2024년이 안전한 해가 될 확률은 확실히 말해 제로다. CISO들의 할 일이 산적해 있다는 뜻이다. 이미 CISO들은 이를 알고 있고, 그래서 여러 가지 새해의 다짐들을 하고 있는 상황이다. 몇몇이 자신들의 결심을 공유해주었다.

[보안뉴스 = 네이선 에디 IT 칼럼니스트] 위기가 계속될 2024년임이 자명한 가운데 IT 분야와 보안 분야의 전문가들의 새해 각오도 남다르다. 특히 팬데믹이라는 기간을 남다른 헌신과 위기감으로 지낸 CISO들은, 본격적인 포스트팬데믹 시대의 시작을 앞두고 다시 한 번 마음을 다잡느라 여념이 없다. 포스트팬데믹이라는 거대한 말 앞에 CISO들은 어떤 결심을 하고 있을까?


시니버스(Syniverse)의 CISO, 저스틴 델포타스(Justin Dellportas)
“저의 새해 결심은 세 가지로 압축됩니다. 회사의 사이버 복구력을 향상시키는 것, 복구력 향상을 위한 계획들을 항시 업데이트 하고 실질적으로 훈련하는 것, 탐지와 예방 활동도 쉬지 않고 하는 것이죠. 복구력 향상을 위한 계획은 아직 다 짜여지지 않았는데 사업 연속성과 재난 대비 및 사건 대응이라는 세 가지를 위주로 수립할 예정입니다.”

“보안 담당자로서 기업의 핵심 가치, 상품, 업무 프로세스를 숙지한다는 건 매우 중요한 일입니다. 그래야 공격 시나리오들의 우선순위를 정할 수 있게 되고, 효율적인 대비를 할 수 있게 됩니다. 모든 위험에 대비할 수는 없어요. 가장 실질적인 것들을 선정해 대처해야 하지요.”

“그러므로 기업의 보안이라는 것은 보안 담당자나 부서에서만 다 이뤄낼 수 있는 것이 아닙니다. 보안과 사업이 깊숙하게 개입되어 있기 때문에, 사업에 참여하는 모든 사람은 결국 보안에 참여해야 합니다. 그런 의미에서 사업이 보안이고 보안이 사업입니다. 이런 마인드가 정착되지 않으면 보안도 사업도 성공할 수 없습니다. 다양한 기능을 담당하는 여러 사업부에서 보안에 적극 참여하도록 유도해야 합니다.”

빌(Bill)의 CISO, 린키 세티(Rinki Sethi)
“2024년, 보안과 IT 분야의 결정권자들은 실질적인 결단의 자리로 내몰릴 것으로 예상하고 있습니다. 보안이 중요하다, 능동적으로 대처하겠다는 말과 이론을 실천한다는 결단 말이죠. 특히 조직 전체를 아우르는 ‘보안 중시 문화’가 정착되지 않는다면 2024년부터 시작될 각종 사이버 위협으로부터 살아남기 힘들 겁니다. 그만큼 위협이라는 것이 그 수준이나 빈도에 있어서 기존의 보안 방식으로 감당할 수 없는 지경에 이르렀다고 볼 수 있습니다.”

“위협들이 이렇게까지 높은 수준에 이르게 된 것은 인공지능을 비롯해 각종 신기술이 등장해 보편화되고 있기 때문입니다. 공격자들이 이런 기술들을 적극 이용하기도 하지만, 일반 기업과 기관들도 이런 기술들을 활용함으로써 업무 프로세스나 서비스, 더 나아가 기존의 조직 정체성까지도 바꾸고 있지요. 과도기라는 겁니다. 과도기에 있기 때문에 빈틈이 더 많고, 그 빈틈을 공격자들이 날카롭게 치고 들어옵니다. 이런 복합적인 현상들로 인해 우리는 그 어느 때보다 위험한 해를 맞이하고 있습니다.”

