지속적인 사이버 위험 관리 프로세스를 수립하고 이를 정보보호 관리체계의 거버넌스와 연계하는 것은 기업의 생존을 보장하는 필수 전제 조건이다. 이에 따라 보안 아키텍처, 위험 거버넌스, 조직 문화를 전략적으로 정렬해 실질적이고 효과적인 사이버보안 프로그램을 구축하는 방안을 살펴볼 필요가 있다. 이는 단순한 기술적 대응을 넘어, 조직 전체가 보안 목표를 공유하고 체계적으로 운영되는 구조를 만드는 과정이기도 하다.

ISC2가 제안한 보안 아키텍처 도메인 모델을 기반으로 한 접근은 사이버보안 프로그램에서 아키텍처의 중요성을 분명하게 보여준다. 특히 생성형 AI와 같은 신기술이 확산되는 지금, 견고한 데이터센터 기반의 클라우드 환경에서 높은 수준의 연산 처리가 필요해지면서 그 중요성은 더욱 커지고 있다.

이런 기술 혁신은 에너지 수요 증가뿐 아니라 접근 제어와 ID 관리, 워크로드 보호를 위한 네트워크 인프라의 안전장치 구축 등 새로운 과제를 불러온다. 이에 따라 거버넌스·위험·컴플라이언스(governance, risk and compliance, GRC) 프로젝트를 포함한 탄탄한 아키텍처 모델링이 필수적이다.

필자는 사이버 위험 관리 프로세스를 구축하고 이를 정보보호 관리체계의 거버넌스와 결합하는 것이 조직의 생존을 보장하는 필수 전제 조건이라고 본다. 만약 필자에게 정보보호 관리체계를 구현하기 위한 전략을 묻는다면, 기업의 환경과 상황을 종합적으로 이해하고 이해관계자 전반의 위험 인식 수준과 문화적 성숙도를 함께 고려하는 것이 중요하다고 답할 것이다.

아직 이해관계자와 임직원 전반에 위험 중심의 사고방식이 충분히 확산하지 않은 상태라면, 사이버보안 프로그램을 추진하고 실행하기가 훨씬 어려워진다. 이 경우 사업 부문 임원들과의 긴밀한 협력과 조율을 통해 집중적으로 접근해야 한다. 프로그램 초기부터 문제를 드러내면 장기적으로 협업이 어려워질 수 있기 때문이다. 필자 또한 이런 상황에서 여러 장벽에 부딪히고 한발 물러서야 했던 경험이 있다.

그러나 위험에 대한 문화적 기반, 즉 위험 허용도, 수용 범위, 위험 성향 등을 포함한 위험 문화를 관리 프로그램의 범위 안에서 구축하는 것은 매우 중요하다. 이를 통해 조직은 현재 진행 중인 위험을 명확히 파악하고, 그 위험이 어떻게 인식되고 완화되고 있는지를 체계적으로 관리할 수 있다. 이런 과정은 결국 조직의 보안 수준을 높이고 고객에게 신뢰할 수 있는 제품을 제공하며, 기업의 평판과 이미지를 강화하는 데 기여한다. 나아가 경쟁 우위를 확보하고 브랜드 인지도를 높이는 기반이 된다.

이미 성숙한 위험 문화를 갖추고 있다면 사이버보안 관리 프로젝트의 실행은 훨씬 유연해진다. 여기서는 그 ‘성공 공식’을 구성하는 몇 가지 핵심 요소를 제시하고자 한다.

