우선 통치: NIST CSF 2.0의 새로운 기능이 사이버 위험을 ESG 리더십과 연결하는 방법
모든 것을 바꾸는 변화
2024년 2월 NIST가 CSF 2.0을 발표했을 때, 가장 큰 구조적 변화는 ‘Govern(거버넌스)’이라는 완전히 새로운 기능이 추가된 것이었습니다. 이는 단순한 수정이나 기존 내용의 명칭 변경이 아니었습니다. 이는 세계에서 가장 권위 있는 표준 기구 중 하나가 보낸 의도적인 신호로, 사이버 보안 위험 관리는 조직의 거버넌스와 분리될 수 없으며, 이사회와 경영진, 그리고 이들을 자문하는 전문가들이 이에 상응하는 책임을 져야 함을 강조한 것이었습니다.
ESG 전문가들에게 있어 이러한 변화는 매우 중요합니다. 거버넌스(Govern) 기능은 단순한 기술적 업무가 아닙니다. 이는 리더십, 전략, 그리고 문화와 관련된 기능입니다. 이 기능은 조직이 수행하는 모든 활동에서 사이버 보안 위험에 어떻게 대응할지를 결정하는 정책, 프로세스, 그리고 책임 소재를 포괄합니다. 내용, 구조, 의도 면에서 볼 때, 이는 ESG 전문가들이 매일 수행하는 거버넌스 업무와 직접적으로 연결됩니다.
Govern 함수의 처리 범위
CSF 2.0 거버넌스 기능은 6가지 범주로 구성되어 있습니다. 각 범주를 이해하면 ESG 전문가들은 기존 업무가 어떤 부분과 연계되어 있는지, 그리고 어떤 부분에 새로운 관심을 기울여야 하는지 파악할 수 있습니다.
조직적 맥락을 고려하려면 조직은 자신의 사명, 운영 환경인 규제 환경, 그리고 이해관계자들의 위험 수용 수준을 이해해야 하며, 이러한 맥락이 사이버 보안 위험 관리 결정에 반영되어야 합니다. ESG 전문가들에게 이는 익숙한 영역입니다. 중요성 평가, 이해관계자 참여 프로세스, 규제 동향 모니터링 등은 모두 거버넌스 기능이 요구하는 조직적 맥락을 직접적으로 뒷받침하는 표준적인 ESG 활동입니다.
리스크 관리 전략에 따르면, 조직은 사이버 보안 리스크에 대해 명확히 정의된 리스크 허용 범위와 리스크 대응 우선순위 결정 기준을 포함하여, 확립되고 문서화되며 전사적으로 공유된 접근 방식을 갖추어야 합니다. 기업 리스크 관리 프레임워크를 담당하는 ESG 전문가들은 이를 환경 및 사회적 리스크를 위해 자신이 수립하는 리스크 수용 성명서 및 허용 한도와 직접적으로 일치하는 것으로 인식할 것입니다.
‘역할, 책임 및 권한’ 항목은 사이버 보안에 대한 책임이 이사회 및 고위 경영진을 포함한 조직 전반에 걸쳐 명확하게 배정되고, 이해되며, 전달되어야 함을 요구합니다. 비재무적 위험에 대한 책임 배정은 건전한 지배 구조 관행의 핵심 요소이므로, ESG 전문가들은 조직이 이를 명확히 검토할 수 있도록 돕는 데 있어 유리한 입장에 있습니다.
정책에 따르면, 사이버 보안 정책을 수립하고 문서화하며 전사적으로 공유해야 하며, 이는 조직의 위험 전략과 위험 허용 한도를 반영해야 합니다. 정책 수립 및 거버넌스 공시를 담당하는 ESG 전문가들에게 이는 직접적으로 적용되는 업무입니다.
감독 기능의 핵심은 사이버 보안 위험 관리 활동의 결과를 바탕으로 조직의 전반적인 위험 관리 전략을 수립하고 조정해야 하며, 사이버 보안 위험 정보가 이사회 및 고위 경영진에게 전달되어 검토 및 의사결정이 이루어질 수 있는 명확한 절차가 마련되어야 한다는 점입니다. 이것이 바로 사이버 위험에 적용되는 ESG 보고 및 검증 기능입니다.
사이버 보안 공급망 리스크 관리란 공급망 내의 사이버 보안 위험을 식별, 평가 및 관리하고, 이를 공급업체 및 제3자에게 명확히 전달하는 것을 의미합니다. 공급망 실사 및 책임 있는 조달 업무를 담당하는 ESG 전문가들에게 이는 기존 업무의 자연스러운 확장입니다.
‘Govern’ 기능은 단순히 사이버 보안 용어로 포장된 새로운 개념이 아닙니다. 이는 ESG 전문가들이 기후, 인권, 노동 관련 리스크에 적용하는 것과 동일한 원칙인 ‘건전한 리스크 거버넌스’를 사이버 영역에 적용한 것을 의미합니다.
