새로운 해가 다가오고 있다. 새로운 공격의 기법과 주체들도 속속 등장할 것이 뻔하다. 그러므로 지금부터 보안을 강화하기 위한 계획을 수립하는 게 중요하다. 지금 잘 해 두면 앞으로 12개월이 편해질 수 있다.

[보안뉴스=존 에드워즈 IT 칼럼니스트] IT 분야에서 나타나는 현상들은 예상 가능한 것들도 있지만 그렇지 않은 것들도 있다. 확실한 예상이 가능한 것 중 하나는 2024년에도 사이버 공격자들은 계속해서 공격하고 침해하고 괴롭힐 거라는 것이다. 다행히 이를 방어할 방법이 없는 건 아니다. 완벽하지는 않을지라도, 우리에게는 충분한 방어의 기술과 능력과 경험이 있다. 그렇기 때문에 조금만 능동적으로 대비를 한다면 피해를 예방할 수 있다. 이 ‘능동적 대비’라는 것을 여섯 가지로 정리해 보았다.


1. 총체적인 사이버 복구 계획을 수립한다
기술 연구 및 컨설턴트 기업인 ISG의 수석 보안 컨설턴트인 제이슨 스태딩(Jason Stading)은 “해킹을 당하면 안 된다는 걱정은 많이들 하는데 의외로 계획을 세워 방어력을 높이는 실질적인 노력을 하는 기업은 많이 없다”고 지적한다. “계획이라는 게 대단히 거창한 게 아닙니다. 현대의 보안 위협 트렌드를 파악하고 대응 방법을 미리 강구하는 것입니다. “최근 해커들이 어떤 공격을 주로 하는지를 알고, 그것을 실질적으로 대입하면 부족한 부분이 무엇인지 알게 됩니다. 그러면 그걸 보완할 방법을 마련해야 하는 것이 ‘보안 계획 수립’입니다.”

그러면서 스태딩은 “특정 사건을 검토할 때마다 보호, 예방, 탐지, 대응, 복구의 모든 절차를 검토하는 게 중요하다”고 짚는다. “그렇게 한 후에는 실제 시뮬레이션을 해 보고 세워둔 대책의 허점을 다시 한 번 찾아내는 작업을 하는 게 중요합니다. 한 번 세워둔 계획이 완벽할 가능성은 낮거든요. 수립한 계획을 수정하는 것까지 하는 게 ‘계획 수립’이라고 보면 됩니다.”

2. 예상하고 연습하고
보안 업체 엑소니어스(Axonius)의 수석 국장인 댄 트로너(Dan Trauner)는 “사업 연속성을 확보하는 것에 초점을 맞춰 복구 계획을 수립하고, 수립한 계획을 여러 번 연습해 보는 것이 중요하다”며 “이런 과제들이 선행되면 여러 상황에서 조직 차원의 반응 속도가 빨라질 수 있다”고 강조한다. “다양한 상황을 고려하는 것이 핵심입니다.”

지금 많은 기업들이 가지고 있는 문제의 핵심은 “보안에 대한 잘못된 자신감을 가지고 있는 것”이라고 트로너는 강조한다. “자신감의 근거는 최근 보안 솔루션을 새로 구매했다거나 위반하고 있는 규정이 없다는 것입니다. 여기에 하나 더 하자면 ‘우리 회사는 유명하지도 않고 돈이 많은 것도 아니라 아무도 공격하지 않는다’는 것 정도가 있을 수 있습니다. 하나 같이 자신감의 근거로서는 잘못된 것들이죠. 충분히 연습과 훈련을 해서 대비가 되어 있다는, 몸으로 느끼는 자신감이 진짜 자신감입니다. 여기에는 우리 솔루션 하나면 모든 걱정이 해결된다는 식으로 광고해 왔던 보안 업체들의 책임도 있습니다. 바로잡아야 할 것 중 하나입니다.”

