지금 우리의 IT 인프라는 너무나 비대하다. 둔해서 움직일 수도 없고 더 새로운 뭔가를 기대하기도, 받아들이기도 힘든 상황이다. 다이어트가 필요하다. 커다란 위기들이 다가오고 있는 상황에서, 살부터 빼자.

[보안뉴스 문정후 기자] 올해 세계경제포럼의 가장 큰 주제 중 하나는 ‘다중위기’였다. 여러 개의 위험 요인들이 우리를 둘러싸고 있다는 뜻이다. 그 중에서 ‘사이버 위협’이 세 번째를 차지했다. 2023년 사이버 보안 문제는 여러 기업들이 사업 행위를 하는 데 있어 중요한 주제가 될 전망이다.


실제로 새로운 사이버 위협들은 하루가 멀다하고 등장해 우리의 네트워크와 시스템들을 괴롭힌다. 크고 작은 해킹 그룹들도 그렇지만 아직 위험성과 안전성이 모두 탐구되지 않은 신기술들 역시 위험으로 간주될 수 있을 만한 상황이다. 이미 오래된 문제인 취약점 관리나 BEC 공격, 교묘해지는 랜섬웨어 공격들을 해결하지 못하고 있는데, 각종 위협들이 먼저 자리를 잡아가고 있는 것이다.

규정은 또 어떤가? 여러 국가와 지역에서 강력한 규제들을 앞다투어 마련하고 있다. 기업들로서는 조금만 잘못해도 복구 비용을 상회하기도 하는 벌금을 내야 한다. 유럽연합은 디지털운영회복력법(Digital Operational Resilience Act, DORA)을 마련하여 기업들을 한 차원 더 압박하고 있고, 호주도 사회기반시설보호법을 최근 개정했다. 경제 위기 상황에서 이런 법안들이 자꾸만 등장한다는 것이 기업들로서는 좋은 소식일 리 없다.

이렇게 사방에서 위험이라는 위험들이 죄다 쏟아지는 시대에 기업들은 어떻게 살아남아야 할까? 간소화가 답이다. 지금까지 차곡차곡 쌓아둔 아키텍처와 네트워크 구조, 업무 프로세스와 결정 과정, 각종 애플리케이션들의 스택들을 처음부터 다시 평가하고 버릴 것을 버리고 교체할 것을 교체함으로써 최대한 ‘날씬하게’ 변해야 한다.

‘지금 다 필요한 것들만 유지하고 있다’고 생각할 수 있다. 더 뺄 게 없는데 어떻게 더 간소화 하냐고 물을 수도 있다. 하지만 생각은 실상과 다를 수 있다. 최근 조사를 통해 기업들은 자신들이 보유한 장비와 솔루션의 10~20%만 실제 사용한다는 사실이 밝혀지기도 했다. ‘언젠가 필요할지도 몰라’, ‘한두 번이라도 쓰면 족하다’라는 마음으로 실상은 쓰지도 않은 채 유지만 하는 것들이 기업 내에 어마어마하게 쌓여 있다는 것이다. 회사 내 사정을 다시 한 번 냉정히 평가해 줄일 것을 찾아낼 필요가 있다.

이렇게 했을 때 비용 절감이라는 효과가 즉각 나타날 수 있다. 또한 불필요한 위험 요소들이 줄어들게 된다. 요즘의 소프트웨어들은 다층적 구조를 하고 있고, 여러 가지 요소들로 구성되어 있어 출처를 일일이 추적하고 확인하는 것 자체가 매우 힘든 일이 되고 있다. 게다가 알게 모르게 클라우드 라이선스 비용이 덧붙는 경우도 많아, 사용자 입장에서는 비용 발생의 이유까지도 하나하나 파악이 되지 않는다. 그렇기 때문에 간소화는 더더욱 합당한 답이 될 수밖에 없다.

기업들은 점점 더 사이버 보안 대행 서비스를 많이 이용할 것으로 예상되고 있다. 인력이 채워지지 않고 있으며, 그러면서 필요한 기능을 다 발휘하기가 어려워지고 있기 때문이다. 하지만 그것만이 이유는 아니다. 대행 서비스를 사용했을 때 비용이 절감된다는 면도 존재한다. 아직은 기업 내 보안 부서보다 보안을 전문으로 하는 회사에 전문 인력이 더 많은 게 사실이고, 그러한 실력자들을 회사 내부로 영입해 연봉을 주는 것보다 대행 서비스와의 계약을 통해 전문 서비스를 받는 편이 훨씬 경제적이다. 그리고 네트워크나 인프라, 회사 구조가 더 간단해질 수 있다. 모든 회사가 다 대행 서비스로 나아질 수 있는 건 아니지만, 생각해봄직한 선택지임은 분명하다.

