사이버 보안을 강화한다는 말을 다른 말로 바꿔보면 ‘복구력 강화’라고 할 수 있다. 어떤 일이 일어나도 사업을 이어갈 수 있어야 한다는 것이다. 경쟁이 치열해지고 있어 연속성을 유지하는 게 그 무엇보다 중요한 것이 되고 있다.

[보안뉴스=데이비드 몰로니 사이버 솔루션 부문 책임, Aon] 지난 4년 동안 사이버 보안으로 인한 위협들은 상상 이상으로 증가했다. 예를 들어 랜섬웨어의 경우, 2019년 1사분기와 비교했을 때 2023년 7월 기준 1000% 이상 증가했다는 집계 결과가 나오고 있다. 약 3000개 기업들을 조사했을 때 정보 유출을 가장 큰 위험 요소로 꼽고 있는 것으로 나타나기도 했다. 사이버 보안 리스크가 모든 기업들의 고민거리가 되어야 하는 때임이 분명하다.


이런 분위기를 가장 적극 받아들이고 있는 건 현 시점으로 중동이다. 이곳의 기업들은 오랜 시간 사이버 보안에 대한 투자를 꺼려왔었다. 하지만 지금은 아니다. 더 많은 기업들이 보안 업체들과 계약을 맺고 있으며, 사이버 보험에 가입하는 기업 역시 빠르게 늘어나고 있다. 디지털 자산에 대한 보안 대책을 강구하는 게 얼마나 중요한지 깨달아 가고 있다는 걸 알 수 있게 해 주는 지표다. 중동 쪽에서의 이런 흐름은 전 세계로 퍼져나가고 있다.

그러면 어떻게 해야 사이버 보안 위협을 효과적으로 방어할 수 있을까? 어디서부터 시작해야 할까? 필자는 다음과 같이 제안한다.

식별
조직의 ‘체질 강화’는 위험 요인을 파악하는 것부터 시작된다. 공격자가 데이터를 노린다는 건 지나치게 보편적인 말로, 이것만 가지고 보안을 강화하기는 어렵다. 어떤 데이터를 어떤 식으로 노리는지 어느 정도 예상해서 보안 강화의 범위를 좁혀야 효과가 나타난다. 그 기업이 어느 지역에 있느냐, 어떤 산업에 속해 있느냐, 어떤 사업을 주로 하느냐에 따라 이 위험 요인은 천차만별로 달라질 수 있다.

위에서 중동을 예로 들었으니 계속해서 중동을 예로 들자면, 이 지역은 에너지 인프라 관련 산업이 굉장히 발달되어 있다. APT 단체들이라면 당연히 제일 먼저 이 인프라들을 노리게 된다. 그러므로 인프라 관련 산업 내 기업들이라면 가장 높은 수준의 경계를 유지해야 한다. 그 외에 중동 국가들의 많은 돈을 노리는 사이버 공격도 얼마든지 있을 수 있다.

기업들은 먼저 자신들이 주로 활동하고 있는 지역과 국가를 고려하여 리스크를 식별하는 게 좋다. 그런 후 산업의 특성상 있을 수 있는 여러 가지 위협의 종류들을 골라내야 한다. 이런 식으로 구체적으로 위험 요소들을 정리해야 대응도 구체적으로 정립되고 실질적인 효과를 발휘할 수 있게 된다.

완화
우리 회사를 덮칠 수 있는 위험들의 윤곽이 잡혔다면 대응을 시작해야 한다. 이것은 어떤 위협이 식별되었느냐에 따라 천차만별로 달라지므로 이 지면을 통해 모든 것을 설명할 수는 없다. 다만 대책이 세워졌으면 그것을 가지고 계속해서 교육하고 훈련하고 최신화를 꾸준히 진행해야 한다는 건 강조하고 싶다. 특히 사업의 연속성을 유지하는 것에 초점을 맞춰 대응 시나리오를 갖추는 게 중요하다. 그리고 그 대책이라는 개념이 사내 모든 도구, 기술, 절차, 사업 운영 전략 모든 곳에 적용되어야 한다.

