주 컨텐츠로 이동

사이버 보안

2025년 11월 4일

 

사이버 보안의 신뢰와 복원력 구축에 대한 사이버 정책 전문가의 견해

마스터카드의 사이버 보안 파트너십( & 참여)의 새로운 책임자인 키어스텐 토트는 '공동의 책임'이라고 말합니다.

Google 로고

비키 하이먼

디렉터,

글로벌 커뮤니케이션,

마스터카드

사이버 보안은 더 이상 틈새 시장의 문제가 아니라 글로벌 협업의 시험대이자 이사회가 반드시 해결해야 할 과제이며, 사이버 공격의 표적이 되고 있는 중소기업에게는 생존의 문제입니다.

키어스텐 토트는 백악관, 사이버 보안 및 인프라 보안국, 중소기업 중심의 사이버 준비 연구소 등 민간 및 비영리 부문에서 리더십 역할을 수행하며 최전선에서 이러한 변화를 목격해 왔습니다.

이번 주 사이버 보안 파트너십( & 참여) 담당 수석 부사장으로 마스터카드에 합류한 그녀는 점점 더 복잡해지는 위협 환경에서 정부 및 글로벌 파트너와의 협력을 강화하고 보안 혁신이 장애물이 아닌 발전의 원동력이 될 수 있도록 지원합니다. 그녀는 회사가 사이버, 사기 신원 확인 및 AI 지원 서비스 포트폴리오를 확장하는 과정에서 전략적 비전과 운영 현실을 조화롭게 결합합니다. 

"사이버 보안 분야에서 우리가 흔히 하는 일의 대부분은 순간을 관리하는 것입니다."라고 그녀는 말합니다. "하지만 마스터카드는 미래 지향적이라는 독보적인 위치를 점하고 있습니다. 마스터카드는 이 분야를 선도할 수 있는 자원, 역량, 역량, 전 세계 접점을 보유하고 있으며 '비전은 무엇인가요? 어떻게 하면 더 안전하고 탄력적인 인프라, 더 안전하고 탄력적인 생태계를 구축할 수 있을까요?"

지난주 마스터카드 뉴스룸은 토트와 함께 업계의 역량을 강화하고 정보 공유를 촉진하며 보안을 혁신의 구조에 통합하는 프레임워크 구축에 대한 그녀의 접근 방식에 대해 이야기를 나눴습니다.

인터뷰 내용은 편집 및 축약되었습니다.  

 

정부 측과 민간 부문에서 사이버 보안을 위해 일해 왔습니다. 사이버 보안 표준을 설정하는 데 있어 정부는 어떤 역할을 해야 하며, 민간 부문은 어떤 방향으로 나아가야 할까요?

토트: 이 부분은 항상 논쟁의 여지가 있는 부분입니다. 대부분의 정책 문제와 마찬가지로, 정책은 과학이 아니라 예술입니다. 정부는 놀라운 소집 능력을 가지고 있으며, 결국 정부의 역할은 산업을 안내하고 위험 관리를 기반으로 하는 프레임워크를 구축하는 것입니다. 정부는 위험 관리를 위한 가이드라인을 제공하고 업계가 중요한 일의 우선순위를 정할 수 있도록 지원함으로써 업계의 역량을 강화할 수 있습니다. 규정 준수는 궁극적으로 부족한 체크리스트가 되기 때문에 효과가 없습니다.

위험 관리의 핵심 요소 중 하나는 절대로 고립된 상태로 수행되어서는 안 된다는 것입니다. 정부는 산업을 고립시켜서는 안 되며, 그 반대도 마찬가지입니다. 최종 결과물이 복원력에 대한 최상의 접근 방식이 될 수 있도록 함께 노력해야 합니다. 효과적이고 영향력 있는 사이버 위험 관리를 위해서는 업계와 정부 간의 협업이 매우 중요합니다. 

 

전술적 관점에서 볼 때 정보 공유는 사이버 위협에 대응하고 방어 태세에서 회복탄력성으로 전환하는 데 매우 중요합니다. 정부와 민간 부문은 어떻게 인텔리전스를 공유하고 복원력을 키우는 데 필요한 신뢰를 쌓을 수 있을까요?

