우버 전 CISO가 유죄 판결을 받으면서 CISO들의 책임은 더 막중해졌다. 너무 막중해서 CISO를 우리가 지켜줘야 할 때가 되었다.

[보안뉴스 문정후 기자] CISO로 지내기에 매우 어려운 시기다. 지난 몇 주간 보안 업계는 우버와 관련된 이야기들에 많은 관심을 가질 수밖에 없었다. 장난 같기도 하지만 그냥 웃어 넘기기 힘든 해킹 사고와, 전 CISO인 조 설리반(Joe Sullivan)이 과거 해킹 사고와 관련하여 유죄 판결을 받는 일이 연달아 터졌기 때문이다. 우버 한 회사의 사정을 넘어 CISO의 위치에 있는 많은 사람들이 자기 일처럼 지켜볼 수밖에 없는 일이었다.


설리반은 해킹 사고 수사를 방해하고, 사건을 은폐하려 하던 것 때문에 결국 유죄 판결을 받았다. 뉴욕타임즈에 의하면 판결을 맡았던 스테파니 하인즈(Stephanie Hinds) 판사는 당시 판결문을 통해 다음과 같이 말했다고 한다. “대중에게 공개되어야 할 정보가 회사의 이익을 더 먼저 걱정한 임원진에 의해 감춰진다는 건 있을 수 없는 일입니다. 그것은 사용자보다 자신의 고용주를 더 보호하겠다는 태도나 다름 없기 때문입니다. 이는 연방법에 의해 처벌의 대상이 될 수 있는 행위입니다.”

이 판결문은 모든 CISO, 그게 아니라면 최소한 미국 국내법 아래서 일하는 모든 CISO들에게 강력한 메시지를 전달한다. 정보 침해 사고가 발생했을 때 CISO가 가지고 있는 선택지는 딱 두 가지라는 것이다. 그건 바로 실직 위험을 무릅쓰고 사고를 공개하거나, 감옥에 갈 위험을 무릅쓰고 사고를 감추는 것이다. 실제로 전자를 택한 설리반은 우버에서의 사건을 감춘 후 실리콘밸리의 큰 회사들을 옮겨 다니며 승승장구했다. 그가 사고를 있는 그대로 밝혔다면 아마 우버에서도 해고가 됐을 가능성이 높다. 다른 회사에서의 취업도 불투명했을지도 모른다. 하지만 감옥에는 절대로 안 갔을 것이다.

숨겨진 메시지가 하나 더 있다. 사고에 대한 증언을 해야 하는 CISO의 입장에서 “어디까지 상황을 파악하고 있었는가?”라는 질문에 신중하게 대답해야 한다는 것이다. “나는 몰랐습니다”라는 답은 더 이상 받아들여지지 않을 가능성이 높아졌기 때문이다. 법원은 앞으로 CISO의 몰랐다는 답을 직무태만이나 거짓말, 둘 중 하나로 받아들일 것으로 보인다. 아니, 법원만이 아니라 온 세상이 그럴 것이라는 게 더 적절한 설명일지도 모르겠다. 게다가 최근 보안 도구들의 성능을 보건데, CISO가 몰랐다고 답할 만한 사안은 거의 남아 있지 않다.

설리반 사건 때문에 CISO들의 입장이 꽤나 빡빡해진 것이라고 볼 수 있다. 그렇다면 CISO들은 어떤 일을 더 담당해야 하는 걸까? 이런 법정과 인식의 변화는 공정한 것일까? 먼저 공식적으로 추가되는 CISO의 임무에 대해 살펴보자. 미국의 ‘사이버 보안 사고 공개 규정’에는 다음과 같은 내용이 덧붙을 예정이다.

1) 증권거래위원회의 관리 감독 하에 있는 기업들의 경우, 사건을 인지한 날로부터 근무일 기준 4일 안에 구체적인 사건 정보를 SEC에 보고해야 한다. 
2) 사건을 인지한 후에는 최대한 빠르게 해당 사건의 구체적인 사항들을 확인하고 알아내야 한다.
3) 모든 기업들은 정보 공개 절차와 통제 방안을 마련하여 필요한 모든 정보들이 제 시간에 적절한 자에게 전달되도록 해야 한다. 
4) ‘사이버 보안 사고’란, 기업의 정보 시스템들을 통해 혹은 시스템 상에서 나타나는 비승인 현상 중 기업의 정보나 시스템 내 존재하는 모든 정보의 기밀성, 무결성, 가용성을 위협하는 것들을 말한다.

