이 최소 한 번 이상 랜섬웨어 공격을 받았으며, 데이터 유출의 24%가 랜섬웨어로 인해 발생했습니다. 이는 기업이 1년 내에 랜섬웨어 공격과 랜섬웨어가 아닌 데이터 유출을 모두 경험할 가능성이 높다는 의미입니다.
이는 개략적인 추정치에 불과하지만, 보안이 취약한 회사의 잠재적 비용이 연간 수천만 달러에 달할 수 있음을 나타냅니다. 또한 사이버 보안 사고가 조직 고객에게 미치는 잠재적 영향은 측정할 수 없을 정도로 막대합니다. 주요 데이터 유출 사고를 조사해 보면 대부분이 여러 근본적인 보안 문제로 인해 발생했다는 사실을 금세 알 수 있습니다. 취약한 비밀번호로 만료된 인증서, 기타 기본 보안 위생 장애는 주요 보안 사고의 근본적인 원인인 경우가 많습니다. 맬웨어 방지, 이메일 스캐닝, Zero Trust 접근 제어 등 이러한 위험을 완화하고 가장 일반적인 보안 침해 유형으로부터 보호하는 데 도움이 되는 사이버 보안 솔루션은 기업과 고객에게 상당한 잠재적 이점을 제공합니다.
많은 경우 새로운 보안 솔루션은 사이버 공격의 위험을 어느 정도 줄일 수 있다는 이점이 있습니다. 사이버 공격을 단 한 건이라도 방지할 수 있다면 조직은 상당한 비용을 절감할 수 있습니다. 실제로 연간 사이버 보안 솔루션의 예상 절감액이 비용보다 크다면 투자할 만한 가치가 있습니다.
하지만 올바른 보안 벤더에 투자하는 것이 중요합니다. 벤더가 회사의 시스템과 데이터에 액세스할 때마다 회사는 해당 벤더의 보안 조치가 충분한지 평가해야 합니다. 보안 벤더가 사이버 공격의 피해자가 되어 고객의 시스템과 데이터가 위험에 노출된 사례가 몇 가지 있습니다.
최근의 Okta 유출 사고는 보안 벤더의 침해가 고객에게 미칠 수 있는 잠재적 결과를 명확하게 보여주는 주요 예시입니다. 많은 조직이 싱글 사인온(SSO)을 구현하기 위해 Okta를 ID 공급자로 사용합니다. 공격자가 Okta의 환경에 액세스하는 경우, Okta 고객의 사용자 계정에 액세스할 가능성이 있습니 다. 이러한 고객에게 추가 액세스 보호 계층이 없는 경우, 데이터 도난, 맬웨어 심기 또는 기타 악의적인 활동을 할 수 있는 해커에게 해당 고객이 취약한 상태로 노출될 수 있습니다.
보안 투자에 따른 개인정보 보호 위험성을 평가할 때는 조직의 보안 추적 기록과 인증 이력을 고려하는 것이 중요합니다. 예를 들어 보안 제어는 감사 사이에 느슨해지는 경향이 있는데, 2020년 중간 평가에서 PCI-DSS를 완전히 준수한 기업은 단 43.4%에 불과했습니다.
반면 ISO 27001 및 27018, SOC 2 등의 선택 사항인 인증을 적극적으로 추구하는 기업은 이러한 보안 격차로 인해 자신과 고객의 안전이 위험에 처할 가능성이 낮습니다. Cloudflare는 필수 인증과 선택 인증의 규제를 준수하고 있으며, 해당 인증이 없는 경우에도 독립적인 감사를 통해 1.1.1.1 DNS 확인자 서비스를 검증하는 조치를 취했습니다. 또한 Cloudflare는 사용자 개인 정보를 최대한 보호하기 위해 엔드 투 엔드 암호화, 데이터 현지화, Zero Trust 액세스 관리와 같은 보안 기술을 활용하며, 지역 데이터 개인 정보 보호 법률 및 규정의 특정 요구 사항을 준수하고 있습니다.
보안 투자의 ROI를 계산하는 것은 어려울 수 있지만, 위험과 이점은 분명합니다. 회사의 사이버 보안 이 취약하다면 조만간 데이터 유출 사고가 발생하는 것은 시간 문제일 뿐입니다. 일단 유출이 발생하면 남은 문제는 막대한 금전적 손실부터 평판 손상, 회사를 믿었지만 개인 데이터가 유출된 고객에게 미치는 후속 피해 규모 등이 있습니다.
보안에 투자하는 것은 개인정보 보호 및 위험 관리 관점에서 현명한 결정입니다. 보안 투자로 인한 개인정보 보호 위험을 최소화하면 개인정보 보호에 따른 잠재적 이점이 확대됩니다. 보안 및 개인정보 보호 리더는 심각한 피해를 입은 개인 데이터 유출 및 보안 침해 증거를 확보하고 있을 뿐만 아니라 추가적인 보안 투자를 옹호할 때 보안, 개인정보 보호 및 규정 준수에 대한 우수한 성과를 보유한 솔루션을 찾음으로써 균형을 더욱 유리하게 바꿀 수 있습니다.
개인정보 보호가 중심이 되는 보안은 Cloudflare 철학의 핵심 원칙입니다. Cloudflare의 Trust Hub는 모든 관련 규정과 표준을 준수한다는 사실을 입증하기 위해 각별히 노력함으로써, 최대한 투명성과 보안을 보장하겠다는 당사의 약속을 반영합니다. 당사의 제품은 중요한 데이터에 대한 액세스를 최소화하면서 사이버 위협 환경에 대한 당사 고유의 가시성과 최신 보안 기술을 활용하여 잠재적 위협을 식별하도록 설계되었습니다. Cloudflare로 어디서나 보안을 간소화하고 제공하세요.
이 글은 오늘날의 기술 의사 결정자에게 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
Cloudflare가 장소에 구애받지 않는 통합 데이터 보호 요약을 통해 더 효과적이고 더 생산적이며 더 민첩하게 데이터를 보호하는 방법을 자세히 알아보세요.
Emily Hancock — @emilyhancock
최고 개인정보 보호 책임자, Cloudflare
이 글을 읽고 나면 다음을 이해할 수 있습니다.
보안과 개인정보 보호간 협업의 중요성
보안 투자 부족으로 인한 손해
개인정보 보호 주도 보안 프로그램의 이점