공급망과 API를 통한 공격 사나워져...디지털 경제의 맹점 알아야
보안도 사업의 일환이 되어가면서 ‘소통’의 역할 중요해져...인력 확보 난관 예상

[보안뉴스 문가용 기자] 달력의 마지막 장을 넘기는 순간만큼 반성을 하고 계획을 세우기 좋은 때도 없다. 새해엔 좀 더 열심히 살고, 좀 더 운동에 시간을 투자하고, 비타민도 매일 챙기겠다는 생각들이 머릿속을 지나쳐 간 후에는 업무와 관련된 계획들이 새록새록 떠오를 것이다. CISO들도 예외는 아닐 것인데, 이 결심을 돕고자 몇 가지 제안들을 가져와봤다.


리스크와 관련된 소통을 보다 명확하게
소통을 분명하게 해야 한다는 말은 계속해서 나오는 말이다. 보안 위협이 늘어나면서 소통의 중요성은 계속해서 높아지고 있는데, 좀처럼 개선되지 않고 있다. 다행히 지난 몇 년 동안 ‘보안이 중요하다’는 걸 이해시키는 데에는 성공해왔다. 이제 남은 건 ‘이러 저러한 행동이 이러 저러한 이유로 조직 내 위험을 초래한다’는 걸 경영진만이 아니라 모든 부서와 서드파티들에도 알리고 이해시키는 일이다. 공급망 공격이 대두되는 때에 CISO는 조직 내외 관련자들을 하나로 뭉치게 해야 하는 임무를 가지게 되었다. 도원결의를 할 필요까지는 없겠지만 전략적인 접근을 고려해야 한다.

더 크고 효율적인 팀 구성
내년에도 사이버 보안 인력 부족 현상은 지속될 전망이다. 전문가들은 보안 담당자 3백만 명이 모자랄 것으로 예상하고 있다. 이런 때에 CISO들의 주된 과제 중 하나는 제대로 된 팀을 구성하는 일이다. 물론 급여를 결정할 수가 없으니 CISO들이 발휘할 수 있는 힘에도 한계가 있겠지만, 그건 모든 CISO에게 마찬가지인 상황이다. CISO들은 기존 멤버들을 붙잡아두고 훈련시킬 수 있는 방법과, 새로운 인력을 보충할 수 있는 방법에 대해 보다 창의적인 고민을 시작해야 할 것이다. 분야를 넘나드는 훈련 코스 개설, 전형적이지 않은 인재 풀에서 보안 전문가 고용, 현재 회사 구성원 중에서 보안 인력 양성 등이 해외에서는 떠오르고 있는 방법들이다.

컨테이너 다루기
최근 발표된 보고서에 의하면 30%도 되지 않는 기업들이 컨테이너 보안 전략을 구축 및 수립하고 있다고 한다. 컨테이너의 편리함과 유연성을 활용하는 데에는 거침없지만, 이를 안전하게 보호하는 데에는 여러 모로 인색한 것이다. 이 부분은 2019년에 큰 문제로 발전할 것으로 보인다. 그러므로 특히 컨테이너 사용을 시작한 조직의 CISO들은 대책을 마련해야 할 것이다. 먼저는 환경설정 오류나 실수에 대한 방비책이 있어야 한다. 꽤나 단순한 문제 같지만 현재까지 가장 큰 사고를 일으키고 있는 요소 중 하나이면서 동시에 잘 해결되지 않는 골칫거리이기도 하다. 혁신 업체로 손꼽히는 테슬라(Tesla)도 여기에 당했었다.

API가 가진 위험성을 이해하기
디지털 경제 체제가 정착하는 데에 알게 모르게 큰 역할을 담당한 것이 있으니 바로 API다. API는 다양한 애플리케이션, 서비스, 클라우드 등의 서로 다른 자산들을 하나로 붙여주는 아교의 역할을 하고 있다. 하지만 API 사용량이 늘어나면서 보안 위협도 커지고 있다. 올해만 해도 API와 관련된 굵직한 보안 사고가 여러 건 터졌었다. 가장 최근에는 UPS에서 API 설계 오류로 인해 6천만 명의 사용자 정보를 노출시키는 사건이 있었다. 사업을 촉진시키고 소통을 원활히 해야 하는 CISO 입장에서는 디지털 경제에 대한 전체적인 이해를 갖춘 상태에서 API 보안에 접근해야 할 것이다.

늘 어딘가 찜찜하게 하는 것, GDPR
GDPR이 올해 5월 정착하면서 모든 것이 끝났다고 여기는 사람은 CISO 중엔 없을 것으로 보인다. 그리고 진짜로 GDPR은 끝나지 않았다. 오히려 법으로 정착한 이상 더 철저하게 지켜야 할 것이 되었다. 최근 다이멘셔널 리서치(Dimensional Research)에서 조사한 바에 의하면 미국 기업들의 12%만이 GDPR을 준수하고 있는 것으로 나타났다. 영국의 경우는 21%에 불과했다. 다행히 유럽연합에서 엄청나게 큰 벌금을 부과하고 있지 않은데 사실 GDPR 준수 체제를 갖추기 전까지 조금 더 시간을 주는 것과 다름이 없다. 유럽과 가까운 조직의 CISO라면 GDPR에 대한 긴장의 끈을 놓쳐서는 안 된다.

공급망 보호하기
서드파티 공급망을 전부 파악하고 있는 회사는 1/3도 되지 않는다. 하지만 서드파티로 인한 보안 사고를 겪은 회사는 60%에 달한다. GDPR은 서드파티로 인한 사고라고 할지라도 최종적인 사고를 당한 기업이 책임을 피할 수 없다는 내용을 빡빡하게 강조하고 있다. 그러면서 이는 하나의 ‘보안 업계 내 문화’처럼 굳어가고 있다. 내가 만들지 않은 하드웨어 장비나 소프트웨어라고 할지라도, 그것을 통해 혹은 그 제조사들을 통해 들어온 공격으로 내 고객정보가 새나갔다면 나도 책임을 져야 한다는 것이다. 주요 정보를 많이 다루고 있고, 서드파티 가시성을 다 확보하지 못한 CISO라면 이 부분을 시급히 해결해야 할 것이다.

3줄 요약
1. CISO들에게 있어 다가오는 2019년 주요 과제는, 소통, 공급망, API, 인력난.
2. 중장기적인 전략이 필요. 특히 인력난 시대에 사람 확보 문제에 적극 개입해야 함.
3. 디지털 경제에 대한 전반적이고 상세한 이해도 증대시키면 도움될 듯.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>