CISO는 알려진 보안 격차에도 불구하고 보안 투자를 정당화하기 위해 노력하고 있으며, 개인적인 위험이 증가하고 있으며, AI의 빠른 채택에 대해 우려하고 있다.

글로벌 API 보안 기업 솔트 시큐리티(Salt Security)와 시장 조사기관 글로벌 서베이즈(Global Surveyz)가 공동으로 전 세계 300개 CISO/CSO 대상 디지털 전환과 기업 디지털화로 인한 문제에 대한 설문조사를 기반한 "CISO의 상황 2023" 보고서를 발표했다. 설문 조사에 참여한 사람들은 금융 서비스, 의료, 보험, 제약, 소매 및 전자상거래를 포함한 여러 산업에서 CISO 또는 CSO 역할을 담당했다.

보고서에 따르면 CISO가 당면한 중요한 과제로 관리해야 하는 가장 큰 보안 제어 격차, 가장 중요한 개인적인 문제, 그리고 효과적인 사이버 보안 전략을 제공하는 능력에 미치는 광범위한 글로벌 문제 등이 꼽히고 있다.

오늘날의 디지털 우선 경제는 위협을 증가시키고 보안 우선 순위를 변경하면서 현대 CISO의 역할을 변화시켰다.

CISO의 89%가 디지털 서비스의 신속한 구현으로 인해 중요한 비즈니스 데이터 보안에 예기치 못한 위험이 발생했다고 보고했다. 디지털 이니셔티브는 보안 침해로 인한 개인 책임 및 소송의 위험을 비롯한 새로운 개인 문제를 야기하고 있으며, CISO의 48%가 이러한 문제를 언급하고 있다.

CISO의 94% 는 AI 채택 속도가 역할에 가장 큰 영향을 미치는 거시적인 역학이라고 말했다. CISO의 95%는 향후 2년 동안 API 보안을 우선순위에 둘 계획이며, 이는 2년 전의 우선순위에 비해 12% 증가한 것이다.

오늘날의 모든 디지털 혁신 이니셔티브를 연결하는 API는 CISO의 핵심 초점 영역으로 두드러졌다. CISO의 77%는 API가 2년 전에 비해 오늘날 이미 더 높은 우선 순위를 차지하고 있다는 것을 인정한다. 또한, API 채택은 조직의 디지털 이니셔티브로 인해 공급망/타사 공급업체에 이어 두 번째로 높은 보안 제어 격차를 보였다.

디지털 우선 경제에서 가장 큰 CISO 과제

보고서는 디지털 경제 가속으로 인해 CISO에게 새로운 보안 과제를 가져왔다는 것을 보여준다. 흥미롭게도 CISO가 언급한 대부분의 과제는 거의 동일한 수준의 우려를 나타내며, CISO가 동시에 여러 과제를 해결하도록 강요한다.

CISO는 꼽는 주요 보안 문제는 ▲새로운 요구사항을 충족할 자격이 있는 사이버 보안 인력 부족(40%) ▲소프트웨어의 부적절한 채택(36%) ▲분산 기술 환경의 복잡성(35%) ▲규정 준수 및 규정 요구사항 증가(35%) ▲보안 투자 비용을 정당화하는 데 어려움(34%) 등이었다.

또한 대부분의 CISO(44%)가 보안 예산이 2년 전보다 약 25% 증가했다고 보고했지만, 거의 30%가 디지털 전환으로 인한 "새로운 보안 문제를 해결할 예산 부족"을 주요 과제로 꼽았고, CISO의 34%는 보안 투자 비용을 정당화하는 데 어려움을 겪고 있다고 답했다.

응답을 좀 더 자세히 살펴보면, CISO의 82%가 보안 예산이 2년 전보다 증가했다고 답했고, 87%는 회사 수익이 증가했다고 답했다. 이러한 격차는 CISO 지출 전력이 지난 2년 동안 수익의 비율로 감소했다.

공급망 및 API를 통한 보안 제어 격차 해소

CISO의 3분의 2는 2021년에 비해 확보해야 할 새로운 디지털 서비스가 더 많다고 말한다. 또한 CISO의 89%는 디지털 서비스의 빠른 도입으로 인해 회사의 중요 데이터를 보호하는 데 있어 예상치 못한 보안 위험이 발생한다고 답했다. API 채택과 공급망/타사 공급업체는 조직의 디지털 이니셔티브에서 두 가지 가장 높은 보안 제어 격차를 보였다.

CISO는 디지털 이니셔티브로 인한 보안 제어 격차를 ▲공급망/타사 공급업체(38%) ▲API 채택(37%) ▲클라우드 채택(35%) ▲불완전한 취약성 관리(34%) ▲오래된 소프트웨어 및 하드웨어(33%) ▲섀도우 IT(32%) 등으로 보았다.

API는 통합 타사 서비스 및 클라우드 애플리케이션을 포함한 오늘날의 모든 최신 디지털 애플리케이션에 포함되어 있어 위의 결과는 위에서 언급한 보안 제어 격차를 해소하기 위한 API 보안의 중요성을 강조한다. 또한 대부분의 조직에는 API에 대한 전체 인벤토리가 부족하여 API가 "섀도우 IT"의 또 다른 구성 요소가 되고 있다

CISO에 영향을 미치는 글로벌 동향

대다수의 CISO는 다양한 세계적 추세의 영향을 느끼고 있음을 인정한다. 더 많은 CISO는 AI 채택 속도가 상당한 영향을 미치는 것으로 꼽았고, 거시 경제적 불확실성, 지리적/정치적 환경, 정리해고가 그 뒤를 이었다. CISO 역할에 영향을 미치는 글로벌 동향에 대해 ▲AI 채택 속도(94%) ▲거시 경제적 불확실성(92%) ▲지정/정치적 기후(91%) ▲정리 해고(89%) 등을 꼽았다.

디지털 우선 경제는 CISO 개인에게도 영향을 미치고 있다. 보고된 개인적인 문제로는 ▲위반으로 인한 개인 소송에 대한 우려(48%) ▲개인 위험/책임 증가(45%) ▲책임 확대 및 이행할 시간 부족(43%) ▲업무 관련 스트레스 증가(38%) ▲관리해야 할 더 큰 팀(37%) 순이었다.

거의 50%의 CISO가 소송 문제를 언급했다. 최근 몇 건의 세간의 이목을 끄는 CISO 소송이 파장을 일으키고 있는 가운데 CISO는 위반 시 개인적 책임을 지고 생계가 위험해지는 것을 두려워하고 있다.

긍정적인 점은 CISO의 96%가 이사회가 사이버 보안 문제에 대해 잘 알고 있거나 매우 잘 알고 있다고 보고했다는 점이다. CISO의 26%가 이사회에 사이버 위험 완화 및 비즈니스 노출에 대해 분기별로 한 번 이상, 57%가 이사회에 최소 6개월에 한 번 이상 참석하는 것으로 나타났다.

로이 엘리야후(Roey Eliyahu) 솔트 시큐리티의 CEO이자 공동 설립자는 "이번 보고서는 지난 2년간 디지털 경제의 가속화로 인해 CISO가 그 어느 때보다 많은 압박에 직면하고 있음을 분명히 보여준다."라며, "API는 모든 디지털 서비스의 구성 요소이며 상당한 위험이 이를 향해 이동했다. 이러한 결과는 조직이 API 보안 전략을 평가하여 어제의 리스크가 아닌 오늘의 리스크를 해결할 수 있도록 하는 것을 우선시해야 한다는 점을 강조한다."고 말했다.