Home > 전체기사

[주말판] 랜섬웨어 전성시대에 최전선에서 점점 많이 보이는 얼굴, CDO

  |  입력 : 2022-06-11 15:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 최고 책임자는 CISO지만, 사이버 공격이 극심해지면서 보다 세분화 된 역할이 하나 둘 나타나고 있다. 특히 랜섬웨어 공격자들이 데이터를 못살게 구니, 데이터 보호를 전담하는 사람들이 생겨나고 있는데 그 중 눈에 띄는 것이 바로 CDO다.

[보안뉴스 문정후 기자] 랜섬웨어, 얼마나 큰 문제가 되고 있을까? 전 세계의 조직 1/3 이상이 이미 랜섬웨어 공격에 피해를 입은 적이 있다고 한다. 그것도 지난 12개월 안에 피해를 입은 조직이 이만큼이다. FBI의 통계에 의하면 랜섬웨어 피해자는 매년 20% 꼴로 증가한다고 한다. 이 정도면 충분히 큰 문제라고 할 수 있지 않을까?

[이미지 = utoimage]


물론 랜섬웨어 사건이라고 해서 다 똑같지는 않다. 표적이 되는 조직의 규모나 공격 조직의 성향에 따라 피해는 천차만별의 양상을 띈다. 그렇지만 모든 랜섬웨어 공격에는 한 가지 공통점이 있다. 중요한 파일을 암호화 해서 열람할 수 없게 한 상태에서 피해자에게 돈을 요구한다는 것이다. 즉 데이터를 인질로 삼고 몸값을 요구하는 게 모든 랜섬웨어의 본질이다.

데이터를 손실하거나 데이터를 더 이상 쓸 수 없다는 건 대단히 치명적으로 작용할 수 있다. 예를 들어 콜로니얼 파이프라인(Colonial Pipeline)이 2021년 4월 발생했을 때 어떤 일이 있었는가? 미국의 동부 해안 도시들이 일제히 마비되다시피 했다. 그러니 최고 데이터 책임자(CDO)가 하는 일이 얼마나 중요한지는 설명하지 않아도 충분하다. 랜섬웨어 공격자들이 민감한 정보를 훔쳐가고 조직을 마비시키지 못하게 하는 역할을 수행하는 CDO는 요즘 같은 세상에서 가장 중요하다고 해도 과언이 아니다. 하지만 그런 CDO의 역할과 현실에서 벌어지는 일은 사뭇 다르다.

일단 아직 CDO라는 자리를 준비하기는커녕 CDO가 뭔지도 모르는 기업들이 대다수다. 물론 CDO가 필수적으로 있어야 하는 건 아니기 때문이다. 마치 CISO라는 직책이 처음 도입되었을 때와 비슷하다. 필자는 어느 조직에나 CDO가 있어야 한다고 생각하지만, 아직 다 그런 건 아닌 듯하다. 다만 CDO에 대해 알아보고 도입하는 기업들이 빠르게 늘어나고 있는 건 사실이며, 이는 굉장히 고무적인 일이다. 2021년 기준 가트너의 조사에 의하면 대형 조직들 중 CDO를 보유하고 있는 기업은 절반 가까이 된다고 한다.

그 다음 문제는 CDO의 진정한 역할이라는 것이 점점 변하고 있다는 것이다. 더 정확히 말하면 확대되고 있다. CDO가 할 일이 점점 많아지는 중이라는 것이다. 컨설턴시 그룹인 뉴밴티지 파트너즈(NewVantage Partners)에 의하면 기업들의 65%가 CDO를 지정해 운영하고 있는데(이 수치는 2012년 12%에 비해 크게 오른 것이긴 하다), CDO가 전적으로 데이터를 관리하고 책임지는 곳은 절반도 되지 않는 것으로 조사됐다. CDO라는 게 좋다고 해서 마련하긴 했는데, 어떻게 활용해야 좋은지 모르는 곳이 태반이라는 것이다. 이런 곳에서 CDO는 어디서부터 어디까지 자기 관할이고 책임인지 혼동스러울 때가 많다.