Todt: 환경이 변화함에 따라 이러한 많은 일들이 실제로 행동을 통해 유기적으로 일어나고 있습니다. 가장 최근에 연방 정부에 근무할 당시에는 업계와 협력하여 사이버 취약성을 선제적으로 해결하기 위한 노력을 기울였습니다. 그러나 거의 즉시 공격에 대응하기 위해 협력이 이루어졌고, 정부와 업계는 협력할 수밖에 없었습니다. 이미 프레임워크가 구축되어 있었지만 이러한 사건과 침해로 인해 이러한 유형의 참여가 활성화되었습니다. 양측 모두 공유해야 할 중요한 정보를 가지고 있으며, 서로 협력함으로써 위협이 어디에 있는지 더 잘 파악할 수 있다는 인식이 점점 더 커지고 있습니다.

 

"어떤 일이 일어날 수 있다는 것을 알려주는 것은 무엇인가요? 정부는 업계 없이는 이 질문에 답할 수 없습니다. 업계는 정부 없이는 이 질문에 답할 수 없습니다. 모든 조각이 없는 퍼즐을 맞추는 것과 같습니다."
키어스텐 토트

 

우리는 종종 타협의 지표에 대해 이야기합니다. 하지만 제가 정부에 있을 때는 관심 지표를 파악하기 위해 노력했습니다. 어떤 일이 일어날 수 있다는 것을 알려주는 것은 무엇인가요? 정부는 업계 없이는 이 질문에 답할 수 없습니다. 업계는 정부 없이는 이 질문에 답할 수 없습니다. 모든 조각이 없는 퍼즐을 맞추는 것과 같으며, 더 나은 그림을 얻기 위한 방법은 함께 협력하는 것입니다. 업계는 네트워크에서 보고 있는 것을 공유할 수 있고, 정부는 여러 부문에서 협력하여 패턴, 캠페인, 전술을 파악할 수 있습니다. 함께하면 더 포괄적인 위협 상황을 파악할 수 있습니다. 기술 역량, 데이터 자산, 위협 인텔리전스를 갖춘 마스터카드는 전 세계 정부의 강력한 파트너입니다.  

 

사이버 리스크 관점에서 볼 때 사이버 생태계는 제너레이티브 AI와 같은 기술에 어떻게 적응하고 있을까요? 업계나 정부, 또는 둘 다 어떻게 하면 더 능동적으로 대처할 수 있을까요?

Todt: AI는 사이버 보안에 엄청난 이점을 제공할 것입니다. 우리는 이미 자동화, 취약성 관리, 수정, 보안 코드 설계 능력 등 수년 동안 어려움을 겪어온 이 모든 것들을 통해 이러한 변화를 경험하고 있습니다. 그러나 적들은 이 정보를 자신들의 목적을 위해 어떻게 활용할 수 있는지 빠르게 알아내고 있습니다. 특히 AI 기반 랜섬웨어의 경우 몇 주가 아닌 15분 만에 취약점을 익스플로잇하고 이전에는 수동으로 수행해야 했던 취약점 스캔과 협상을 자동화할 수 있는 것을 실제로 목격하고 있습니다.

하지만 좋은 소식은 다른 기술 혁명과 달리 우리는 이 모든 것을 처음부터 알고 있다는 것입니다. AI와 머신러닝은 오래 전부터 사용되어 왔지만, 최근 몇 년 사이에 주류로 자리 잡은 것은 사실입니다. 글로벌 사회에서 이러한 기술을 올바르게 사용하는 것이 얼마나 중요한지 잘 알고 있습니다. 우리는 이러한 기술 혁신을 위해서는 기술이 실제로 더 잘 작동하도록 돕는 프레임워크가 있어야 한다는 것을 잘 알고 있습니다. 보안 혁신이 모순되어서는 안 됩니다. 처음부터 보안을 구축할 때 혁신에 도움이 됩니다. 업계와 정부 모두 AI를 도입하고 있기 때문에 전 세계적으로 광범위한 노력이 필요하다는 것을 알고 있으며, 기업과 국가가 함께 무엇을 해야 하는지 이해하고 행동의 틀을 어떻게 구축할지 고민하고 있다고 생각합니다. 