이런 식으로 대응책을 적용하다보면 자연스럽게 ‘능동적인 보안’이라는 접근법에 가까워진다. 사실 이것이 2024년부터 모든 조직들이 갖춰야 할 보안의 자세라고 필자는 생각한다. 단순히 능동적인 게 수동적인 것보다 좋아서가 아니다. 능동적으로 위협들을 찾아 미리미리 제거하지 않는, ‘사건이 발생하면 그제야 고치는’ 기존의 보안은 효과가 많이 떨어진다. 필요하기 때문에 능동적인 보안이 요구되는 것이다.

훈련
대응책만 가지고는 아무런 소용이 없다. 머리로 아는 것과 몸을 움직이는 것은 완전히 다른 영역의 일이다. 위험이 무엇인지 파악했고 그에 대한 대책도 마련되었다면 몸이 움직일 수 있도록 해야 한다. 이 단계가 수많은 조직에서 간과되고 있는데, 사실 필자는 각종 사이버 보안 사고가 증가하고 있는 가장 큰 이유가 바로 이 훈련의 부재라고 생각한다. 훈련이야 말로 ‘능동적 보안’의 꽃이라고 필자는 믿고 있다. 조직 전체가 특정 상황을 가정하여 움직일 수 있어야 한다.

조직의 ‘사이버 복구력’이라는 건 사건이 터진 상황에서 조직 전체가 한 방향으로 일사분란하게 움직일 때 나타나는 것이다. 이것은 습득된 이론만으로 절대 나타날 수 없다. 적어도 아직까지는 그런 사례를 보여준 기업은 단 하나도 없다고 필자는 장담할 수 있다. 사건이 터지고 공격자의 협박과 수사 기관 요원들이 실시간으로 날아들기 시작하면 패닉에 빠지며 침착한 사고를 할 수 없게 된다. 수습을 위주로 하는 수동적 보안이 제대로 효과를 발휘하지 못하는 이유 중 하나가 바로 이것이다.

사건 대응력이 좋아진다면
이렇게 능동적으로 보안 강화에 임하는 조직은 시장 내에서 점점 높은 신뢰도를 형성할 수 있게 된다. 파트너사들과 소비자들 모두 변함없이 옳은 대응을 하는 기업들, 그리고 애초에 사고를 잘 당하지 않는 기업들을 신뢰할 수밖에 없다. 이는 보이지 않는 힘이 되며, 가시적 이득으로 이어질 수 있다. 그렇기 때문에 위험이 난무하는 사이버 보안의 현재 상황은 오히려 기업의 가치를 경쟁적으로 올릴 수 있는 기회가 되기도 한다.

이런 관점에서 사이버 보안을 강화하려면 보안이 주는 이득, 기업이 얻는 이득을 장기적인 관점에서 볼 수 있어야 한다. 현재 전 세계적인 경제 상황을 고려해도 그렇고, 지정학적 상황을 고려해도 그렇고, 보안에 대한 투자를 지속시키는 건 생각보다 쉽지 않을 것이다. 그럴 때마다 흔들리지 않는 보안의 힘을 자랑하는 기업들이 시장에서 어떤 대접을 받고 있는지 살펴보는 것을 추천한다. 여러 보안 전문가들의 관점이 실려 있는 칼럼 글들을 이따금씩 읽는 것도 도움이 된다.

결국 중요한 건 사업 연속성이다. 경제 상황이 여유롭지 않아 경쟁은 치열해지고, 그렇기에 한 순간이라도 서비스가 중단되는 게 치명적으로 작용한다. 그 한 순간도 허용하지 않는 게 중요한 사업 목표가 되어야 하고, 그 목표를 이뤄가는 데 직접적인 도움을 주는 건 보안이다. 그러므로 보안은 곧 수익이다.

글 : 데이비드 몰로니(David Molony), 사이버 솔루션 부문 책임, Aon
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>