15일 한국EMC(대표 김경진)의 보안사업부문 RSA는 기업들이 사이버 리스크의 목록을 만들고 우선순위를 매길 수 있도록 돕는 보고서 ‘사이버 리스크 성향: 모던 기업들의 리스크에 대한 정의와 이해(Cyber Risk Appetite: Defining and Understanding Risk in the Modern Enterprise)’와 새로운 프레임워크를 발표했다.

딜로이트 사이버 리스크 서비스(Deloitte Cyber Risk Services)와 함께 발표한 이 보고서에서 언급한 프레임워크는 조직들이 ‘리스크 성향(risk appetite)’을 새롭게 정의하고 분류해, 한층 강화된 사이버 보안 역량을 갖출 수 있도록 돕는 내용을 담고 있다.

사이버 리스크를 이해하고 체계화, 수치화하는 것이 기업 경쟁력을 좌우한다고 강조한 이번 보고서는 리스크 성향을 주요하게 다뤘다. 리스크 성향은 조직이 감수할 수 있는 사이버 리스크 수준이 어디까지인지와 조직이 리스크를 관리하기 위해 얼마나 투자 및 소비할 수 있는지를 확인하는 척도다. 최근 기업들은 클라우드의 도입과 글로벌 사업 확장, 그리고 아웃소싱의 확대로 새로운 사이버 리스크에 노출돼 있다. 이에 사이버 리스크 요인을 정의하고 종합적으로 분류, 리스크 성향을 판단하는 체계적인 과정을 소개했다.

EMC는 이 보고서를 통해 무엇보다 기업들이 스스로 사이버 리스크를 재정의해야 한다고 조언한다. 사이버 공격이나 취약한 보안으로 생기는 직접적인 비즈니스 손실은 물론, 기업 내 인프라나 기술사용과 연관된 다양한 잠재적 피해를 포함해야 한다는 뜻이다.

새로운 프레임워크는 사이버 리스크의 목록을 만들고 분류하기 위해 두 가지 측면, 즉 고의적/비고의적 요인과 내부적/외부적 요인으로 구분했다. 사이버 리스크는 민감한 정보들을 빼내기 위한 고의적이고 악의적 공격으로부터 발생될 수 있다. 또 일시적인 시스템 사용 불가를 가져오는 사용자 실수와 같은 비고의적인 사고로도 발생된다. 더불어 사이버 범죄나 공급망 파트너로 등의 조직 외부 요인과 직원 등의 조직 내부 요인으로 구분할 수 있다.

보고서는 조직들이 사이버 리스크 성향을 효과적으로 측정하기 위해서 사이버 리스크의 종합적인 목록을 만들고 잠재적 영향을 수치화해, 우선순위를 매기라고 조언한다. 어떠한 손실이 더 큰 영향을 줄지, 절대 누출되면 안 되는 정보는 어떤 것인지 등을 사전에 정의해야 한다는 것이다. 또 우선순위 작업을 위해 감안해야 하는 다양한 요인으로 핵심 인프라와 확장된 생태계(공급망 관리나 파트너 포털 등), 비즈니스 크리티컬 시스템 등 소개하고, 처음에 마련된 우선순위를 지속적으로 평가해서 보완해 나가야 한다고 강조했다.

조직의 판단력을 높이기 위한 사이버 리스크 수치화도 중요한 과정으로 다뤄졌다. 벌금이나 수수료, 생산성 손실 등의 비용은 쉽게 수치화할 수 있지만, 브랜드 자산 감소나 고객 선호도 및 지적재산권 손실은 파악이 어려우므로 투자와 리스크의 상관관계를 바탕으로 수치화하려는 조직의 노력이 필요하다고 지적했다.

보고서는 누구나 사이버 리스크를 일으킬 수 있다는 점에서, 조직 내 사이버 리스크 관련 이해관계자의 확장도 언급했다. 사이버 리스크 관리와 관련한 정책을 결정하는 이해관계자들에 직원 정보를 다루는 인사 담당자, IT 인프라 관리 책임자, 공급망 관리자 등 다양한 직책을 포함함으로써 기업의 사이버 리스크를 최소화할 수 있다.

김경진 한국EMC 대표는 “기업 경쟁력에 치명적인 영향을 끼치는 사이버 리스크는 기업이 존재하는 한 어디서든 발생할 수 있다는 것을 인정해야 한다”며, “사이버 리스크 성향을 이해하고 체계화함으로써 리스크 발생 시 충분히 검토된 판단을 내릴 수 있을 때 그 피해를 최소화할 수 있을 것”이라고 말했다.