1. - 비즈니스의 역학과 범위를 정확히 이해하고, 조직의 이해관계자·프로세스·핵심 시스템을 체계적으로 파악해야 한다. 이를 바탕으로 애플리케이션을 분류하고 데이터를 등급화해 적절한 통제 장치(가드레일)를 설정한다.
2. - NIST CSF 2.0을 중심으로 ISO 27001, COBIT, CMM, NIST 800-53, SABSA, TOGAF, 마이터 어택(MITRE ATT&CK), OWASP 등 다양한 프레임워크를 어떻게 선택하고 적용할지 명확히 이해한다.
3. - 시작 단계에서는 비전, 목표, 전략, 세부 과제를 정의해야 한다. 이는 NIST CSF의 ‘Govern’ 섹션에서 정의하는 GRC 전략과 맥락을 같이한다. 예를 들어 “조직 전반에 위협 기반 접근 방식을 확대하고, 비즈니스 및 시장의 규제 기준에 부합하는 사이버보안 GRC 프로그램을 구축한다”와 같은 목표를 설정할 수 있다. 각 목표에 대해 구체적인 세부 과제도 함께 정의해야 한다. 예를 들어 “사이버 위험 관리 역량을 강화하고, 조직 구조를 NIST CSF 기준으로 업데이트하며, FAIR 모델을 도입한다”는 식이다.
4. - 지속적인 성숙도 측정 프로그램 내에서는 KPI(핵심성과지표)와 KRI(핵심위험지표)를 결합해 명확한 지표를 정의해야 한다. 예를 들어 “패치 적용: 인터넷에 노출된 시스템이나 핵심 시스템에서 치명적·고위험 취약점을 수정하는 데 걸리는 평균 일수”와 같은 핵심 통제 항목을 설정할 수 있다. 이와 같은 지표를 설정하면 이해관계자와 애플리케이션 담당자가 보안 문제 해결의 필요성을 인식하게 되고, 프로그램의 성숙도를 높이는 동시에 경영진에게 투명성을 제공할 수 있다.
5. - 이 단계에서는 노출되거나 취약한 위협과 일반적인 공격 기법에 대한 평가를 수행하는 것이 바람직하다. 이를 위해 위협 목록, 위험 요소, 예방 및 탐지 통제, 그리고 비즈니스 위험(예: 노출, 평판, 재정 손실 등)을 정의해 관련 정보를 종합적으로 통합해야 한다. 통제 항목은 조직의 환경과 상황에 따라 정의할 수 있으며, PCI-DSS, COBIT, NIST 800-53, CIS, NIST CSF, CRI, CMM, ISO 27001 등 다양한 프레임워크를 참조할 수 있다.
6. - 이 단계는 프로그램에서 가장 핵심적인 부분으로, 비즈니스에 중요한 자산을 명확히 이해하는 것이다. 이를 위해 애플리케이션을 체계적으로 매핑하고, 갭 분석, 위험 평가, 모의침투 테스트, 최신 감사 결과 등을 종합해 전체적인 관점을 확보해야 한다. 앞서 언급했듯이 애플리케이션을 매핑하고 비즈니스 영향 분석(business impact analysis, BIA)을 통해 비즈니스 요구사항과 정렬하는 과정이 필수적이다. 또한 이 단계에서는 거버넌스의 역할도 중요하다. 사이버보안 관리 프로그램을 위한 정책, 표준, 절차를 정의하고 이를 기반으로 관리 체계를 구축해야 한다.
7. - 이 단계에서는 프레임워크 모델을 도입해야 한다. 필자는 ISO 27001, NIST CSF, NIST 800-30, NIST 800-39, RMF의 조합을 선호한다. 미국 금융권에서는 사이버리스크연구소(Cyber Risk Institute, CRI)가 효과적인 프로그램 구현을 위한 우수한 자료를 제공하고 있다. 또한 많은 기업이 이미 클라우드 환경에 있기 때문에, CIS 컨트롤(CIS Control)과 클라우드보안연맹(Cloud Security Alliance, CSA)의 CMM 역시 유용한 참고 자료로 활용될 수 있다. 이 단계는 프로젝트의 핵심이라고 할 수 있을 만큼 섬세한 과정이다. 바로 이 단계에서 기업의 위험 허용도와 수용 범위가 비즈니스 목표와 정렬되어 정의된다. 따라서 이해관계자의 참여가 필수적이며, 프로젝트의 성공을 좌우할 위험 문화를 조성하는 것이 중요하다. 또한 사이버보안 프로그램의 핵심인 CISO의 조직 구조 역시 반드시 포함되어야 한다. 이는 NIST CSF에서 정의하는 식별(Identify), 보호(Protect), 탐지(Detect), 대응(Respond), 복구(Recover)의 단계를 기반으로 해야 한다. 앞서 언급한 첫 번째 단계인 거버넌스(Govern)는 이미 다루었다.
8. - 위험 문화를 강화하는 것과 병행해 발전시켜야 할 또 다른 중요한 요소는 지속적인 정보보호 인식 제고 프로세스다. 이 활동은 전 직원이 참여해야 하며, 특히 사고 대응과 사이버 회복력에 관여하는 인력을 중심으로 진행돼야 한다. 이런 그룹에는 랜섬웨어, 피싱, AI 기반 공격, 민감 정보 유출 등 재난 상황을 가정한 테이블탑 훈련(Tabletop Exercise)을 수행하는 것이 효과적이다. 이를 통해 기업은 위기 상황에서도 보다 탄력적으로 대응할 수 있는 역량을 확보하게 된다. 또한 소프트웨어 개발자 대상의 보안 개발 실무 교육도 매우 중요하다. 오늘날 대부분의 시스템이 코드(API, 컨테이너, 서버리스 등)로 정의되기 때문에 개발 과정 전반에서 보안을 고려해야 한다. 이를 위해 SAST(Static Application Security Testing), DAST(Dynamic Application Security Testing), SCA(Software Composition Analysis), RASP(Runtime Application Self-Protection), 위협 모델링, 모의침투 테스트 등 다양한 절차를 포함해야 한다.
9. - 기술적 관점에서 볼 때 NIST CSF가 정의한 식별, 보호, 탐지, 대응, 복구 단계별로 적절한 통제 항목을 선택하고 구현하는 것이 중요하다. 다만, 이런 통제 항목(가드레일)의 선정은 조직의 전체적인 사이버보안 전략과 시장의 베스트 프랙티스에 따라 달라질 수 있다. 식별된 각 문제에 대해서는 이에 대응하는 통제 항목을 정의해야 하며, 이는 3선 방어 체계(IT 및 사이버보안, 위험 관리, 감사)를 통해 지속적으로 모니터링돼야 한다.

