기업들, 발생 가능성 높은 사이버 위험도 제대로 관리 안 해
사이버 위험 관리 실효성 높이기 위한 4가지 권고사항 정리

[보안뉴스 오다인 기자] 오늘날 비즈니스에는 이상하게 역설적인 부분이 있다. 테크놀로지라는 가장 강력한 사업적 조력자이자 촉매제가 가장 크면서도 보이지 않는 사업적 위협으로 나타나고 있다는 사실이다.


인공지능에 대한 종말론적 판타지를 말하려는 게 아니다. 그보다 사업의 부산물이 클라우드 컴퓨팅과 사물인터넷(IoT)의 시대, 즉 데이터의 시대에 폭발하고 있다는 사실을 말하려는 것이다. IBM CEO 지니 로메티(Ginni Rometty)는 최근 다음과 같이 말했다. “데이터는 세계의 새로운 천연자원이다. 경쟁우위의 새로운 기반인 동시에 모든 전문직과 산업을 탈바꿈시키고 있다.” 그러나 이 모든 것이 진실로 나타날 경우, “사이버 범죄 역시 모든 전문직과 산업, 이 세상 모든 회사에 가장 큰 위협이 될 것”이기도 하다.

이는 타당한 주장이다. 세계 사이버 범죄는 2021년까지 약 6,400조 원(6조 달러)의 비용을 초래할 것으로 예측된다. 그러나 로메티는 실존주의적으로 이보다 더 무섭게 느껴지는 것이 있다고 지적한다. 거의 모든 비즈니스 기능이 디지털화 돼있기 때문에, 클라우드를 이용하는 오늘날의 기업들은 엄청난 속도로 운영되고 있고 이 속도는 앞으로도 계속 높아질 것이다. 게다가 새롭게 사물인터넷으로 연결된 수십억 대의 기기들은 산업 테크놀로지의 모든 면면들로 녹아들어 갈 것이다. 전력망과 풍력 발전용 터빈부터 휴게실의 스낵 자판기까지, 24시간 내내 온갖 종류의 데이터를 생산하면서 말이다. 공격 가능한 지점이 급속하게 확장되고 있기 때문에 우리는 유례없는 수준의 보안 위험에 노출돼 있고, 사실상 모든 기업이 이런 위험에 직면하고 있다. 현재 대부분의 기업이 정보 유출을 탐지하는 데에만 6개월씩 걸린다는 건 놀라울 것이 없다. 최근 우버(Uber)의 정보 유출 사건에서도 보았듯, 기업들은 해킹이 탐지된 이후에도 짧게는 수개월에서 길게는 1년까지 시간을 쓰면서 사건을 덮으려고 노력하기도 한다.

오늘날의 기업들에게 부족한 것은 역동적으로 움직이는 공격의 지점들을 정확하고도 실시간으로 보여주는 가시성이다. 전통적인 보안 툴들은 클라이언트 서버 기술, 온프레미스 데이터센터, 워터폴 방식에서의 소프트웨어 개발 주기 등 이미 오래 전에 사라진 기법들에 맞춰 설계됐다. 현대 IT에서는 릴리스 주기를 분 단위로 생각한다. 시스코(Cisco)의 최신 연구에 따르면, 기업에서의 서드파티 클라우드 애플리케이션의 수가 단 2년 만에 10배 증가했으며 그 중 25% 이상이 위험도가 높은 것으로 나타났다.

또한, 낡은 사고방식은 경영상 실용적인 결정들을 차단하는 경향이 있다. 기업들은 워너크라이(WannaCry)처럼 무작위성 멀웨어 공격에 당할 가능성이 훨씬 더 높은 때에도 국가 지원 공격 같은 초대형 사건들에 집착하는 경우가 더러 있다. 기업들은 스스로를 보호하기 위한 아주 단순한 조치조차 취하지 않는 경우가 너무 많다. 발생 가능성이 높은 위협을 막기 위해서도 충분한 노력을 기울이지 않는 것이다.