필자는 인생의 대부분을 보안 전문가로 살아왔다. 특히 해커들을 얼씬도 못하게 할 방법들을 고민하며, 그런 기능을 가진 도구들을 만드는 데 많은 시간을 투자했다. 당연히 CISO들의 입장이라는 것을 항상 생각하며, CISO의 위치에 스스로를 대입해가며 일처리를 할 때가 많았다. 우버의 사건이 터지고 CISO들로부터 사람들이 기대하는 바가 크게 달라진 지금, CISO들을 위한 보안 도구를 평생 만들어 온 입장에서 CISO들을 도울 수 있는 일들을 몇 가지 제안하고자 한다.

1) 모든 위험 상황에서 경보를 울리는 도구들을 찾아 제거하라. 경보를 기반으로 한 보안 운영의 시대는 지나갔다. 특히 아주 작은 가능성 하나하나까지 위험하다며 적색경보를 발령하는 도구들은 오히려 보안 강화와 상황 대처에 해가 될 때가 많다. 이제는 솔직히 인정해야 한다. 우리는 그 어떤 규모의 보안 팀이라고 하더라도 모든 위험 가능성을 다 검토하고 다 다룰 수 없다. 실시간으로 들어오는 공격을 일찌감치 파악해 제어하는 게 더 중요하다. 

2) 보안 아키텍처를 개편해야 한다. 이제 CISO들은 아주 빠른 시간 안에 공격을 탐지하고, 분석하고, 피해 규모를 파악해야 하는 입장에 놓이게 됐다. 당연히 모든 설정 오류들 역시 미리 찾아내 해결해야 한다. 규정만 빡빡하게 바꿔놓는다고 갑자기 이게 되는 건 아니다. 보안 소프트웨어 스택들을 개편하고 활용 방식과 전략에 변화를 줘서 늘 해커들보다 앞서갈 수 있도록 해야 한다. 새로운 역할과 책임을 부여했으면 새로운 무기를 손에 쥐어줘야 한다는 뜻이다. 흔한 진리이지만 생각보다 이걸 제대로 지켜주는 기업은 많지 않다.

3) 위에서 필자는 데이터 사고가 터졌을 때 CISO가 택할 수 있는 선택지가 두 가지라고 했다. 그런데 감옥을 가는 것도 좋지 않은 결과지만 실직하는 것 역시 지옥과 같은 결과가 될 수 있다. 어느 쪽을 택해도 CISO들은 좋지 않은 상황에 처할 가능성이 높다는 것이다. 그렇기 때문에 CISO가 아닌 나머지 우리 모두가 정부의 법 제정 과정에 관심을 가지고 있어야 한다. 사용자를 보호하는 것도 좋고 데이터를 보호하는 것도 좋지만 CISO들도 보호할 수 있는 법과 규정이 필요한 것이다. 회사에서 발생한 데이터 침해 사고에 대해 감독 기관에 알려도 실직하지 않을 수 있는 법이 지금으로서는 절실하다. 이게 보장되어 있다면 그 어떤 CISO라도 설리반과 같은 실수를 하지 않을 것이다.

4) 보안 강화의 목표를 구체화 하고 통일해야 한다. ‘보안 강화’라는 말은 듣기 좋은 수사이고 꼭 필요한 목표이긴 하지만 그 범위가 너무 넓어서 그 자체로는 아무런 의미를 갖지 못한다. 보안 강화에 조직의 최고 자리에 있는 사람부터 어제 입사한 직원까지 빠짐없이 참여해야 하는데, 그 최종 목표가 이렇게 텅 빈 단어로 남아 있다면 참여하고 싶어도 참여하지 못한다. 정확히 무엇을 어떻게 강화하고 싶은지 구체적이고 세부적으로 정하여 모두가 정확히 같은 목표를 향해 달려갈 수 있도록 해야 한다. 그렇게 했을 때 우리 CISO들은 힘을 얻게 된다. 

글 : 첸 버산(Chen Burshan), CEO, Skyhawk Security
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>