“그렇다고 기업들이 모든 신기술을 연구해 대책을 마련할 수는 없습니다. 저는 먼저 인공지능부터 시작하려 합니다. 공격자들이 사용하는 인공지능 기술과, 우리가 업무에 활용하는 인공지능부터 알아가고, 그럼으로써 어떤 위협들에 대처해야 하는지를 이해하려 합니다. 그런 후에 올바른 방어 도구들을 갖추고, 알맞은 규모의 투자를 회사로부터 이끌어낼 수 있을 거라고 봅니다. 인공지능이 가진 위험성에 대처하는 훈련이 2024년에 이뤄진다면 다음 해, 다음 신기술에 대한 면역력도 생기게 될 거라고 봅니다.”

판주라(Panzura)의 CISO, 케이티 맥컬로우(Katie McCullough)
“방어력 강화를 위한 새해 결심도 중요하지만 조직 전체의 유연성과, 그 유연성을 바탕으로 한 복구력을 키우는 게 중요한 한 해가 될 거라고 봅니다. 보안 침해 사고 발생 시 충격을 최소화 하기 위한 대책들을 강구하고 실천하는 것이 중요하다는 것이죠. 이는 꼼꼼하고 빈틈없는 사건 대응 계획을 수립하는 것에서부터 시작합니다. 어떤 일이 일어났을 때 어떻게 대처할 것이며, 그럼으로써 사업 행위가 중단되지 않도록 하는 방안을 구체적으로, 시나리오별로 만들어야 합니다. 최악의 상황을 상정하여 준비하는 것이 좋습니다.”

“또 하나 강조하고 싶은 건 리스크에 대한 통합적인 식별 및 평가, 수용입니다. 다시 말해 내가 속한 회사나 기관이 가지고 있는 리스크를 총체적으로 파악하고, 각 리스크들을 평가하여 우선순위를 정하며, 그에 따라 대처를 능동적으로 해나가야 한다는 겁니다. 이런 리스크 관리 시스템이 구축되는 한 해가 되어야 할 겁니다. 조직의 고유한 리스크들을 깊이 이해하면 할수록 예방의 확률이 올라가고, 예방의 확률이 올라가면 갈수록 대응 시간이 단축됩니다.”

“마지막으로 강조하고 싶은 건 ‘심리스(seamless)’입니다. 보안이 너무 많은 불편을 줘서는 안 된다는 겁니다. 사용자의 업무 루틴이라든가, 기업 전체의 사업적 프로세스를 보안 때문에 부정하거나 뒤집는 건 거부감만 유발합니다. 아예 하나도 불편하지 않게, 하나도 보이지 않게 보안을 도입할 수는 없겠지만, 사용자 친화적인 면모에 대한 고민이 깊어져야 합니다. 그래야 모두를 보안에 참여시킬 수 있고, 모두가 보안에 참여해야 조직은 진정으로 강해지거든요.”

멘로시큐리티(Menlo Security)의 CISO, 데빈 에르텔(Devin Ertel)
“저의 새해 결심은 회사의 리스크 평가를 처음부터 다시 하는 겁니다. 최대한 꼼꼼하게 말이죠. 이 과정을 통해 어떤 취약점들이 회사 내에 도사리고 있는지를 완전히 파악하고자 합니다. 그런 후 전략적으로 자원들을 재배치해 이 취약점들을 효과적으로 다룰 예정입니다. 사건이 생기기 전에 미리 나서서 구멍들을 틀어막겠다는 건데, 이것이 2024년부터는 본격적인 보안의 핵심 전략이 되지 않을까 예상하고 있습니다. 이렇게 해야 긴급한 대응도 해낼 수 있으니까요.”