그렇다면 경영진이 더 현명하고, 더 전체적인 사이버 위험 관리 방식을 택하게 하려면 어떻게 해야 할까? 이는 현재 알려진 위협과 실제 사이버 정보 유출이 발생했을 때의 위험 사이 격차에 집중하는 것에서부터 시작할 수 있다. (현재 알려진 위협의 경우, 실제로 발생한 사건들이 덜 알려졌을 수 있다.) 네트워크 내 취약점을 스캔하거나 ‘이주의 위협(threats of the week)’에 대응하기 위해 다중의 툴을 도입하는 건 더 이상 현실과는 상응하지 않는 방식이다. 하나의 조치로 모든 걸 때려잡겠다는 방식은 더 이상 실효성이 없다. 모바일과 사물인터넷 기기들은 이런 보안 툴로는 잡히지 않는 선에서 작동하는 경우가 많다. 공공 클라우드 리소스, SaaS 애플리케이션, 산업제어시스템(ICS) 등도 마찬가지다.

기업이 사이버 위험을 효과적으로 관리하기 위한 방법으로 필자는 아래와 같은 사항을 권고한다.

1) 가장 중요한 니즈를 결정하고, 거기에 집중하라. 모든 걸 동등한 수준에서 보호하거나 대응할 순 없다. 당신의 조직에 가장 중요한 것은 무엇인가? CIA라고 불리는 오래된 기준들, 즉 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availabiltiy)은 여전히 좋은 경험 법칙이다.

2) 안전한 애플리케이션 설계에 더욱 집중하라. 애플리케이션을 안전하게 만들 유일한 방법은 애플리케이션을 만들기 시작할 때부터 안전을 고려해 설계하는 것이다. 세심하게 주의를 기울이는 건 설계 프로세스에서 반드시 필요한 부분이다. 설계 과정 전체에 걸쳐 안전성을 고려하는 것이다. 나중에 웹 애플리케이션 방화벽을 사용하면서 안전성을 ‘덧뿌리는’ 식으로는 효과가 없다.

3) 기술적인 적성뿐만 아니라 소프트 스킬(soft skill, 조직 내 커뮤니케이션 능력이나 팀워크 능력 등을 뜻하는 말)을 지닌 사람을 채용하라. 보안 영역으로 들어오면, 대부분의 인력이 다기능적인 역할을 맡게 되고 다른 이해관계자들에게 영향력을 발휘해야 하는 위치에 서게 된다. 가장 취약하거나 가장 외부에 노출된 시스템은 보안 담당 부서의 것이 아니라 그 밖의 부서에서 나타나는 경우가 많기 때문이다. 소프트 스킬은 누군가를 설득해야 하는 상황에서 지지와 동의를 얻어내는 데 필수적인 능력이다.

4) 외부로 노출되는 부분에 대해 더 잘 파악해야 한다. 기업, 협력사, 고객들 사이의 관계성과 접근성 등은 매년 더욱 복잡해져만 간다. 이런 외적인 연결고리들에 대해 완전한 그림을 갖고 있으면서 제어할 수 있어야 한다. 그럴 경우, 기업의 진짜 위험을 이해하는 근간을 마련할 수 있고, 전략적인 기준점을 구축하는 데도 도움을 받을 수 있다.

기업은 모든 측면에서 위험을 갖고 있고, 그 위험은 관리될 수 있다. 사이버 위험 역시 다르지 않다. 새로 나타나는 기술들은 운영 기술이나 오픈소스 소프트웨어 같은 특정한 공격 지점에 집중한다. 진보한 보안 분석과 다기능적 운영 워크플로우는 기업으로 하여금 사이버 위험에 대한 노출 수준을 낮추도록 도와주고, 기업 리더들에게 양적이고 실행 가능한 조치에 기초해 위험을 관리할 수 있다는 자신감을 준다. 스캐너 하나로는 취약점을 식별해낼 수 있지만, 사이버 위험을 진정으로 이해하고 있다면 그 위험의 심각성까지 분석할 수 있다. 해당 위험을 계속 갖고 있기로 결정할 때 무슨 일이 벌어질 것인지, 그리고 사고의 결과가 얼마나 다양하고 심각하게 나타날 것인지 미리 생각해볼 수 있게 한다.

글 : 르노 데레슨(Renaud Deraison)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>