CDO를 둔다는 건 회사로서 매우 유익한 일이다. 여기에는 몇 가지 이유가 있다. 먼저 지금은 데이터가 석유에 비유되는 시대다. 게다가 이 새 석유란 것이 일부 국가에서 독식하고 있는 게 아니라 모든 조직들에서 꾸준하게 생산하고 있다. 이런 때에 CDO를 두지 않거나 제대로 운영하지 않는다는 건 이 석유를 땅바닥에 버리겠다는 것이나 다름이 없다. 아무리 돈을 잘 벌어도 관리를 제대로 못하면 소용이 없듯이, 데이터 전담 관리자를 두지 않으면 수많은 기회를 버리는 꼴이 될 것이다.

게다가 식을 줄 모르는 랜섬웨어에 대한 사이버 범죄자들의 열기도 CDO의 중요성을 부각시킨다. 랜섬웨어 공격에 당했을 때 데이터를 복구시키는 방법 중 하나는 범인들에게 돈을 내는 것이다. 하지만 돈을 낸 기업들의 평균 데이터 복구율은 65%에 불과하다. 절반이 조금 넘는 것으로 충분하다고 말하기 힘들다. 참고로 2021년 미국 기업이 랜섬웨어에 당했을 때 입은 피해 규모는 평균 185만 달러인 것으로 집계됐다. 범인들에게 낸 돈, 사업이 마비되는 시간 동안 입은 손실, 복구 비용, 잃어버린 기회 비용, 없어진 데이터 등이 여기에 포함된다.

랜섬웨어 방어는 CISO의 역할이라고 볼 수 있으나, 랜섬웨어가 점점 더 노골적으로 데이터를 노리고 있기 때문에 점점 CDO의 책임으로 옮겨가는 중이다. 당분간은 CISO와 CDO가 공동 전선을 펼쳐 랜섬웨어 방어에 힘을 써야 할 것으로 필자는 예상한다. 랜섬웨어 방어 효과를 높이기 위해 CDO가 해야 할 일을 다음 네 가지로 요약해 보았다.

1. 총체적 데이터 관리 전략을 앞장서서 수립하고 적용하라
한 기업의 네트워크로 흘러 들어오는 데이터의 양은 방대하다. 고객, 파트너사, 벤더사, 자체 시스템 등 사방에서 데이터가 물밀듯이 유입된다. 그런데도 스스로가 보유한 데이터의 양을 제대로 알고 있거나 파악하려는 기업은 그리 많지 않다. 어떤 데이터가 오가는지, 어디에 저장되는지, 누가 사용하고 관리하는지, 어떤 규정이 적용되어야 하는지 모른다.

그럴 때 데이터는 기업 내 모든 곳 여기 저기에 퍼져 있기 마련이다. 데이터센터는 물론 공공 클라우드, 사설 클라우드, SaaS 애플리케이션 내부, 파일 공유 시스템, 직원들의 개인 장비나 USB 등 추적할 수도 없을 정도로 흩어져 있는 게 현실이다. 데이터를 보호해야 하는 입장에서는 악몽과 같은 상황이며, 실제 이런 상황에서 랜섬웨어 공격을 막는다는 건 불가능하다. 심지어 수습과 복구에도 더 많은 노력이 필요하게 된다.

그러니 랜섬웨어의 방어자로서 CDO는 기업 내 데이터와 관련된 현황을 완벽하게 파악할 필요가 있다. 어떤 데이터가 어디에 저장되고 어떤 경로로 어디로 흘러가 왜 사용되는지를 알아내고, 불필요하게 저장되거나 활용되는 경우들을 최소화하거나 없애야 한다.

2. 가장 중요한 자원들을 파악하라
데이터의 모든 것을 파악하고, 그것을 한 눈에 볼 수 있게 정리해 두었다면, 데이터 상하구조라는 것을 심도 있게 이해할 차례다. 즉 가장 중요한 데이터와 그다지 가치가 없는 데이터를 구분하라는 것이다. 모든 데이터에 똑같은 보안 투자를 할 수는 없는 노릇이기 때문이다. 침해됐을 때 혹은 사용 불가능한 상태가 됐을 때 회사에 가장 큰 피해를 미칠 데이터가 무엇인지 알아내 순서대로 정립해야 한다.