“올해 거의 모든 회사의 CISO들은 회사의 재정 상황에 민감해져야 할 거라고 생각합니다. 리스크 평가이건 능동적 보안이건 결국 예산이 뒷받침 되어야 하는 일인데, 최근 경제 상황이 좋지 않아 기업들이 허리띠 졸라매기에 열중하고 있기 때문입니다. 이런 상황에서 보안이 중요하니 예산을 늘려달라고만 주장해 봐야 씨알도 안 먹힙니다. 이런 상황을 먼저 받아들이고 가장 효율적으로 예산을 활용할 수 있는 전략을 짜는 게 보다 효과적일 거라고 봅니다.”

델리니아(Delinea)의 CISO, 조셉 카슨(Joseph Carson)
“저의 2024년 숙원 사업은 조직 내에서 비밀번호를 완전히 제거하는 겁니다. 적어도 사용자들이 표면상 비밀번호를 가지고 로그인하는 일을 최소화 하려고 합니다. 정 필요하다면 비밀번호를 뒷단으로 숨기기라도 할 겁니다. 비밀번호의 취약성은 이미 널리 알려진 사실이고, 많은 기업들이 이미 비밀번호를 대체할 수 있는 방법들을 모색하고 있습니다. 도입한 곳도 적지 않습니다. 비밀번호보다 더 강력한 보안 도구들을 본격적으로 활용하고자 합니다.”

“또 하나 2024년에 중요해질 거라고 보는 건 규정 준수 문제입니다. 신기술들이 너무나 빠르게 시장에 등장하고 있고, 이 때문에 규정들도 바삐 생겨나는 중이죠. 기업들이 보안의 차원에서 지켜야만 하는 것들이 계속해서 증가하고 있습니다. 보안 담당자들은 이런 규정들을 적잖이 공부하며 한 해를 보내게 될 거라고 생각합니다. 특히 다국적인 사업을 벌이고 있는 회사의 보안 담당자들이라면 각종 규정집과 해설서가 옆구리에서 빠져나오는 시간이 전혀 없을 수도 있습니다.”

온티뉴(Ontinue)의 CISO, 개러스 린달와이즈(Gareth Lindahl-Wise)
“위협들을 정확하게 예상해 놓는 것이 저의 가장 큰 새해 결심입니다. 사이버 공간에 온갖 종류의 위협들이 다채롭게 존재하는 것 같지만, ‘지금 우리 회사’라는 환경에 적용되는 위협들은 생각보다 그렇게 많지도 다채롭지도 않거든요. 보안의 업무 강도가 높다는 말이 자꾸만 나오는데, 그 말이 틀린 건 아니지만, 실질적인 위협들을 선별하지 못하기 때문에 생기는 현상이기도 합니다. 저 역시 그런 보안 담당자 중 한 명이고, 그래서 올해는 좀 상황을 바꿔보고자 합니다. 비현실적인 위협들에 대응할 자원을 아껴서 보안 대처 훈련을 실시하는 게 더 나을 거라고 봅니다.”

“그 다음으로 중요하다고 생각하는 건 보다 적극적으로, 그러므로 선제적으로 보안을 고려하는 사고방식을 조직 전체에 배양하는 것입니다. 우리는 보안을 가장 나중에, 제품이나 서비스를 출시하기 직전에 겨우 생각합니다. 그게 너무 오랜 시간 관습처럼 굳어졌어요. 깨기 시작해야 합니다. 그렇게 했을 때 리스크가 얼마나 늘어나는지를 익히 경험해 왔으니까요. 새로운 제품, 새로운 서비스가 기획될 때마다 보안을 같이 고려하는 게 새로운 표준이 되어야 합니다.”

“개인적으로는 성공의 지표를 새롭게 설정하는 것이 올해의 목표이기도 합니다. 보안이 실패했을 때, 사고라는 가시적인 현상이 나타납니다. 누구나 알 수 있죠. 하지만 보안이 성공했을 때는 어떤가요? 아무런 일도 나타나지 않고, 따라서 아무도 모릅니다. 보안 전문가 자신들도 잘 몰라요. 불공정하죠. 보안 담당자들의 사기를 떨어트리는 중요한 요소입니다. 그러므로 보안의 성공이라는 것을 가시적으로 규정할 방법이나 체계가 필요합니다.”

