RSA의 기조 연설자 그로브만이 과학과 숫자의 중요성을 강조했다. 보안 전략을 수립하고 적용하려면 객관적인 수치와 과학적 평가를 기반으로 두고 생각해야 한다는 것이다. “아직 많은 이들이 헤드라인을 보고 느낌과 감을 잡는다”고 그는 안타까워 했다.

[보안뉴스 문가용 기자] 콜로니얼 파이프라인(Colonial Pipeline)이 랜섬웨어 공격에 당했을 때 일간지와 전문지 구분 없이 헤드라인에 이 사건을 내걸었다. RSA 강연에 나선 스티브 그로브만(Steve Grobman)은 이것을 보고 ‘아, 조만간 모든 업계인들이 랜섬웨어 이야기를 하겠구나’라고 생각했다고 한다.


“2021년의 반이 채 지나지 않은 시점인데요, 보안 업계의 거대한 주제가 다시 랜섬웨어로 돌아왔습니다. 마치 처음 보는 것처럼, 랜섬웨어에 모두가 집중하기 시작했다는 겁니다. 이렇게 가장 최근에 일어난 사건에만 우루루 몰리는 걸 반복하다가는 진짜 중요한 걸 놓치게 될 겁니다. 그러면 세상은 더 심각한 위험에 처할 것이고요.”

보안 업체 맥아피(McAfee)의 CTO이자 부회장인 그로브만은 이번 주 열리는 RSA 컨퍼런스의 기조 연설자로 참석해 “헤드라인들 때문에 보안 전략을 수정하지 말라”는 주제로 강연했다. “인간은 생각만으로는 위험을 객관적으로 평가할 능력을 가지고 있지 않습니다. 다시 말해, 입증되지 않은 소문과 정보에 너무나 쉽게 휘둘린다는 것이죠. 그래서 가짜뉴스 전략이 잘 먹히는 것이고요. 적어도 조직 내 위험을 관리하는 사람이라면 자원을 투자할 때 신문사 헤드라인들이 아니라 과학과 데이터에 기반을 두고 생각해야 합니다.”

그로브만은 “우리는 위험을 평가하고 전략을 수정할 때 의외로 많은 부분 대대적으로 보도되는 사건들에 영향을 받는다”고 주장했다. “소니 해킹 사건이나 에퀴팩스 사건, 최근의 콜로니얼 사건 등 사회적으로 큰 충격을 준 사건에 대한 소식이 귀에 들리는데, 당연히 그리로 마음이 쏠릴 수밖에 없죠. 그것 자체가 잘못된 건 아닙니다만, 사건 하나하나에 뭔가가 자꾸 바뀐다면 보안 책임자로서 전체를 보는 시야가 충분히 개발되지 않았다는 뜻이 될 수 있습니다. 그건 좀 위험한 신호입니다.”

그러면서 그로브만은 보안 팀들에 “세 가지 요인들을 바탕으로 위험 모델을 개발하라”고 강조했다. 그 세 가지 요인은 ‘충격(impact)’, ‘규모(scale)’, ‘빈도(frequency)’였다. “예를 들어 콜로니얼 사태가 떠들썩하게 보도될 때, ‘우리도 랜섬웨어 방비를 서둘러야 한다’고 생각하는 게 아니라 먼저 차분히 앉아서 ‘저 공격이 우리 조직에도 발생할 확률이 얼마나 되는가? 어느 시점이 가장 위험한가? 사건이 벌어진다면 우리는 얼마나 충격을 받을 것인가?’ 등을 먼저 조사해야 한다는 것입니다.”

그로브만은 지진이 빈번히 발생하는 지역에서 사람들이 지진에 대비하는 것처럼 보안 사고도 대비해야 한다고 말했다. “지진이 자주 발생하는 지역은 처음 건축 설계부터 달리 합니다. 그걸 모두가 받아들여요. 그리고 대피처도 미리미리 마련해 두고 운영하죠. 주민들에게 그 대피처들이 어디에 있는지 알리고, 사람들은 이를 숙지합니다. 대피 훈련을 주기적으로 하는 곳도 많지요. 보안 역시 이렇게 ‘전체를 아우르는 방식’으로 가야 합니다.”

이어진 패널 토론에 참석한 보안 전문가들 역시 그로브만의 의견에 동의하는 분위기였다. 두바이공항의 CTO이자 CISO라는 비주 하미드(Biju Hameed)는 “철저하게 숫자와 과학적 평가 결과만을 가지고 보안 전략을 구성한다”고 말했다. “느낌이나 본능이 아니라, 계량된 수치를 가지고 보안 목표치를 잡고, 그것을 달성하기 위한 전략을 구성하는 게 주요합니다. 추정과 느낌을 배제하는 게 쉽지 않습니다만, 그것을 해내는 것이 CISO의 역할입니다.”

이집트국립은행의 CISO인 아비어 케드르(Abeer Khedr)는 “우리 조직과의 상관성이 가장 높은 위험 요소를 파악한다는 건 한 번으로 끝나는 게 아니라 꾸준히 지속되어야 할 작업”이라는 걸 강조했다. “디지털 뱅킹 산업에서는 기술 발전이 공격자나 방어자 모두에게서 끊임없이 일어나는 일입니다. 심지어 국경이라는 것의 의미도 빠르게 사라지고 있죠. 그러니 매일처럼 새로운 공격 표면이 생겨나고요. 위험 평가는 늘 ‘조직의 입장’에서 해야 합니다. 분위기에 휩쓸리면 안 됩니다.”

사우디아라비아의 통신사인 stc의 CISO인 아르와 알하마드(Arwa Alhamad)는 “보안 강화 전략을 수립할 때 세 가지를 고려한다”고 공개하기도 했다. “항상 해커의 입장에서 저희의 상황과 환경을 보려 합니다. 그 공격 루트를 최대한 어렵고 ‘비싸게’ 만들어 둡니다. 공격자들의 침투를 완전히 막을 수 없다는 걸 인정하지만, 대신 공격자 편에서도 투자해야 할 것이 많아지게 하는 것이죠. 그 다음은 저희의 내부적 보안 능력을 평가합니다. 객관적으로 우리의 탐지와 대응 능력이 지금 어느 수준인지, 시간이 얼마나 걸리는지를 알아야 전략을 짤 수 있으니까요.”

3줄 요약
1. 보안 전략 수립에 가장 중요한 요소는? “일단 헤드라인은 아니야.”
2. 조직마다 위험 요소 다르고, 대응 수준 다르기 때문에 끊임없이 확인하고 수정하는 게 필요.
3. 느낌과 감에 의존하지 말라고 CISO 뽑아둔 것 명심해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>