미국 증권거래위원회(SEC)가 사이버 보안 규정을 제안했습니다.

2023년 3월 13일, 미국 증권거래위원회(SEC)는 모든 시장 참여자가 위험에 대응할 수 있도록 새로운 사이버 보안 규칙 및 요건을 제안했습니다. 제안된 규정에는 다음과 같은 업데이트된 요건이 포함되었습니다. 양식 8-K 보고 및 새로운 지침 10-K 양식 수정. 

제안된 8-K 보고서 관련 규정에 따르면, 기업은 사고 발생 후 4일 이내에 위반 사항을 보고해야 합니다. 모든 사고 보고서에는 다음 다섯 가지 질문과 답변이 포함되어야 하며, 답변에는 "합리적인 투자자"가 위반 사항을 파악할 수 있도록 상세한 내용이 담겨야 합니다. 제안된 규정에 따라 모든 8-K 보고서에서 요구되는 질문은 다음과 같습니다.

1. 사건이 언제 발견되었는지, 그리고 현재도 진행 중인지 여부.
2. 사건의 성격과 범위에 대한 간략한 설명입니다.
3. 데이터가 도난당했거나, 변경되었거나, 접근되었거나, 또는 기타 무단 목적으로 사용되었는지 여부.
4. 해당 사건이 등록업체의 운영에 미친 영향.
5. 등록자가 해당 사건을 시정했는지 또는 현재 시정 중인지 여부.

지나치게 전문적인 기술적 세부 사항은 피하고 필요한 질문에 답변해 주시면 회사와 관련된 모든 관계자들이 사이버 보안 위험에 대한 논의를 더욱 쉽게 진행할 수 있습니다.

사이버 위험 관리 정책 및 절차 

또한, SEC 제안은 10-K 수정안에 사이버 보안 관리를 위한 구체적인 정책 및 절차를 포함할 것을 요구했습니다. 10-K에 포함되는 사이버 보안 위험 관련 정책 및 절차는 최고 경영진과 이사회가 모두 이해할 수 있도록 최대한 명확하게 작성되어야 합니다. 10-K에 추가된 이 사이버 보안 수정안은 기업의 사이버 보안 프로토콜 규제에 대한 투명성을 높여준다는 점에서 중요합니다. 

지난 10년간 사이버 보안 침해는 모든 산업 분야와 업종의 기업에게 가장 큰 위험 요소 중 하나로 꾸준히 증가해 왔습니다. 실제로 앞으로 이러한 위험은 더욱 커질 것으로 예상됩니다. 2019년 조사에서, 세계 최대 기업 200곳이 향후 10년간 사이버 보안을 자사 사업 성장과 세계 경제 성장에 대한 가장 큰 위협으로 꼽았습니다. 이에 따라 미국 증권거래위원회(SEC)는 사이버 보안 위험 관리 및 사고 보고에 대한 정보 공개를 표준화하여 모든 조직에서 일반적인 논의와 관행으로 자리 잡도록 하려는 목적으로 관련 규정을 마련했습니다.

위험 인식 문화를 구축하기 위한 팁

SEC의 제안이 현실화될 경우, 기업들은 매우 포괄적인 사고 대응 프로세스를 갖춰야 합니다. 기업 보안은 최고 정보 보안 책임자(CISO), 보안팀, IT팀만의 책임이 아닙니다. 모든 구성원이 교육을 받고 잠재적 위협을 예리하게 감시해야 합니다. 아무리 사소한 침해라도 언제 경보를 울려야 하는지 아는 것은 모든 직원이 SEC 규정을 준수하는 데 매우 중요합니다. 기업 내 거의 모든 팀이 회사를 위험에 빠뜨릴 수 있는 데이터를 다루고 있기 때문에, 조직 전체에 사이버 보안 위험에 대한 인식을 확산하는 것이 기업 보안 유지에 도움이 될 수 있습니다. 

이처럼 중요한 주제에 대한 논의를 지속적으로 이어가기 위해서는 CNAPP과 같은 적절한 도구를 활용하는 것이 중요합니다. 보안 오케스트레이션 자동화 및 대응(SOAR), 이를 통해 CISO는 최고 경영진 및 이사회에 기업의 위험 현황을 공통 언어로 제시하여 논의를 시작할 수 있습니다. 단순히 사고 발생 시뿐만 아니라 분기별로 회사 경영진과 대화를 시작하면 주요 격차를 해소하는 데 필요한 예산과 가시성을 확보하는 데 도움이 되며, 결과적으로 향후 데이터 유출과 같은 보안 사고를 예방할 수 있습니다. 사이버 보안 위험은 오늘날 비즈니스에서 매우 현실적인 문제이지만, 모든 규정을 준수하고 적절한 자동화 도구를 사용하며 사이버 보안에 대해 정기적으로 논의함으로써 기업을 보호할 수 있습니다.