인터넷과 네트워크 기술을 사용하는 모든 조직들은 이제 해킹 면역력을 기본적으로 갖춰야 한다. 너무나 많은 악의들이 사이버 공간 곳곳에 도사리고 있기 때문이다. 이제 그 면역력, 혹은 리질리언스라는 개념에 대해 좀 더 명확히 짚어 보자.

[보안뉴스 문정후 기자] 사이버 리질리언스란 무엇일까? 각종 사이버 위협을 예상하고, 대비하고, 대응하고, 피해로부터 빠르게 복구할 수 있는 능력을 말한다. 이상적으로 봤을 때 사이버 리질리언스를 갖춘 조직은 이미 널리 알려진 위협과 미지의 위협 모두에 대처할 수 있어야 한다. 뉴욕알바니주립대학의 강사 데이브 애드킨스(Dave Adkins)는 “어떠한 상황에서도 정상 영업 상태를 유지할 수 있는 게 사이버 리질리언스”라고 표현하기도 한다.


날마다 새로운 해킹 기술과 해킹 그룹이 출현하는 지금, 사이버 리질리언스는 모든 기업들의 필수 덕목이다. 대기업이나 중요 국가 기관만 해킹하는 시대는 이미 오래 전에 지나갔다. “바로 어제 사업자 등록한 1인 기업부터 세계 1위 기업까지 모두가 잠재적 공격 대상입니다.” 보안 업체 딥인스팅트(Deep Instinct)의 수석 분석가 제러드 파이커(Jerrod Piker)의 설명이다. “게다가 상위 해커들의 기술이 빠르게 아래로 전파되는 흐름이 형성되기도 했지요. 다시 말해 모두가 ‘그냥 잠재적 공격 대상’이 아니라, 모두가 ‘고급 해커의 공격 대상’인 겁니다.”

좀 더 큰 규모에서 말하자면 사이버 리질리언스를 갖춘 기업이란, 사이버 공격을 막 받는 와중에도 핵심 서비스와 기능을 정상적으로 가동시킬 수 있는 기업이다. 동시에 마냥 공격을 받는 것이 아니라 피해와 충격을 최소화 하기 위한 조치도 취할 수 있어야 한다. 이는 디지털 서비스 업체 웨스트몬로(West Monroe)의 사이버 보안 국장 데이비드 채독(David Chaddock)의 표현법이다.

“그저 복구 시간 좀 단축시키고 위협에 당할 확률을 낮춘다고 사이버 리질리언스라고 표현할 수 있는 건 아닙니다. 진짜 사이버 리질리언스를 갖춘 기업은 새로운 보안 장치, 기술, 규정, 표준 등에 빠르게 적응하여 기업 운영에 부드럽게 반영할 수 있는 기업입니다. 기술적이든 문화적이든 업무적이든, 모든 면에서 마찰을 최소화 한 채 말이죠.자꾸만 변하는 보안 상황에 대한 적응 능력도 리질리언스에 포함되는 개념임을 기억해야 합니다.”

한편 국립사이버보안센터(National Cybersecurity Center)의 CSO인 마크 웨더포드(Mark Weatherford)는 “사이버 리질리언스를 갖추려면 사이버 위협의 지형도를 반드시 이해해야 한다”고 강조한다. “세계 모든 지역, 모든 나라, 모든 기업이 동일한 수준의 위협에 노출되어 있지 않습니다. 위험 수위가 극심한 곳이 있고 비교적 평온한 곳이 있죠. 그러니 모든 조직이 날을 바짝 세워서 경계 근무를 설 필요는 없습니다. 자기의 상황에 맞게 사이버 리질리언스를 갖추는 게 효율적이고 중요합니다.”

사이버 리질리언스를 위한 계획 수립
사이버 리질리언스를 기획하려면 금융, IT, 운영, 마케팅 등 조직 내 모든 부서들의 의견을 듣고 각자의 현황을 알고 있어야 한다. 파이커는 “모든 부서가 유기적으로 협조해서 어떤 부서가 어떤 정보를 주로 다루며, 그러므로 어떤 위협에 보다 더 노출되어 있는지 파악해 서로에게 알려줘야 한다”고 강조한다. “그래야 누가 어떤 부분에서 책임자가 되어야 하고, 기술적으로 어떤 통제 장치가 마련되어야 하는지를 정할 수 있습니다. 부서 간 협조 없이 한 사람이 이걸 하면 실상과 다른 결과가 나오거나 시간이 매우 오래 걸립니다. 그러므로 예산이 불필요하게 낭비될 확률이 높습니다.”