간소화로 깔끔하게
간소화는 기술적 측면에서만 다뤄야 할 주제는 아니다. 회사 차원에서 결정이 내려지는 프로세스 역시 간소화 될 필요가 있다. 사실 이러한 프로세스에 대한 개혁 없이 기술적인 요소들만 ‘다이어트’ 할 수는 없다. 결정 프로세스가 간소화 되어야 예를 들어 사이버 보안 사고가 터졌을 때 긴급 예산을 운영하고, 매체와 유관 기관, 피해자들 및 관련자들에게 제 때 소식을 전하고, 그 외 위기 관리 체계를 발동시킬 수 있게 된다. 이렇게 해야 불필요한 비용이 소비되지 않고, 법적 공방이 벌어졌을 때 내세울 것이 생긴다. 긴급한 상황에서 모든 사안마다 결제에 결제에 결제를 거쳐야 한다면 없어도 될 손해가 발생할 수밖에 없다.

IT 제품을 개발하는 회사들, 즉 벤더사들의 경우 필자는 간소화의 끝이 M&A라고 생각한다. 다시 말해 스위트(suite)라고 불리는 일종의 종합 솔루션 세트를 개발해 출시하는 회사들이 결국에 가서는 승자가 되지 않을까 조심스럽게 예측한다는 뜻이다. 그러려면 여러 개별 솔루션들을 개발하는 스타트업이나 소규모 개발사들을 흡수해야 할 것이다. 그래서 M&A는 당분간 굉장히 활발하게 일어날 것이라고 예상한다.

소비자 입장에서도 지금과 같은 다중위기 및 경제 위기 상황에서는 종합 솔루션을 구매하는 게 훨씬 나은 선택지일 수밖에 없다. 이는 보안 업계에도 적용되는 말이다. 방화벽 따로, 모니터링 소프트웨어 따로, 데이터 보호 소프트웨어 따로, 이메일 보안 소프트웨어 따로 구매하는 것보다 이를 한 번에 패키지로 구성한 솔루션이 시장에서 선호된다는 것이다.

각자의 입장과 상황에 맞게 간소화를 해낸 조직이라면, 훨씬 실용적으로, 그리고 훨씬 유연하게 움직일 수 있게 될 것이다. 제어하거나 관리할 것이 줄어드니 위험성이 줄어들기도 한다. 운영해야 할 프로젝트의 수가 줄어들고, 진짜 써야 할 곳에 투자를 할 수 있게 된다. 공격이 들어왔을 때에도 발빠른 대처가 가능하다. 운영 비용과 인건비 역시 크게 낮출 수 있게 된다. 그러므로 경제 위기의 상황에서 살아남을 가능성이 높아진다.

어떻게 해야 하는가
조직 간소화는 제일 먼저 사이버 자산들을 총체적으로 파악하는 것에서부터 시작해야 한다. 그런 후에 어떤 것이 어느 정도 빈도로 사용되고 있는지, 기능을 100% 활용하는지를 확인해야 한다. 그런 조사를 진행하다 보면 어떤 앱이나 장비를 빼거나 대체해야 하는지 견적이 나온다. 예를 들어 이미지 크기만 조정하면 되는 사람의 컴퓨터에 어도비 포토샵 최신판을 설치해 주고 라이선스 비용을 지급할 필요가 없다. 그런 상황에서는 무료 이미지 편집 툴만 안전하게 확인해서 깔아주면 된다. 이런 지점들을 꼼꼼하게 찾아내는 게 중요하다.

그 다음으로는 위기 상황에 대한 대처 프로세스를 수립하고 간소화 해야 한다. 앞서 밝혔다시피 기업을 둘러싼 모든 지표에 빨간 비상등이 켜져 있는 상황이다. 사이버 보안 문제는 그 중에서도 제일 시뻘건 축에 속한다. 그러므로 언젠가 공격이 반드시 성공하고 우리 회사는 침해가 될 것이라는 확신 속에서 대처법을 마련하는 걸 권장한다. 그것도 빠르게 움직일 수 있는 대처법을 말이다. 보안 사고가 터진 상황에서 조직 전체가 재빠르게 움직일 수 있는 방법이 분명히 존재한다.

이제 막 시작된 2023년이지만 벌써부터 어두운 기운이 감돌고 있다. 2024년과 2025년에 이 어두움이 더 짙어지지 않기를 희망할 뿐이다. 그러려면 지금 우리에게 주어진 위기 상황을 잘 돌파해야 할 것이다. 몇 년 전부터 화제가 된 ‘사이버 리질리언스’가 지금부터라도 갖춰져야 한다. 그리고 그것은 간소화에서부터 시작해야 마땅하다.

글 : 리차드 왓슨(Richard Watson), 글로벌 부문 리더, EY
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>