NIST 사이버 보안 프레임워크란 무엇인가? 그리고 ESG 전문가들이 왜 이에 주목해야 하는가?
이름이 헷갈리는 프레임워크
ESG, 지속가능성 또는 기업의 사회적 책임 분야에서 일하고 계신다면, 위험 관리 위원회 회의나 공시 설문지, 혹은 IT 보안 담당 동료들과의 대화 중에 ‘NIST 사이버보안 프레임워크(NIST CSF)’라는 용어를 접해 보셨을 것입니다. 아마도 기술 팀이 처리할 문제라고 생각하며 고개를 끄덕이고는 넘어가셨을지도 모릅니다.
이러한 가정은 다시 한번 짚어볼 필요가 있습니다. NIST CSF는 전 세계에서 가장 널리 채택된 위험 관리 프레임워크 중 하나이며, 미국 국립표준기술연구소(NIST)가 2024년 2월에 발표한 최신 버전인 CSF 2.0은 실무자들이 수년 동안 이해해 온 사실을 명확히 밝히고 있습니다. 즉, 사이버 보안은 기술적 문제가 아니라 거버넌스 및 위험 관리의 문제라는 점입니다. 그리고 이는 사이버 보안 문제를 ESG 전문가의 전유 영역으로 명확히 규정합니다.
이 글은 NIST CSF가 무엇인지, 어떤 역할을 하는지, 그리고 지속가능성, 거버넌스, 리스크가 교차하는 분야에서 일하는 여러분에게 왜 중요한지에 대해 알기 쉽게 설명한 소개글입니다.
NIST가 실제로 무엇인지
NIST(미국 국립표준기술연구소)는 전 세계 기관들이 기술 관련 위험을 관리하는 데 활용하는 표준, 지침 및 프레임워크를 개발하는 미국 연방 기관입니다. 미국에서 비롯되었음에도 불구하고, NIST CSF는 유럽, 아시아 및 그 외 지역의 민간 기업, 공공 부문 기관, 규제 당국 등에 의해 전 세계적으로 채택되었습니다. 대부분의 관할권에서 법적 의무 사항은 아니지만, 조직이 사이버 보안 위험 관리 접근 방식을 체계화하는 데 있어 사실상 표준으로 자리 잡았습니다.
CSF는 2014년에 처음 발표되었으며, 주로 에너지 그리드, 상수도 시스템, 금융 네트워크 등 중요 인프라 운영자를 대상으로 했습니다. 2018년에는 적용 범위를 확대한 버전 1.1이 이어졌습니다. 2024년에 발표된 버전 2.0은 지금까지 가장 중요한 업데이트입니다. 이 버전은 프레임워크를 모든 규모와 분야의 조직으로 명시적으로 확대하고, 거버넌스와 리더십의 책임성에 대한 중점을 강화하며, 공급망 리스크 관리를 핵심 관심사로 도입했습니다. 이러한 변화로 인해 CSF 2.0은 이전 버전과는 달리 ESG 전문가들에게 직접적이고 실질적인 관련성을 갖게 되었습니다.
여섯 가지 기능 – 간단한 사고 모델
NIST CSF는 6가지 핵심 기능을 중심으로 사이버 보안 위험 관리를 체계화합니다. CSF 2.0에서 이 기능들은 거버넌스(Govern), 식별(Identify), 보호(Protect), 탐지(Detect), 대응(Respond), 복구(Recover)입니다. 이를 일회성 체크리스트가 아닌 지속적인 활동의 순환 과정으로 이해해야 합니다.
‘거버넌스(Govern)’는 CSF 2.0에 새롭게 추가된 기능으로, ESG 전문가들에게 가장 밀접한 관련이 있는 부분입니다. 이는 기업 전반에 걸쳐 사이버 보안 위험을 어떻게 인식하고, 우선순위를 정하며, 관리하는지를 결정하는 조직의 정책, 프로세스 및 책임 체계를 포괄합니다. 이는 리더십, 전략, 문화와 관련된 것으로, 모두 ESG 전문가들이 매일 다루는 영역입니다.
‘식별(Identify)’ 단계는 조직의 자산, 시스템, 데이터 및 이와 관련된 위험(공급망 내 위험 포함)을 파악하는 것을 의미합니다. ‘보호(Protect)’ 단계는 사이버 보안 사고 발생 가능성을 줄이기 위해 마련된 안전 장치와 통제 수단을 다룹니다. ‘탐지(Detect)’ 단계는 사고가 발생했음을 식별하는 절차를 다룹니다. ‘대응(Respond)’ 단계는 조직이 사고에 어떻게 대처하는지를 다룹니다. ‘복구(Recover)’ 단계는 정상적인 운영을 어떻게 복원하고, 발생한 사고로부터 교훈을 얻는지를 다룹니다.
이 여섯 가지 기능은 단순히 기술적 보안 프로그램을 설명하는 데 그치지 않고, ESG 전문가들이 매일 환경 및 사회적 위험에 적용하는 기업 위험 관리 사고방식과 직접적으로 부합하는 위험 관리 라이프사이클을 제시합니다.
사이버 리스크가 ESG 문제인 이유
사이버 보안과 ESG 간의 연관성은 단순한 마케팅 수단이 아닙니다. 이는 모든 산업 분야의 조직들에게 사이버 위험이 얼마나 중대한 문제가 되었는지를 보여주는 것입니다.
