기술만 가지고 데이터나 기업을 완벽히 보호할 수 없다는 사실은 이미 충분히 증명됐다. 최신 솔루션 카탈로그를 잠시 덮어두고 회사 복도를 걸어다니며 다른 부분에서의 위험 요소들을 찾아 해결해야 할 때다. 보안은 이미 IT나 컴퓨터 공학의 범주를 넘어선 지 오래다.

[보안뉴스 문가용 기자] 사이버 보안 업계에서 20년 넘게 근무해 온 사람으로서 필자는 최근 미국 연방 정부에서 보안에 집중하고 있다는 사실을 매우 고무적으로 느끼고 있다. 국방부, 국토안보부, 백악관이 힘을 합해 민간 기업들와 연방 조직들을 단단하게 다듬어 나가고 있으니 감개무량할 지경이다. 이 조직들은 계속해서 보안 가이드라인을 발표하고, 새로운 보안 규정을 만들어나가고 있으며, 이 때문에 보안에 대한 사람들의 인식이 강화되고 있다.


비슷하게, 미국의 증권거래위원회에서도 새로운 보안 관련 규정들을 추가하면서 기업들을 압박하고 있다. 이 역시 예산 정보와 관련된 기업들의 업무 처리 문화를 서서히 바꾸고 있다. 여러 규정들을 지켜가며 기업들의 보안 인식이 강화되는 효과가 나타나는 중이다. 정부가 강하게 밀어붙이는 것처럼 효과적인 변화의 매개는 없는 것처럼 보인다.

하지만 문제가 없지 않다. 기업들이 규정을 지킬만한 준비가 되어 있지 않다는 것이다. 그러므로 위반 사례가 늘어나고 있으며, 주먹구구식으로 규정만 지키는 선에서 보안을 강화하려는 기업들이 많아지고 있다. 보안이라는 게 일종의 규정 지키기로만 인식되고 있다는 것이다. 긍정적인 측면이 있는 가운데, 본질적인 변화에까지 이르지 못한다는 아쉬움이 깊이 남는다.

더 나은 방법은 없을까
보안을 강화하는 데 있어 국가 기관이나 그에 준하는 조직의 강력한 규정은 반드시 필요한 요소다. 하지만 규정에만 의존하기에는 충분치 않다. 부작용이 적잖게 나타난다. 보안을 강화하려면 개별 기업들이 각각 패러다임의 변화를 시도해야만 한다. 다음과 같은 실제적인 변화를 꾀하는 것을 권장한다.

1) 복구력과 방어력을 측정하려면 실질적인 측량 결과가 있어야 한다. 기업의 방어력을 강화해야 한다고 보안 업계는 주구장창 외쳐왔지만, 사실 그 방어력의 실체에 대해서 우리는 구체적으로 설명하지 않고 있다. 튼튼한 기업은 어떤 기업인가? 우리의 언어를 모르는 사람들에게 사이버 보안이라는 측면에서 강점과 약점을 어떻게 이해시켜야 할까? ‘위험합니다! 더 나아져야 합니다!’와 같은 선언들만 가지고는 그 누구도 납득시킬 수도 없고 변화를 가져올 수도 없다.

변화라는 건 비용을 수반한다. 복구력과 방어력을 높이려면 돈이 든다. 임원진들과 결정권자들이 지갑을 열도록 해야 한다. 이들은 지금 시대가 어수선하니 좀 더 회사를 단단하게 만들어야 한다는 모호한 말에 움직이지 않는다. 정확한 수치와, 그 수치들로 구성된 예측이 필요하다. 그래야 어느 정도 돈을 써야 하는지 규모가 나온다. 위험성이나 복구력을 수치로 나타내는 방법에 왕도는 없다. 각 보안 담당자가 창의적으로 접근해야 할 필요가 있다.

2) 기술적인 해결책만 추구하는 건 여러 모로 단점이 많다. 공격자들의 위협은 날이 갈수록 양과 질의 측면에서 발전한다. 그렇기 때문에 새로운 보안 기술을 동원해 대응하려 하는 보안 전문가들이 많아지고 있다. 새로운 솔루션을 구매하고, 새로운 벤더사에게 일을 맡기는 등 ‘기술’에서 답을 찾으려는 움직임들이 활발하다. 하지만 이런 행위는 속이 썩어들어가는데도 포장지만 자꾸 새것으로 바꾸는 것과 다름이 없다. 진짜 구멍은 그대로 남아있는 경우가 많다.

게다가 자꾸만 새로운 솔루션과 장비를 덧붙이는 건 네트워크를 복잡하게 만드는 행위이며, 복잡한 네트워크는 그 자체로 보안 위협이 된다. CISO들은 네트워크를 최대한 단순하게 운영해야 효과적으로 업무를 수행할 수 있다.

새로운 기술을 도입하는 건 중요한 일이다. 하지만 그것만으로는 불충분하다. 사람, 규정, 업무 프로세스, 데이터를 다루는 문화 등 회사를 취약하게 만드는 요인은 다방면에 걸쳐 존재한다. CISO들은 좀 더 넓은 시야를 가지고 문제 해결을 시도해야 한다. 그랬을 때 기술 너머의 것들이 보이기 시작할 것이다. 그런 종합적인 강화가 이뤄져야 보안이 진정한 의미에서 도입됐다고 할 수 있다.

3) 사람에게 집중해야 한다. 기술에만 치우쳐서는 안 된다는 말과 일맥상통하는데, 보안도 결국 사람의 일이다. 아무리 완벽한 기술이 있어도, 그 기술을 사용하는 사람이 실수를 하거나 악의를 가지고 일을 저지르면 아무런 소용이 없다. 결국 그 어떤 조직에서건 보안 강화 작업은 사람으로부터 시작해 사람에서 귀결될 수밖에 없다.

사람에게 집중한다는 건 보안 교육을 실시해야 한다는 뜻이다. 자격증 위주의 전통적인 교육 방법이 여전히 유효하긴 하지만 새로운 방법들도 여러 가지로 시도해보는 게 좋다. 최근 생성형 인공지능 기술이 떠오르고, 각종 랜섬웨어가 기승을 부리면서 전통의 교육 방식만으로는 충분히 대응할 수 없다는 게 증명되고 있기 때문이다. 전통의 공격은 전통의 교육으로 막을 수 있지만, 지금 우리는 새로운 기술로 인한 새로운 공격 기술들을 마주하고 있다는 걸 기억하자.

글 : 맥스 베터(Max Vetter), 부회장, Immersive Labs
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>