4차 산업혁명의 본질은 '산업의 디지털화'다. 이에 따라서 정보기술(IT)은 비즈니스 지원 도구라기보다 경제 가치 창출의 원천이며 비즈니스 자체다.
이전까지의 산업혁명과 마찬가지로 4차 산업혁명에서 자유로운 기업은 없다. 비즈니스를 근본부터 변화시키지 않으면 경쟁업체 또는 조직은 예기치 못한 변수를 만나 큰 어려움을 겪을 수 있다. 4차 산업혁명 시기의 '디지털 전환'은 기업에 필연의 과제다.
디지털 전환은 기업 비즈니스와 운영 방식, 고객과 접촉하고 가치를 제공하는 모든 방식에 변화를 가져온다. 비즈니스가 진화를 거듭할수록 기존 IT 인프라와 보안 필요성은 커질 수밖에 없다. 기업은 비즈니스의 모든 부분이 통합됨으로써 복잡해진 환경을 지속 향상시키는 한편 기존 인프라와 새로운 기술이 조화를 이룰 수 있는 방안을 찾아야 한다.
4차 산업혁명 시대의 사이버 보안에는 세 가지 위험이 있다. 우선 운영 측면 위험이다. 현재 기업은 랜섬웨어, 분산서비스거부(DDoS·디도스) 공격, 데이터 탈취, 사이트 하이재킹 등 다양한 익스플로잇과 리소스 도용으로 인해 비즈니스 운영에 심각한 피해를 볼 수 있다. 두 번째는 브랜드 명성 위험이다. 고객, 투자자, 파트너는 잠재 위험에 노출돼 있는 기업과의 비즈니스를 꺼린다. 침해 사실이 언론 보도, 법규 준수에 의한 공개 의무로 드러나게 되면 브랜드 명성에 심각한 손상을 받는다.
마지막은 투자 위험이다. 적절하지 못한 보안 제품에 투자하면 비즈니스 환경 내의 다른 솔루션과 통합되지 않는다. 기업 자산과 프로세스 보호 효과를 보지 못하며, 다른 가치 있는 곳에 투자할 수 있는 기업 자산 사용은 비효율이 된다.
기업은 점차 복잡해져 가는 인프라 문제를 인식하고 있어야 한다. 확장된 공격 면에 숨어 있는 지능 위협을 감지하는 '위협 인텔리전스'를 확보해야 한다. 제한된 예산에 숙련된 전문 인력이 부재한 기업은 이러한 변화에 발맞춰 어떤 제품을 채택하고 확장해야 하는지 적절한 평가를 내리지 못할 때가 많다. 사이버 보안 리스크 관리 효과를 보기 위해서는 비즈니스에서 가장 중요한 요소가 무엇이며 어떤 취약성이 있는지 정확하게 판단하고, 이를 보호하기 위한 비용 효율화 방법과 장치를 마련해야 한다.
보안 취약점을 해결하기 위한 투자 시 우선순위는 어떻게 정할 수 있을까. 이를 위해 공격 가능성과 비즈니스에 대한 잠재된 영향력을 보여 주는 '히트맵' 개발이 중요하다. 취약점은 사용자, 프로세스, 기술 모두에서 나타날 수 있다. 히트맵을 통해 전체 운영 범위 내에서 중요도별로 취약점이 어디에 위치하고 있는지 식별하는 것은 매우 중요하다. 히트맵은 먼저 해결해야 할 취약점 판단에 가이드가 된다. 이를 통해 기업은 리스크 관리 전략 전반에 보안을 적용해서 효과를 볼 수 있고, 사이버 보안이 기술 토론에 그치지 않고 실제로 리스크 평가와 투자로 이어지도록 할 수 있다.
기업의 중요 비즈니스 모델과 비즈니스 운영 프로세스, 가장 중요한 구성 요소를 정확히 이해해야만 비즈니스 중심의 사이버 보안 접근 방법을 찾을 수 있다. 기업은 효과 높은 보안 포괄 전략을 수립하고 통합, 협업, 적응, 자동화와 같은 중요한 기능 중심으로 설계된 최적 솔루션을 구축함으로써 비즈니스 프로세스 보호 효과를 볼 수 있다. 4차 산업혁명에서 중요성이 더욱 커지고 있는 '보안'을 최적의 방법으로 기업 환경에 적용할 지 검토를 신중하게 해 볼 시점이다.
포티넷코리아 조원균 대표 sjung@fortinet.com