거버넌스 측면에서, 사이버 보안은 현재 대부분의 주요 관할권에서 이사회 차원의 책임 문제로 대두되고 있습니다. 미국 증권거래위원회(SEC)는 상장 기업들에게 중대한 사이버 보안 위험과 이에 대한 이사회의 감독 현황을 공시할 것을 요구하고 있습니다. EU의 NIS2 지침은 필수 또는 중요 서비스를 운영하는 것으로 간주되는 조직에서 사이버 보안 실패가 발생할 경우 고위 경영진에게 개인적 책임을 부과합니다. 영국의 기업 지배구조 코드(Corporate Governance Code)와 전 세계의 유사한 프레임워크들은 사이버 복원력을 건전한 지배구조의 구성 요소로 점점 더 많이 다루고 있습니다. GRI, SASB, ESRS 또는 이에 상응하는 표준에 따라 지배구조 공시를 담당하는 ESG 전문가들에게 사이버 보안 거버넌스는 단순한 IT 문제가 아니라 공시 의무 사항입니다.
사회적 차원에서 볼 때, 데이터 유출 및 사이버 사고는 실제 사람들에게 실질적인 피해를 입힙니다. 고객은 자신의 개인정보에 대한 통제권을 상실하게 됩니다. 직원의 정보가 노출되기도 합니다. 필수 서비스에 의존하는 지역사회는 해당 서비스가 중단될 경우 큰 어려움을 겪습니다. 부실한 사이버 보안으로 인한 인적 비용은 노동 관행, 보건 및 안전, 지역사회 영향과 함께 조직의 ESG 위험 평가에 반드시 포함되어야 할 사회적 영향 문제입니다.
환경 측면에서 볼 때, 환경 모니터링, 보고 및 관리 분야에서 기술의 역할이 커짐에 따라 환경 데이터의 무결성은 이제 사이버 보안의 주요 관심사가 되었습니다. 배출량 모니터링을 위해 센서 네트워크에 의존하거나, 환경 규정 준수 보고를 위해 디지털 시스템을 활용하거나, 자원 관리를 위해 연결된 인프라를 사용하는 조직은 환경 정보 공개의 정확성과 신뢰성에 직접적인 영향을 미칠 수 있는 사이버 보안 위험에 노출되어 있습니다.
공통 언어로서의 CSF 2.0
사이버 보안 리스크를 다루는 ESG 전문가들이 직면하는 실질적인 과제 중 하나는 언어의 장벽입니다. 사이버 보안 실무자들은 비전문가들이 해당 주제를 이해하기 어렵게 만드는 전문 용어를 사용합니다. NIST CSF는 바로 이러한 격차를 해소하기 위해 고안되었습니다. 이 프레임워크는 기술적 통제 수단이 아닌 성과와 활동의 관점에서 사이버 보안 리스크 관리를 설명함으로써, 사이버 보안 전문가가 아닌 리스크 관리자, 거버넌스 전문가, 감사인 및 고위 경영진도 쉽게 이해할 수 있도록 합니다.
따라서 이는 여러 팀을 넘나들며 활동하는 ESG 전문가들에게 유용한 공통 언어가 됩니다. 중요성 평가를 위해 조직의 사이버 보안 위험 현황을 평가해야 할 때, CSF 2.0의 6가지 기능은 기술적 배경 지식이 없더라도 올바른 질문을 체계적으로 제기할 수 있는 방법을 제공합니다. 또한 ESG 공시를 위해 사이버 보안 거버넌스에 대해 보고해야 할 경우, 이 프레임워크의 ‘거버넌스(Govern)’ 기능은 보고 내용에 필요한 정보를 체계적으로 정리할 수 있는 구조를 제공합니다.
어디서부터 시작해야 할까
NIST CSF를 처음 접하신다면, NIST 웹사이트에서 무료로 제공되는 ‘CSF 2.0 핵심 문서’부터 시작하는 것이 가장 좋습니다. 이 문서는 체계적이고 읽기 쉬우며, 기술적 사양보다는 실질적인 성과 중심으로 구성되어 있습니다. 또한, ‘CSF 2.0 빠른 시작 가이드’는 소규모 조직이나 이 프레임워크를 처음 접하는 분들을 포함한 다양한 대상에게 접근하기 쉬운 입문 자료를 제공합니다.
하지만 가장 중요한 출발점은 사고방식의 전환입니다. 사이버 보안은 ESG 업무 범위를 벗어난 것이 아니라 그 일부라는 점을 인식해야 합니다. NIST CSF 2.0은 이러한 업무에 체계성과 엄밀성을 부여하는 데 있어 가장 유용한 도구 중 하나입니다. 이 시리즈의 다음 기사들은 CSF 2.0의 구체적인 측면을 보다 심도 있게 다루고 있으며, 매년 업무에서 그 중요성이 커지고 있는 이 프레임워크를 ESG 전문가들이 실전에 적용할 수 있도록 돕기 위해 마련되었습니다.
핵심 요점: NIST CSF 2.0은 기술 매뉴얼이 아닌 위험 관리 프레임워크입니다. 거버넌스(Govern), 식별(Identify), 보호(Protect), 탐지(Detect), 대응(Respond), 복구(Recover)라는 6가지 기능은 ESG 전문가들이 직접 참여해야 하며, 또한 참여할 수 있는 위험 라이프사이클을 설명합니다.