정보 보안: 비즈니스를 원활하고 효율적으로 운영할 수 있는 힘

(댄 트리) - 전문가들에 따르면, 정보 보안의 궁극적인 목표는 얼마나 많은 취약점을 처리하거나 얼마나 많은 공격을 예방할 수 있느냐가 아니라, 기업의 사업 및 생산 활동의 연속성과 효율성을 보장하는 것이라는 점을 인식해야 합니다.

CIO CSO 2024 컨퍼런스에서는 정보 보안에 대한 사고방식의 변화가 공유되었습니다. 이는 전 세계 정보 보안 상황의 큰 변화를 보여주는 획기적인 메시지로 여겨지며, 어떤 기업이나 조직도 안전을 확신할 수 없는 베트남에서도 마찬가지입니다.

정보 보안은 선택이 아닌 필수입니다

행사 개회사에서 정보 통신부 정보보안국 대표는 정보보안 규정을 시행하는 것은 이제 선택이 아닌 필수라고 단언했습니다.

이 경고는 정보 보안 규정이 완벽하지만 많은 기업과 조직이 여전히 주관적이며 위험에 대응할 준비가 잘 되어 있지 않다는 맥락에서 발표되었습니다.

반면, 사이버 범죄자들은 점점 더 활발해지고 있으며 베트남을 시장으로 고려하고 있습니다. 실제로 수백만 달러의 피해를 입힌 대형 가정용 아파트가 공격을 받았고, 규정을 준수하지 않아 벌금을 부과받은 아파트도 많습니다.

이 문제를 명확히 하기 위해 Viettel Cyber Security(VCS)의 이사인 Nguyen Son Hai 씨는 사이버 범죄자의 표적이 확대되고 있는 현실에 대해 설명했습니다. 대규모의 재정적으로 강력한 기업은 더 이상 해커들의 유일한 우선순위가 아닙니다. 이들 기업도 어느 정도 방어 역량을 갖추고 있기 때문입니다. 해커들은 이제 정보 보안에 중점을 두지 않는 소규모 기업인 "소프트 타겟"으로 타깃을 확대했습니다. 그런 다음 그들은 이익을 극대화하기 위해 대규모로 공격할 것입니다. 이로 인해 모든 기업은 세계적인 해커 그룹의 잠재적인 표적이 됩니다.

An toàn thông tin: Sức mạnh để doanh nghiệp hoạt động liên tục và hiệu quả - 1 — CIO CSO 2024에서는 최신 동향과 정보보안 상황을 공유합니다(사진: 조직위원회).

VCS 담당자는 공격이 이제 단순히 데이터와 자산을 훔치는 데 그치지 않고 기업 운영을 방해하는 것을 목표로 한다고 평가했습니다. 일반적으로 데이터 암호화 공격(랜섬웨어)과 APT 타깃 공격이 결합되어 최소 10TB의 데이터가 암호화되고, 국내 기업은 500만 달러 이상의 피해를 입었으며, 명예와 자산에 심각한 피해를 입었습니다. 초기에 피해를 입은 기업도 수십 개에 달합니다.

공격자들이 활동하는 동안 기업은 정보 보안을 구현할 때 많은 어려움에 직면합니다. 하이 씨는 이러한 비대칭성으로 인해 사이버 공격을 받을 가능성이 피할 수 없는 객관적 현실이 되었으며, 이에 따라 기업은 새로운 접근 방식을 취해야 한다고 생각합니다.

"이전에는 공격을 막으려고 노력했지만, 이제는 공격이 성공할 경우 어떤 일이 일어날지 예측해야 합니다. 이를 해결할 솔루션이 필요합니다. 사이버 복원력을 최적화하여 조직과 기업의 지속적인 운영을 유지하는 것이 궁극적인 목표입니다."라고 하이 씨는 말했습니다.

정보 보안에 투자하면 지속적인 비즈니스 성과가 보장됩니다.

VCS 이사는 수백 개의 국내 단위에 대한 실제 구현 과정을 통해 정보 기술 및 정보 보안 리더가 종종 직면하는 과제에 공감합니다. 당시 해결해야 할 주요 과제는 인력, 투자 효율성, 비용 최적화의 세 가지였습니다.

An toàn thông tin: Sức mạnh để doanh nghiệp hoạt động liên tục và hiệu quả - 2 — CIO CSO 2024에서 사이버보안 전략 전환에 대한 고위 리더 간 토론 세션(사진: 조직위원회)

정보보안 인력이 늘 부족한 상황에서, 유능한 인력을 확보할 수 있는 대기업은 겨우 5%에 불과한 경우가 많습니다. VCS 전문가들은 기존 직원에 대한 교육과 파트너와의 협력을 결합하여 자원을 보완하고 24시간 모니터링 팀을 구축하라고 조언합니다.

투자 효율성과 관련하여 하이 씨는 단위가 투자의 결과만이 아닌 결과 지표로 측정해야 한다고 제안했습니다. "이전에는 최대한 많은 사고와 공격을 예방하는 것이 목표였습니다. 하지만 이제 궁극적인 목표는 비즈니스 연속성을 보장하는 것입니다."라고 하이 씨는 강조했습니다.

마지막으로 VCS 리더들에 따르면, 비용을 최적화하기 위해서는 일관된 방향으로 일하는 방식을 바꾸는 것 외에도, 전문성을 높이고 투자를 분산시키지 않기 위해 적합한 파트너를 찾아야 합니다.

기업의 정보 보안 파트너는 제품 공급업체이거나 정보 보안 서비스 제공업체일 수 있습니다. 그러나 단독으로 진행할 경우 이러한 파트너는 포괄적인 전략을 제공할 수 없고, 조직에 대한 깊은 이해가 없으며, 심지어 파트너에 대한 비용이 엄청나게 늘어나 통제하기 어려워질 수도 있습니다.

이러한 이유로 VCS는 지난 2년 동안 사이버 보안 성숙도 프로그램(CSMP)을 개발하여 기업의 정보 보안 성숙도를 높이고, 효과적이고 지속적인 운영을 보장하기 위해 기업의 수명 주기를 따라 비용을 통제하고 최적화하면서 관리 및 측정 지표를 수립하여 장기적인 파트너가 되고자 했습니다.