3. 리스크 분석 프레임워크를 만든다
리스크 분석은 랜섬웨어 공격이나 데이터 침해 등 특정 기술을 기반으로 한 위협들을 다루는 데 유용하다. 여기에 더해 직원들의 과도한 정보 공유라든가 실수, 파트너사의 규정 위반 등 각종 업무 진행 상 발생하는 각종 변수들도 어느 정도 예측할 수 있게 해 준다. IT 인증 업체 콤시아(CompTIA)의 부회장 세스 로빈슨(Seth Robinson)은 “새로운 위협들이 막 생겨나거나 유행하고 있을 때에도 리스크 분석을 통해 대처의 기반을 마련할 수 있다”고 말한다.

강력한 리스크 관리 프로세스를 갖추고 있는 IT 책임자들은 다른 결정권자들이 여러 가지 위험 요소들을 잘 이해하여 최고의 결정을 내릴 수 있도록 도울 수 있다. 그러므로 사업적 측면에서 IT의 쓸모가 굉장히 커진다고 할 수 있다. “사이버 보안이라는 건 왕도도 있을 수 없고, 완벽한 하나의 솔루션이라는 것도 있을 수 없습니다. 그러므로 가장 효과적인 보안은 리스크를 분석하는 것을 위주로 해 다른 기능을 가진 부서들에도 보안으로 인한 이득을 퍼트리는 것입니다. 그렇게 큰 그림을 그려가며 보안 전략을 짜는 게 요즘은 중요합니다.”

4. 자신감을 누적시킨다
보안 업체 액센추어(Accenture)의 사이버 실전 강화 수석인 릭 드리거스(Rick Driggers)는 “조직 차원에서 보안을 강화한다고 했을 때 조직 구성원들의 지식과 경험 증대에 초점을 맞춰야 한다”고 강조한다. “이거 하면 안 되고 저거 해도 안 되는 식으로 보안 규정을 내세우는 건 좋은 보안 강화 전략이 아닙니다. 생성형 인공지능처럼 새로운 기술이 등장했을 때, 이와 관련된 지식과 경험을 강화시켜 주는 게 보안의 역할이어야 해요. 보안이 이런 기술들에 대해 알려줘야 신기술을 안전하게 다루는 법도 같이 전파할 수 있으니까요.”

IT 기술이 계속해서 새롭게 등장하는 것은 보안 담당자들에게 적잖은 부담이 된다. 그리고 실제로 이런 신기술들이 위협이 되는 건 언제나 증명되는 일이기도 하다. “하지만 일반 임직원과 사용자들이 각종 신기술들을 보고 제일 먼저 느끼는 건 호기심입니다. 그런데 그걸 보안을 이유로 사용하지 못하게 하면 당연히 반발심만 생깁니다. 그 호기심을 ‘안전하게’ 충족시키는 게 영리한 보안 강화의 방법이 아닐까 합니다. 온전한 활용법을 가진 임직원들이 보안에 대해 자신감이 생기는 것은 보너스이고요.”

5. 능동적으로 생각한다
보안 업체 사이버인트(Cyberint)의 위협 첩보 수석인 슈무엘 기혼(Shmuel Gihon)은 “보안을 능동적으로 고려해야만 하는 때가 됐다”며 그 이유에 대해 “각종 공격 기술이 증가했을 뿐만 아니라 핵티비즘과 지정학적 갈등 고조로 공격의 동기 또한 기하급수적으로 증가했기 때문”이라고 말한다. “능동적인 보안이란 리스크를 낮추는 전략을 갖추고 실행시킬 때 다양한 위협 시나리오를 적극적으로 생각해내고, 그것들을 하나하나 적용해 해결해가는 것을 뜻합니다. 어떻게 보면 창의적인 마인드로 보안 사고를 상상하는 것과 비슷합니다.”

기혼은 “위협의 빈도와 수위가 갈수록 높아지고 있어 이미 발생한 사건에만 대응하는 수동적 자세로는 도저히 감당할 수 없다는 걸 방어자들이 기억해야 한다”고 강조한다. “이제 보안 사고를 허용한다는 것 자체로 기업은 많은 것을 잃을 수 있는 시대입니다. 소비자들 역시 보안에 민감하기 때문이죠. 공격은 열대 폭풍처럼 강한 비바람처럼 쏟아지는데 머리 위로 우산만 펴서는 안 된다는 겁니다. 적극적으로 주변을 살펴 보다 안전한 곳으로 대피할 필요가 있습니다.”

글 : 존 에드워즈(John Edwards), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>