Govern을 ESG 거버넌스 프레임워크와 연계하기
NIST CSF 2.0의 ‘거버넌스(Govern)’ 기능과 주류 ESG 거버넌스 프레임워크 간의 유사점은 매우 두드러질 뿐만 아니라 실무적으로도 유용합니다. 글로벌 리포팅 이니셔티브(GRI)의 GRI 205(부패 방지) 및 GRI 418(고객 개인정보 보호) 표준은 모두 특정 위험 범주에 대한 거버넌스 프로세스의 공시를 요구합니다. 유럽 지속가능성 보고 기준(ESRS)은 중대한 지속가능성 위험 및 기회를 관리하기 위한 거버넌스 구조와 프로세스의 공시를 요구합니다. 기후 관련 재무 정보 공개 태스크포스(TCFD) 프레임워크와 그 후속인 ISSB 표준은 기후 위험에 대한 거버넌스 프로세스의 공시를 요구합니다.
이러한 각 프레임워크에서 요구하는 공시 요건은 NIST CSF 2.0의 ‘Govern’ 기능이 조직에 요구하는 사항과 구조적으로 유사합니다. 즉, 이사회 및 경영진 차원의 명확한 책임 소재, 문서화된 위험 관리 프로세스, 정의된 위험 수용 범위, 그리고 위험 정보가 의사결정권자에게 어떻게 전달되는지에 대한 증거 등이 포함됩니다. CSF 2.0의 ‘Govern’ 기능을 구현한 조직은 이러한 모든 프레임워크에 걸쳐 사이버 보안 위험에 대한 공시 수준의 거버넌스 정보를 효과적으로 제공할 수 있는 유리한 입장에 있습니다.
이사회의 역할과 책임
CSF 2.0의 ‘Govern’ 기능은 사이버 보안 위험에 대한 이사회 차원의 감독이 선택적 개선 사항이 아닌 필수적인 거버넌스 요건임을 명확히 하고 있습니다. 이는 전반적인 규제 동향과도 부합합니다. 미국 증권거래위원회(SEC)의 사이버 보안 공시 규정, 유럽연합(EU)의 NIS2 지침, 영국 국가사이버보안센터(NCSC)의 지침은 모두 사이버 보안 거버넌스에 대한 책임을 조직의 최고 경영진에게 부여하고 있습니다.
이사회 차원의 거버넌스 보고서를 작성하거나 이사회 거버넌스 관행에 대해 자문을 제공하는 ESG 전문가들에게 이는 실질적인 시사점을 제공합니다. 이사회는 사이버 보안 위험 정보를 수신하고 검토하는 절차를 갖추고 있음을 입증해야 하며, 사이버 사고에 대한 위험 수용 수준을 명확히 정의하고, 사이버 보안 위험 관리에 대한 명확한 책임을 특정 임원 직책에 배정했음을 보여줄 수 있어야 합니다. 이는 바로 ESG 전문가들이 다른 위험 범주에 대해 설계하고 문서화하는 데 도움을 주는 바로 그 종류의 거버넌스 구조입니다.
통합의 기회
ESG 전문가들이 조직의 사이버 보안 거버넌스에 기여할 수 있는 가장 가치 있는 방법 중 하나는 분리보다는 통합을 주창하는 것입니다. 사이버 보안 위험은 기후 위험이나 사회적 위험과 마찬가지로 전략, 운영, 이해관계자 관계, 가치 창출에 영향을 미치는 전사적 차원의 위험입니다. 따라서 이는 다른 중대한 위험을 다루는 것과 동일한 거버넌스 체계 내에서, 동일한 엄격성, 동일한 책임 구조, 동일한 공시 원칙을 적용하여 관리되어야 합니다.
NIST CSF 2.0의 ‘Govern’ 기능은 이러한 통합을 실질적으로 구현하기 위한 구조를 제공합니다. 이는 ESG 전문가들에게 사이버 보안 거버넌스에 관한 올바른 질문을 제기하고, 이에 대한 해답 도출에 실질적으로 기여하며, 조직의 사이버 위험 대응 방식이 환경 및 사회적 위험 대응 방식과 동일한 수준의 거버넌스 품질을 충족하도록 보장하는 프레임워크를 제공합니다.
CSF 2.0에 ‘Govern’ 기능이 추가된 것은 단순한 기술적 업데이트가 아닙니다. 이는 ESG 전문가들이 자신의 거버넌스 전문성을 발휘하여 우리 시대의 가장 중대한 위험 분야 중 하나에 기여할 수 있도록 하는 기회입니다.
핵심 요점: CSF 2.0의 ‘거버넌스(Govern)’ 기능은 조직적 맥락, 리스크 전략, 역할과 책임, 정책, 감독 및 공급망 리스크를 포괄하며, 이는 모두 ESG 전문가들이 이미 전문성을 갖추고 있으며 적극적으로 참여해야 할 분야들입니다.