이 글에서는 각 상황별로 적절한 통제 항목을 모두 구체적으로 설명할 수는 없지만, NIST CSF, AI RMF, CIS 컨트롤, CCM, CRI, PCI-DSS, OWASP, ISO 27001/27002 등 각종 프레임워크를 참고할 것을 권장한다. 이들 프레임워크는 각 통제 유형을 세부적으로 규정한다.

예를 들어 “새로운 사이버 위협 시나리오를 식별하고 평가하기 위한 위협 인텔리전스 도입을 통해 조직이 잠재적 피해를 완화할 수 있도록 지원한다”는 식의 통제 항목이 있다.

마지막으로, 사이버보안 관리 프로그램은 개인정보보호 및 사이버보안 관련 법률을 포함해 각종 법적·규제적·지역적 요건을 반드시 고려해야 한다. 여기에는 LGPD(브라질 일반개인정보보호법), CCPA(캘리포니아 소비자 개인정보보호법), GDPR(유럽 일반개인정보보호법), FFIEC, 중앙은행 규제 등이 포함된다. 이런 규정을 준수하지 않을 경우 기업은 심각한 법적·운영적 문제에 직면할 수 있다.

이번 글을 통해 보안 아키텍처의 개념과, 비즈니스 요구사항에 부합하는 사이버 위험 관리 프로그램을 어떻게 단순하고 체계적으로 구축할 수 있는지 간략히 알 수 있었기를 바란다.

이 내용은 필자가 실제로 여러 기업 책임자와 협업하며 적용해 온 접근 방식이자, 참고할 수 있는 하나의 방향이다. 전반적으로 잘 설계되고 구현된 아키텍처의 중요성은 프로그램 전체를 뒷받침하는 기반이 되며, 그 완성도는 성공 여부를 좌우한다. 필자는 GRC, 그리고 CISO의 역할이 얼마나 긴밀히 정렬되어 있는지가 기업의 위협 대응 역량과 사이버보안 수준을 얼마나 높일 수 있을지를 결정짓는 핵심 요인이라고 강조하고 싶다.

*Rangel Rodrigues는 정보보호 분야의 자문위원이자 보안 에반젤리스트로, CISSP, CCSP, CGRC, CRISC, CCISO, CCSK, CCTZ 등 다양한 국제 인증을 보유하고 있다.

dl-itworldkorea@foundryco.com