[이슈칼럼] 기업 보안 위기 대응의 핵심 ‘사이버 복원력’-1편

사이버 공격을 예측하고, 견디고, 대응하고, 적응할 수 있는 조직의 역량

[보안뉴스= 류종기 EY한영 상무이사] 사이버 공격이 점점 진화하면서 기업의 피해는 나날이 증가하고 있다. 기업은 사이버 공격뿐만 아니라 시스템 장애와 파괴, 위협, 그리고 리스크로부터 벗어나 비즈니스 연속성을 유지해야 한다. 대부분의 기업들이 단순히 일회성이 아닌 지속적인 공격에 직면해 있으며, 사이버 공격은 이제 더 이상 ‘만일(IF)의 경우’가 아니라 ‘언제든(WHEN) 일어날’ 상황의 문제가 됐다. 하지만 현실에서는 제대로 대응하는 기업을 찾아보기 힘들다.

[자료: gettyimagesbank]

모든 새로운 사이버 공격으로부터 보호하는 것이 불가능하다는 점을 감안할 때, 기업은 사이버 복원력(Cyber Resilience)에 초점을 맞추어 침해 영향을 줄여야 한다. 사이버 복원력은 체계적이며 상황 적응력이 뛰어난 접근 방식이 필요하며 CIO 또는 CISO만 그 책임이 국한되어서는 안 된다. 잠재적으로는 사업의 모든 부분을 포함하기 때문에, 경영진과 이사회에 의해 주도되어야 한다.

MIT 슬론 매니지먼트 리뷰 에 소개된 보스턴컨설팅그룹(BCG) 설문조사에 따르면, 국립표준기술연구소(NIST) 사이버보안 프레임워크(CSF) 기준으로 기업 응답자의 80%는 식별(Identify), 보호(Protect), 탐지(Detect)에 초점을 맞추고 있으며, 조직의 침해 대응(Respond) 및 복구(Recovery) 능력에 집중하는 기업은 20%에도 미치지 못한다. 사이버보안 지출 관점에서도 약 72%가 식별, 보호 및 탐지에 사용되고, 18%만이 대응, 복구, 비즈니스 연속성(Business Continuity)에 사용된다고 한다.

사실 이번 SK텔레콤에서 발생한 해킹 사고도 아직 조사 결과가 나오지는 않았지만 여러 전문가들은 단순 개인정보 유출보다는 통신망에 장애를 일으키거나 시스템 마비 또는 필요에 따라 조작할 의도가 있는 고도의 사이버 공격 가능성을 경고하고 있다.

결국 사이버 회복탄력성은 사이버 공격을 예측하고, 견디고, 대응하고, 적응할 수 있는 조직의 역량을 말한다. 단순히 공격을 피하는 것이 아니라 발생 시 영향을 최소화하고 신속하게 복구해 이후 더 강한 조직으로 거듭나는 것이 궁극적인 목표다. 초점을 예방(prevention)에서 대비(preparation)로 전환하면서, 비즈니스 리더들은 모든 부서에서 이루어져야 하는 적응 역량 개발에 우선순위를 두어야 한다.

사이버 복원력의 중요성을 강조하기 위해 몇 가지 우려 사항과 고민해야 하는 내용을 정리하면 다음과 같다. 먼저 사이버 공격을 경험한 CEO들은 기업이 진정으로 대비할 수 있다고 믿지 않는다고 한다. 항상 준비가 부족할 수 있다는 사고방식을 통해 사이버 공격에 대응할 수 있는 조직의 역량을 지속적으로 테스트하고 발전시키도록 독려한다. 즉, 잘 준비되어 있다는 생각을 버리고 항상 사이버 공격에 대비해야 한다는 말이다.

위기대응 계획과 대응 매뉴얼(playbook) 문서가 있으면 대비에 대한 환상을 불러일으킬 수 있다. 이러한 계획은 물론 필요하지만 예측할 수 없이 전개될 수 있는 위협에 대한 충분한 대비책은 아니다. 해커들은 새로운 전술을 계속 개발하고 적응하기 때문에 기업은 이전에는 알려지지 않았던 위협에 직면하게 되며, 앞으로의 사이버 공격은 과거와는 전혀 다른 양상을 보일 가능성이 높다. 또한 위기대응 매뉴얼에는 위기관리 절차가 잘 명시되어 있지만, 공격으로 인해 주요 커뮤니케이션 채널과 같이 위기관리에 필요한 믿었던 기반이 무용지물이 될 수 있다는 걸 염두에 두어야 한다.

사이버 공격을 당하거나 심각한 시스템 중단이 발생하면 CEO는 사방에서 상상을 초월하는 엄청난 압박을 받게 된다. 주주들은 재무 영향을 걱정하고, 이사회는 비즈니스가 정상화되고 있다는 증거를 원한다. 이 뿐만 아니다. 규제 당국은 질의에 대한 답변을 원하고, 고객은 정보 유출에 대해 걱정하며, 거래처와 협력사들은 IT 시스템 문제가 전이될 위험이 있는지 알고 싶어한다.

이처럼 동시다발적으로 쏟아지는 신속한 대응 요구에 직면한 CEO는 IT팀에서 제시하는 비현실적 복구 일정을 외부 이해관계자에게 그대로 알리는 등 정보를 신중하게 평가하지 못하고 대부분 그대로 전달하는 사후대응(reactive) 모드가 되어버린다. 보안 사고를 당한 많은 CEO가 단순히 답변 요구에 응하는 데 급급하지 않고 다양한 이해관계자를 더 적극적으로 참여시켜 확신을 줌으로써 이들을 안심시키지 못한 것을 후회했다고 한다.

▲류종기 EY한영 상무이사 [자료: 류종기 상무]

사이버 공격은 숨겨져 있던 비즈니스 프로세스의 중요성에 대한 새로운 인식, 상호 의존성에 대한 더 큰 이해, 그리고 위기의 순간에 앞장서는 비즈니스 리더십의 중요성 등을 불러일으킬 수 있다. 기업 전체가 더욱 긴밀하게 협력하고, 조직 구조를 재설계하며, 회복탄력성을 강화하기 위해 위기 대응 리더십 조직을 개편해야 할 때다.

이러한 시사점과 고려 사항은 조직의 경계 내에서 멈추지 않아야 한다. 대규모 사이버 공격은 종종 산업 전반에 파장을 일으키고 경쟁 관계에 있던 경쟁사들을 한데 모으기도 한다. 경쟁사, 공급업체(협력사) 및 다양한 이해관계자와 함께 사이버 회복탄력성을 개발하기 위한 생태계 접근 방식을 취할 기회를 포착해야 할 것이다. 2편에서는 사이버 복원력을 위한 실천 전략에 대해 좀더 구체적으로 살펴보도록 한다.
[글_ 류종기 EY한영 상무이사]

필자 소개_
류종기 상무는 EY한영에서 리스크 컨설팅 서비스를 담당하고 있다. IBM Security & Privacy Services의 보안 컨설턴트와 사이버 리질리언스 서비스 리더를 역임했으며, 정보보호와 IT 재해복구, 비즈니스 연속성 분야에서 기업 고객을 대상으로 컨설팅을 수행했다.

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다