디지털 전환이 가속화됨에 따라 기업의 사이버 위험에 대한 정량적 분석 수요가 증가하고 있다. 특히 이사회 및 재무 부서가 이해할 수 있는 재무 지표로 기술적 위험을 표현할 수 있는 도구의 필요성이 높아지고 있다. 기존 보안 지표는 주로 기술 중심의 언어에 국한되어 조직 내 의사결정자와 보안 책임자 간의 소통에 한계를 드러냈다. 이에 따라, 기술적 위협을 금전적 손실로 전환해 정량화하는 사이버 위험 정량화(CRQ) 플랫폼이 주목받고 있다.

사이버 위험 정량화 솔루션 기업 스퀄리파이(Squalify)가 자사의 기술적 위험을 방어 가능한 이사회 보고용 재무 지표로 변환하고 보안 지출과 기업 비즈니스 전략 간의 연결성을 높인 플랫폼이 미국 시장 공식 진출과 함께 첫 주요 고객으로 헬스케어 기술 기업 헨리메즈(Henry Meds)를 확보했다고 밝혔다. 헨리메즈는 이 플랫폼을 통해 자사 보안 태세 변화를 정량적으로 분석하고, 이사회에 실질적인 사이버 위협 대응 전략을 보고할 수 있게 되었다.

스퀄리파이는 유럽 전역에서 빠른 성장세를 보이며, 세계 최대 사이버 재보험사 뮌헨리(Munich Re)의 지원을 받는 뮌헨 기반 스타트업이다. 뮌헨리로부터 정식 라이선스를 보유한 사이버 위험 정량화 모델을 기반으로, IT 보안과 경영진 간의 소통 격차 해소를 지원하고 있다.

실제 사이버 손실 데이터와 위험 모델링 데이터 기반 CRQ 플랫폼

스퀄리파이 플랫폼은 실제 사이버 손실 데이터와 위험 모델링 데이터를 기반으로 설계되었으며, 엔터프라이즈 위험 관리(ERM), 거버넌스·위험·규정 준수(GRC) 시스템, 기타 위험 평가 툴과 통합 가능하다. 이번 기능 개선에는 다중 기관 위험 조정 기능, 의사 결정 영향 시뮬레이션, 이사회 보고서 자동 생성 기능이 포함되어 있으며, 미국 시장 요구에 맞춰 확장되었다.

신규 기능인 ‘서브사이더리 스티어링(Subsidiary Steering)’은 복수 기관 또는 사업부 간의 사이버 위험을 일관성 있게 정량화하고 비교할 수 있도록 지원한다. 또한, 사용자는 특정 의사 결정이 전체 조직의 위험 노출에 어떤 영향을 미치는지를 시뮬레이션할 수 있으며, 이러한 기능은 보안 통제의 투자 수익률(ROI)을 입증하거나 거래와 같은 주요 비즈니스 의사 결정의 위험을 분석하는 데 유용하다.

이사회 보고서 기능은 복잡한 기술 데이터를 요약하여 경영진이 쉽게 이해할 수 있는 대시보드 형식으로 제공된다. 이를 통해 보안 투자, 사이버 보험, 기업 전반의 위험 관리 전략 수립이 더욱 투명하고 효과적으로 이뤄질 수 있다.

기술-재무 간 격차 해소 및 ROI 기반 의사결정 지원

스퀄리파이는 보안을 단순한 비용 항목이 아닌 전략적 의사결정 요소로 전환하는 데 중점을 두고 있다. 플랫폼은 사이버 위험을 달러 단위로 명확히 정량화하며, 고위험 구간을 식별하고, 델타 분석을 통해 시간에 따른 보안 상태 변화를 추적할 수 있다. 이를 통해 기술팀과 재무 의사결정자 간의 소통 문제를 해소하고, 보안 지출에 대한 경영진의 신뢰를 제고할 수 있다.

헨리메즈의 IT 및 보안 매니저 브라이언 쿡(Brian Cook)은 “스퀄리파이 플랫폼을 통해 가장 영향력 있는 사이버 시나리오를 확인하고, 조직의 보안 상태 변화를 정량적으로 이사회에 보고할 수 있게 되었다”며, “보안 전략이 실질적인 진전을 이루고 있음을 자신 있게 설명할 수 있었다”고 밝혔다.

스퀄리파이의 CEO 아스드루발 피차르도(Asdrúbal Pichardo)는 “모든 보안 결정은 공포가 아닌, 데이터 기반의 비즈니스 판단에 의해 이뤄져야 한다. 미국 시장 진출과 기능 업그레이드를 통해 기술과 재무 간 언어 장벽을 해소하고자 했다.”라고 강조했다.

스퀄리파이는 미국 내 입지를 지속적으로 확대하고, 기업의 사이버 위험 관리 역량을 높일 수 있는 플랫폼 역량을 강화할 계획이다. 사이버 보안 투자에 있어 명확성, 일관성, 측정 가능한 ROI를 제공하는 것을 목표로, 더 많은 조직이 기술적 위협을 전략적으로 다룰 수 있도록 지원할 방침이다.

[알림] GTT KOREA GTT SHOW는 오는 8월 12일 오후 2시부터 3시까지 “피해 큰 BFPdoor 같은 커널 기반 악성코드 막는 EDR과 마이크로세그멘테이션 실전 보안 전략”을 주제로 웨비나를 진행합니다. BPFdoor 같은 커널 기반의 악성코드가 사용하는 공격 기법과 침투 단계별 위협의 소개, EDR과 마이크로세그멘테이션이 어떻게 상호보완적으로 작동하여 침입 초기 탐지부터 내부 확산 차단까지 이어지는 보안 체계의 구축 전략과 새로운 형태의 변종 공격에 유연하게 대응하는 제로 트러스트 기반 보안 전략을 실전 사례와 함께 제시합니다.