 

중점 분야 중 하나는 소규모 비즈니스를 위한 사이버 보안을 강화하는 것입니다. 최근 연구에 따르면 중소기업이 점점 더 사이버 공격의 위험에 직면하고 있는 것으로 나타났습니다. 사이버 보호에 대한 접근성을 높이려면 어떻게 해야 할까요? 누가 주도권을 잡아야 할까요?

Todt: 사이버 준비 연구소에서는 인간의 행동에 초점을 맞췄습니다. 소규모 비즈니스가 폐업하지 않는 데 필요한 기본 수준의 사이버 보안에 대해 교육함으로써 소규모 비즈니스의 개선을 도울 수 있는 방법은 무엇인가요? 저희는 코로나19 기간 동안 CRI의 회원사 중 한 곳과 함께 글로벌 공급망이 중소기업에 의존하는 것을 확인했습니다. 한 중소기업이 랜섬웨어의 희생양이 되어 폐업하고 회사의 글로벌 공급망에 차질이 생겼습니다. 더 잘해야 합니다. 모든 배를 들어 올리는 것은 밀물입니다. 중소기업 사이버 보안에 투자해야 합니다.

사이버 보안, 사이버 위생 관행을 소규모 비즈니스의 인프라에 통합하는 데 있어 자동화는 확실히 도움이 됩니다. 또한 정부가 보안 제품을 제공하는 기업에 이러한 보안 기능을 기본으로 제공하도록 장려할 수 있는 기회도 있습니다. 최근의 기술 발전으로 보안을 최종 사용자, 소규모 비즈니스에서 벗어나 기술 인프라에 구축할 수 있게 되었습니다.  소규모 비즈니스의 사이버 보안에 투자하고 우선순위를 정하는 것이 얼마나 중요한지 과소평가할 수 없습니다. 

 

사이버 보안의 미래에 대해 가장 낙관적인 이유는 무엇인가요?

Todt: 오랫동안 사이버 보안은 각 조직이 투자 여부를 선택할 수 있는 경쟁 우위로 여겨져 왔으며, 개별적으로 수행되는 것으로 여겨져 왔습니다. 얼마 전까지만 해도 기업들은 '사이버 보안에 투자하지 않겠다', '문제가 발생하면 대응에만 투자하겠다'고 말하던 시기가 있었습니다.

그러나 우리가 보고 느낀 것은 파트너십, 협업, 공유 방어를 향한 이러한 변화는 포괄적인 사이버 보안과 복원력은 한 조직만으로는 달성할 수 없다는 사실입니다. 전 세계 정부, 민간 업계, 기술 혁신가들은 디지털 생태계의 보안이 공동의 책임임을 인식하고 있습니다. 또한 사이버 보안을 비즈니스 전략과 혁신에 통합하는 것도 고무적입니다. IT뿐만이 아닙니다. 사이버 회복탄력성은 이제 이사회 이슈입니다. 이는 신뢰, 브랜드, 성장과 직결됩니다. 이러한 인식은 조직이 보안 기술, 위협 인텔리전스 및 부문 간 협업에 실제로 투자하고 우선순위를 정하는 방식을 변화시키고 있습니다. 임베디드 보안은 향후 지속적인 성장을 위해 필수적입니다.

마스터카드는 여러 부문, 정부, 업계를 선도하여 기준을 높이고 가치 있는 전략적 파트너가 될 수 있는 독보적인 위치에 있습니다. 마스터카드는 매일 협업이 얼마나 강력한 힘을 발휘하는지, 정부, 산업, 부문, 규제 당국 간의 파트너십이 회복탄력성의 개념을 재정의하고 혁신 프로세스 자체에 사이버 보안을 통합하는 방법을 목격하고 있습니다. 기술, 신뢰, 상거래의 교차점에 위치한 마스터카드는 위협이 발생하기 전에 이를 예측하고 디지털 경제의 안전하고 탄력적인 성장을 보장할 수 있습니다.

소규모 비즈니스 보안

마스터카드 백서 시리즈에서는 중소기업을 위한 사이버 보안을 살펴보고 사이버 공격으로부터 기업을 보호할 수 있는 인사이트와 실용적인 도구를 제공합니다.

A woman in a heavy work coat looks at her phone in a workshop.