중요도 혹은 우선순위를 실제로 적용하는 것이 이 과정의 핵심이다. 홍수와 같은 데이터에 시달리는 요즘의 기업들은 모든 데이터가 똑같이 중요하다는 인식을 좀처럼 벗어나지 못한다. 보안의 관점에서 이는 명백한 실수다. 모든 사람은 평등하지만, 데이터는 그렇지 않다. 중요한 것에 초점을 맞추는 게 보안 전략의 핵심이라고 볼 수도 있다.

3. 위의 두 과정은 한 번 하고 끝내는 프로젝트가 아니다
모든 데이터의 현황을 파악하는 건 수주에서 수개월짜리의 방대한 프로젝트다. 그것들을 우선순위에 맞게 정립하는 것 역시 마찬가지다. 이런 큰 프로젝트를 연달아 끝낸 CDO는 당연히 한시름 놓고 싶을 것이다. 사람이라면 당연히 느껴지는 감정이다. 하지만 아쉽게도, 그 대단한 프로젝트는 끝난 적이 없다. CDO에게 그 두 가지 일은 늘 해야 하는 일이다. 데이터는 계속 변하기 때문이다. 항상 현황을 파악하고 항상 우선순위를 정해야 한다는 것이다.

다만 처음 한 번 대형 프로젝트처럼 1번과 2번을 진행하고 나면 그 다음 회차부터는 훨씬 쉬워지는 게 정상이다. 게다가 항상 해야 한다고 해서 매일 해야 한다는 뜻이 되는 건 아니다. 예를 들어 분기에 한 번씩만 해 줘도 데이터 관리 상황은 훨씬 나아질 수 있다. 게다가 처음에 어려웠던 일도 하다 보면 익숙해진다.

4. 촉매제가 되어야 한다
CDO는 조직 전체를 교육하고 자문하는 사람이 되어야 할 필요도 있다. 대부분의 상황에서 싫더라도 그런 기회가 자연스럽게 많이 생길 것이다. 그도 그럴 것이 데이터를 쭉 정리하고 우선순위까지 정했으면 랜섬웨어 공격자들이 어디를 노릴 것인지가 보일 것이고, 그런 지식을 갖춘 사람은 조직 내에서 CDO가 유일할 것이기 때문이다. 아는 것을 전파해서 모두가 보안에 참여하도록 하면 CDO가 할 일인 데이터 보호도 더 수월해진다.

앞서 CDO의 역할이 자꾸만 변한다고 썼다. 틀린 말은 아니다. 하지만 그럼에도 모든 조직에서 CDO의 역할을 명확히 규정해줄 필요가 있다. 명확한 규정 없이는 CDO에게 져야 할 책임도 모호해지고, 그러므로 CDO가 가진 권한도 불분명해진다. 이런 상황에서 CDO가 할 일을 제대로 하리라고 기대할 수 없다.

조직에 따라 CDO가 데이터에 관한 풍부한 지식을 사업적으로 활용하기를 기대할 수도 있다. 랜섬웨어를 막는 것보다 이런 것에 더 초점을 맞추는 기업들도 존재한다. 그렇다면 CDO는 그것에 맞춰 움직여야 한다. 물론 그러면서도 랜섬웨어에 대한 방어도 CDO가 진두지휘 해야 한다. CISO가 보안도 책임지지만 점점 사업에도 관여하게 되듯, CDO의 역할론도 그런 식으로 확대되는 중이다. 하지만 이 두 가지를 다 할 수 없다면 과감하게 회사에 말할 수도 있어야 한다. 우선은 데이터 보호와 사이버 방어에 치중하겠다고 말이다. 이것 저것 손대고 어정쩡한 결과를 내는 것보다 하나를 확실하게 잘 하는 것이 나을 때가 많다.

글 : 에이제이 사블록(Ajay Sabhlok), CIO, Rubrik
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)