아노말리(Anomali)의 CISO, 존 브룬스(John Bruns)
“사이버 복구력이라는 게 저의 가장 큰 목표인데, 이는 세 가지 영역으로 나뉩니다. 능동적으로 대비하기, 사업 운영에 관여하기, 사건 발생 시 빠르게 대처하기가 바로 그것이죠. 보안 사건 사고에 능동적으로 대비하기 위해서는 조직 전체의 리스크를 전략적으로 평가할 수 있어야 합니다. 그러면서 각 리스크들에 대한 대처법을 마련해야 하는데, 못해도 2~3년은 걸릴 작업이라고 봅니다.”

“사업 운영에 관여한다는 건 결국 사업 행위를 할 때 사용되는 도구가 무엇이며, 어떤 프로세스로 일들이 처리되며, 사람들이 어떤 방식으로 일을 하느냐를 이해한다는 것을 뜻합니다. 그렇기 때문에 보안이 사업에 관여했을 때 생산성이 떨어지는 게 아니라 오히려 늘어날 수 있습니다. 보안도 강력하고 프로세스도 단축하면서 좀 더 능률적인 최신 기술을 적극 소개하고 도입한다면 말이죠. 이 역시 장기적으로 수행해야 할 계획입니다.”

“사건이 발생했을 때 빠르게 대응하려면 어떻게 해야 할까요? 실제 대응에 참여할 사람들을 늘리고 훈련시키는 것 외에는 왕도가 없다고 봅니다. 내부 인원들을 훈련시키고 교육하는 것도 이런 차원에서 하는 것이죠. 여기에 더해 외부 전문가들과의 교류의 폭도 넓히고자 합니다. 외부의 전문성이 필요한 상황이 얼마든지 발생할 수 있기 때문입니다. 내부에서 모든 걸 다 처리하고 해결할 수 없는데 안에서만 문제를 끙끙 끌어안고 있으면 문제는 악화됩니다.”

에이브포인트(AvePoint)의 CISO, 다나 심버코프(Dana Simberkoff)
“인공지능이 빠르게 우리의 생활 공간으로 들어오고 있는데 우리가 할 수 있는 일은 거의 없습니다. 손놓고 이 현상을 바라보기만 할 뿐입니다. 뭔가 행동을 취해야 할 2024년이라고 생각합니다. 인공지능의 잠재력을 최대한 활용할 수 있게 하되 그 위험성은 최대한 제거하는 게 2024년 보안 전문가들의 중점적인 역할이 될 거라고 봅니다. 이를 위해 보안 전문가와 프라이버시 전문가, IT 전문가와 사업 및 경영 전문가들이 전부 힘을 합해야 할 것입니다. 각자의 입장과 시각에서 가장 효과적이고 안전하며 불만이 적을 정책을 정하고 도입시켜야 합니다.”

“저 역시 개인적으로 인공지능의 안전한 활용을 위한 정책 작업을 본격적으로 진행하는 것을 올해의 목표로 두고 있습니다. 정책을 수립하면서 동시에 신기술을 안전하게 활용하게 하기 위한 일반 사용자 대상의 교육과 훈련 프로그램도 동시에 기획해야 할 거라고 예상합니다. 기술의 등장이 빠른 만큼 우리의 대응도 빨라져야 합니다.”

“인공지능의 안전한 정착을 도울 수 있는 방법 중 하나는 인공지능을 훈련시킬 데이터를 안전하게 관리하는 겁니다. 인공지능에 쓰레기를 넣으면 쓰레기가 됩니다. 좋은 데이터를 넣으면 좋은 결과가 나오고요. 간단합니다. 보안은 원래부터 데이터를 보호하는 일이었습니다. 인공지능은 데이터를 어마무시하게 필요로 하는 기술이고요. 보안이 나서서 지키고 보호해야 할 기술인 겁니다.”

글 : 네이선 에디(Nathan Eddy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>