애드킨스도 “IT 및 기술 담당자들에게만 맡겨서 될 문제가 아니”라는 걸 강조한다. “회사 내 정보를 사용하는 모든 사람은 물론, 외부 파트너사들과 벤더들까지도 협조를 해서 잠재적 위험 요소들과 공격 시나리오를 최대한 많이 발굴하는 게 중요합니다. 이건 한두 사람이나 한두 부서가 다 파악할 수 없는 것입니다.”

그러면서 애드킨스는 “원격 근무나 하이브리드 근무 체제가 보편화되고 있기 때문에 모든 사람들의 참여를 바탕으로 사이버 리질리언스를 기획하는 게 더더욱 중요하다”고 말한다. “그런 참여 과정에는 보안 인식 제고 훈련과 교육도 포함됩니다. 사람의 인식이 바뀌지 않으면 그 어떤 리질리언스 프로그램도 소용 없게 됩니다.”

내부의 적
웨더포드는 “사이버 리질리언스가 위협에 대한 조직 전체의 대응력을 강화하는 것인데, 그 위협이라는 건 외부가 아니라 내부에 가장 많다”고 지적한다. “리질리언스를 구축하는 데 가장 방해가 되는 건 다름 아니라 내부 인원의 무관심입니다. 솔직히 누구나 보안이 중요하다고 말은 하는데, 실제로 관심을 가지고 있는 사람은 극소수입니다. 임원진이나 일반 직원이나 ‘누가 나를 공격하겠어?’를 강하게 믿고 있습니다. 그저 법을 어기지만 않을 정도로, 벌금만 내지 않을 정도로 보안 시늉만 내면 충분하다고 여기죠. 그런 마음가짐이 리질리언스를 불가능하게 만듭니다.”

그러면서 웨더포드는 그런 무관심의 증거로 모의 해킹을 통해 현재의 보안 상태를 정확히 점검하려는 회사가 소수에 불과하다는 걸 제시한다. “지금 상태로 충분하다고 믿으니, 모의 해킹 테스트 같은 건 괜히 긁어서 부스럼 내는 꼴이라고 생각할 수밖에 없죠. 문제가 있긴 있을 거라고 생각하지만 모르고 넘어가고 싶은 겁니다. 아직 이런 마인드를 가지신 경영진이 대다수입니다. 보안이 중요하다고 각종 설문 조사에 답하는 건, 그런 답을 해야만 한다는 걸 어디선가 학습했기 때문입니다.”

채독도 여기에 동의하며 “사실 보안 인식은 성장하지 않았다고 본다”고 말한다. “보안의 명제는 늘 동일합니다. 모두가 참여해야 조직이 진정으로 탄탄해질 수 있다는 것 말이죠. 그렇기 때문에 한 사람이라도 무관심하면 보안은 성립되지 않습니다.” 채독은 다음 5가지 요소가 있어야 사이버 리질리언스를 갖출 수 있다고 설명한다.

사이버 리질리언스를 갖추기 위한 5단계
1. 명확한 전략 : 사이버 리질리언스의 목표를 명확하고 구체적으로 수립하고, 모두가 이를 분명하게 이해할 수 있도록 한다.

2. 거버넌스 : 모두가 이해했으니 모두가 좋은 마음으로 기꺼이 참여할 거라고 기대해서는 안 된다. 신뢰하되, 확인도 해야 한다. 보안 실천 사항을 제대로 지키고 있는지, 구축한 보안 기술이 제대로 작동하는지 항상 모니터링하고 확인함으로써 ‘데이터에 근거한 신뢰’가 쌓여야 한다. 이는 조직 전체적인 거버넌스를 통해 이뤄내야 한다.

3. 강력한 협업 체계(문화) : 강조했다시피 사이버 보안은 모두의 참여가 있어야만 제대로 수립되는 성질의 것이다. 사이버 보안을 기획하고 수립하고 결정하는 데 있어 모두가 참여해야 한다. 그러므로 누구나 보안에 대해 한두 마디 할 수 있어야 하고, 그럴 마음이 생기도록 하는 문화가 뒷받침 되어야 한다.

4. 총괄적인 접근법 : 사이버 리질리언스는 어떤 특정 요소나 시스템, 부서의 문제가 아니다. 조직 전체의 강화를 의미한다. 그러니 특정 트래픽이나 애플리케이션, 데이터센터만 염두에 두는 것이 아니라 회사 전체의 사업 방향과 업무 프로세스 등도 반드시 고려해야 한다.

5. 훈련 : 아무리 좋은 기획이 있어도 훈련하여 체득하지 않으면 아무런 효과를 발휘하지 못한다. 모두가 참여하여 파악한 것으로 모두가 수긍할 만한 전략과 대책을 마련했다면 모두가 훈련에도 참여할 기회를 받아야 한다. 특정 상황에 대처해 본 경험이 있느냐 없느냐는 실제 사건 대응 시간 단축을 좌지우지한다.

글 : 존 에드워즈(John Edwards), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>