• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버 공격이 시작됐을 때 허둥지둥 움직이지 않으려면 2023.05.02

사이버 보안 상황이 발생했을 때 냉정하고 차분하게 진두지휘 하는 건 모든 CISO들의 꿈일 것이다. 그 꿈은 그리 먼 곳에 있지 않다. 몇 가지만 기억하면 누구나 차분한 CISO가 될 수 있다.

[보안뉴스 문정후 기자] 사이버 공간에서 벌어지는 위기 상황은 다른 유형의 위기 상황과 크게 다르다. 먼저 사건 전개의 속도가 어마어마하게 빠르고, 벌어지는 일들이 보이지 않기 때문이다. 예를 들어 지진이라는 상황이 닥치면 우리는 벽이 무너질 수 있다는 것을 알고 대처한다. 화재 발생 시에는 소방서에 주소를 넘겨준다. 사이버 공격이 벌어지면? 갈피를 못 찾는다.

[이미지 = utoimage]


사이버 공격도 지진이나 화재만큼 빠른 대처가 필요하다. 그래야 피해를 최소화 할 수 있기 때문이다. 미국의 로펌 폴바이스(Paul Weiss)의 파트너 존 칼린(John Carlin)은 “빠르던 느리던 결정을 취해야 하긴 하는데, 이왕이면 빠르게 결정을 내리는 것이 피해를 최소화 하는 데 도움이 된다”고 설명한다.

“아무것도 모르는 상황에서 빠르게 대처할 수 있는 사람은 아무도 없습니다. 어떤 일이 벌어질지에 대한 상황 대응 계획을 미리 갖추는 게 그래서 중요합니다. 그러면 ‘아무것도 모르는 상황’이 ‘예상했던 상황’으로 전환되니까요. 그것만으로도 결정을 내리고 움직이는 시간이 확 줄어들죠.”

미리 준비할 것들은 여러 가지다. 랜섬웨어 공격자에게 돈을 지불해야 할 수밖에 없는 상황에 처할 것에 대비해 비트코인 지갑도 미리 만들어 둔다거나, 외부 랜섬웨어 협상 전문가와 미리미리 관계를 형성하고, 틈나는 대로 보안 사건과 대응 방식에 대한 강연을 듣는다거나, 내부 인력을 대상으로 ‘사이버 민방위 훈련’을 주기적으로 진행하는 것 등이 있다고 그는 설명한다.

CVS헬스(CVS Health)의 CISO인 찬드라 맥마혼(Chandra McMahon)은 “아주 사소한 디테일이 커다란 차이를 만든다”며 “꼼꼼한 계획과 훈련을 반복함으로써 대응의 속도와 정확도를 높여야 한다”고 강조한다. “속도와 정확도를 높이기 위해서는 사건 대응을 전담하는 사람이 정해져 있어야 합니다. 그리고 그 사람을 구심점으로 해서 사건 대응 훈련을 반복해야 하지요. 한 가지 팁이 있다면, CEO가 사건 대응 전담자가 되면 안 됩니다. 사이버 보안 지식을 갖춘 사람이 적절합니다.”

인간의 행동 패턴과 ‘와일드카드’
맥마혼은 “와일드카드를 준비하는 것이 좋다”고 권하기도 한다. “사이버 위협이나 공격이 어떤 모양을 가지고 들어올지 예측하기란 불가능합니다. 대신 사람의 행동 패턴이라는 건 꽤나 예측을 정확히 할 수 있지요. 사건이 터지면 사원들은 어느 정도 그 사건의 해결에 동참하고 싶어 합니다. 사람마다 정도가 다르긴 해도 그 사건에 관심이 쏠리는 건 당연하다시피 한 사람들의 해동 패턴입니다.”

그래서 일부 직원들이 권한도 없이 매체와 인터뷰를 하거나 고객들에게 회사 상황을 알리기도 한다. 회사에 해를 끼치려 한 건 아니지만 결과적으로 그렇게 될 가능성이 무척 높은데, 이는 결국 정보를 누군가에게 발설할 때 필요한 권한에 대해 잘 이해하지 못하고 있어서 그런 것이라는 게 맥마혼의 설명이다.

그렇기 때문에 회사 내부 사정을 외부에 알린다는 것에 대한 법적 교육이 필요하다고 레이시온(Raytheon)의 CISO 브래드 마이오리노(Brad Maiorino)도 강조한다. “저는 법무 팀을 보안 팀의 일원이라고 늘 생각하고 있습니다. 결국 보안 사고 대응은 법과 규정에 크게 좌지우지되는 문제거든요.”

사건 대응은 기업 가치를 반영해야 한다
앞서 밝혔지만 사이버 사건이 터지면 다들 우왕좌왕 하게 된다. 그럴 때 ‘기업이 추구하는 가치’가 적절한 기준이 되어 줄 수 있다. 브런스윅그룹(Brunswick Group)의 사이버 보안 파트너인 시오반 고먼(Siobhan Gorman)은 언더아머(Under Armour)라는 스포츠 의류 업체에서 있었던 일을 예로 든다.

“큰 침해 사건이 터지는 바람에 해결해야 할 것들이 갑자기 산더미처럼 불어났죠. 너무 많아서 어디서부터 시작을 해야 할지 의견이 분분했어요. 그 때 회사 측에서 ‘우리 회사가 추구하는 가치를 생각하자’고 말했어요. 투명성과 선수 보호였죠. 그래서 1억 5천만 명이 넘는 고객들에게 사건에 대해 알리고 위험 완화 방법을 알려주는 일을 가장 먼저 처리했습니다. 총 4일이 걸리더군요.”

마이오리노는 “고객 위주로 생각하는 게 지름길”이라는 입장이다. “제 개인적인 의견이긴 하지만 대체적으로 고객 보호를 우선시 하는 CEO들이 사건 처리를 훨씬 깔끔하고 안정적으로 하더군요. 회사부터 생각하는 CEO들의 대응 방식은 오히려 사건을 복잡하게 만드는 경우가 많았고요. 회사가 고객인 나를 먼저 생각하느냐 아니냐는 고객들이 제일 잘 느낍니다.”

글 : 베키 브래큰(Becky Bracken), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>