CISO들의 능동적인 ‘사냥 활동’이 필요하게 될 2023년

CISO들은 더 이상 ‘내 구역’을 줄로 그어놓고 그 안에서만 방어를 하는 사람이 되어서는 안 된다. 금 바깥의 영역에까지 능동적으로 영향력을 확대해야 한다. 2023년에는 이러한 움직임들이 더욱 요구될 것이다.

[보안뉴스 문가용 기자] 모든 전문 분야 종사자들과 마찬가지로 CISO들 역시 자신의 역할에 맞는 인물로 계속해서 성장한다. 그 자리에 임명된 순간부터 완성형인 사람은 드물다. 그렇기 때문에 대다수의 CISO들은 자기 자리에서 나름의 성장 곡선을 그려나가는데, 이는 크게 다섯 가지 단계로 구분된다.

[이미지 = utoimage]

1) 보호의 단계 : 보통 CISO로 새롭게 임명된 사람들은 보안의 기본기부터 탄탄히 다지려는 성향을 보여준다. 탄탄한 기본기는 CISO 스스로를 보호하는 단단한 성벽이 되기도 한다. 방화벽과 서버 강화 등이 이 단계에서 주로 보여주는 행동들이다.

2) 탐지의 단계 : 보호의 단계를 어느 정도 지나갔다면 CISO들은 보다 고급 기술들을 찾기 시작한다. 더 나은 모니터링 도구, 더 심도 깊은 패킷 필터링 도구들에 관심을 갖게 되며, 하나라도 더 도입하기 위해 예산을 치열하게 확보한다.

3) 대응의 단계 : 어느 정도 준비가 되었다면 CISO들은 보통 대응 계획을 수립한다. 다양한 공격 시나리오를 상정하고, 하나하나 전략을 짜는 것이다. 그런 후 팀원들과 직원들이 곧바로 움직일 수 있도록 훈련을 시키기까지 한다.

4) 자동화의 단계 : 이 정도까지 왔으면 이제 조직의 보안에 대하여 꽤나 알차게 꿰고 있을 것이다. 이 단계에 이른 CISO들은 친절한 보안에 대해 고민하기 시작한다. 그러면서 모든 사람이 보다 쉽게 보호받을 수 있도록 자동화 기술을 검토하거나 인공지능/머신러닝 솔루션에 대해 알아본다. 꽤나 많은 CISO들이 이미 이러한 신기술들을 도입하고 있는 상태이기도 하다.

5) 능동 보안의 단계 : 아무리 자동화 기술이 좋아도, 결국에는 사건이 먼저 발생하고, 그에 대한 조치를 취하는 전략 안에서 사용될 뿐이다. 마지막 단계에에까지 성장한 CISO는 위협 요소를 먼저 찾아내는 것까지 시도한다. 공격자들이 뭔가를 하기 전에 스스로 공격의 계기를 제거해야 속이 편해진다.

나의 구역을 떠나
이 다섯 단계를 거쳐 성장하는 것만으로도 든든한 CISO가 될 수 있을 것 같지만 - 그리고 예전에는 분명히 그랬지만 - 요즘은 그렇지 않다. 위의 다섯 단계의 성장을 거쳐봐야 ‘우리 회사 건물 안’만 잘 지키는 CISO가 된다. 하지만 요즘 해킹 공격, 특히 소셜 엔지니어링과 온라인 사기 기법은 이런 구분을 정확히 지켜주지 않는다. 당신의 벤더사를 통해 당신의 회사로 접근해야 한다면 그들은 그렇게 한다. 직원을 살살 꼬드겨야 한다면 그렇게 한다. 이들에게는 ‘회사 네트워크’로 들어가는 문이 딱히 정해져 있지 않다.

이런 상황에서 CISO들은 어떻게 대처해야 할까? 모든 도구와 모니터링 기법들과 성장의 곡선이 ‘나의 영역 지키기’에 특화되어 있는데 말이다. 아무리 내 구역의 대문을 잠가도, 공격자들이 다른 구역을 통해서 내 구역을 침범하는데 말이다. 다른 구역으로까지 CISO의 영향력을 발휘하려면 어떻게 해야 하는 것일까?

답은 위에서 묘사된 성장의 단계 중 5단계를 확장하는 것이다. 능동적으로 나의 구역만이 아니라 나와 관련이 있는 다른 구역까지도 살펴야 한다는 뜻이다. 우리 회사만이 아니라 업계 전체 혹은 산업 전체에 대한 위협 첩보를 검토하고 결합하여 보다 광범위한 대처를 해야 한다. 이를 보안 전문가 톰 페티(Tom Petty)는 “활짝 열린 벌판으로 나아가는 것”이라고 표현한다. 이렇게 적극적으로 ‘휘젓고’ 다녔을 때의 단점은 CISO가 노출된다는 것이다. 장점은 그 넓은 벌판에서 동료를 만날 수 있다는 것이다.

경계를 넘어
이렇게 능동적으로 활동할 범위를 넓히려면 다른 사람과 협력 체계를 만들어야 한다. 그리고 매일처럼 떠오르는 위협의 트렌드들을 알고 있어야 한다. 필자는 CERT와 OWASP이라는, 보안 전문가라면 익히 아는 리소스들을 적극 활용하는 것부터 시작하라고 권고하고 싶다. 이 두 조직들만큼 사이버 공격의 트렌드를 부지런히 추적해 공개하는 곳이 아직까지는 없다.

물론 비교적 새내기들이면서도 양질의 정보를 제공하는 곳들도 생겨나고 있다. 포트스위거(PortSwigger)의 버프(BURP)의 경우 웹 애플리케이션과 네트워크 분석에서 꽤나 강점을 보인다. 파트너사들과의 동의 하에 버프를 이용할 경우 꽤나 광범위한 곳에서부터 위협을 찾아낼 수 있게 된다. 블랙덕(Black Duck)과 같은 자문 서비스도 돈 값을 하는 편이다.

경계를 넓히고 나서 뭔가를 잡아냈다면?
조금씩 경계를 능동적으로 확대하는 가운데, 기존의 ‘내 영역’이 아닌 곳에서 뭔가 이상한 것을 찾아냈다면 어떻게 해야 할까? 특히 그 이상한 것을 꾸준히 추적해야 하는 상황이라면 어떻게 대처를 해야 할까?

만약 그 이상한 것이 취약점이라면 해당되는 파트너사나 벤더, 고객들에게 알리고 내용을 공유하는 것이 최선이다. 그 취약점 때문에 우리 회사가 침해될 가능성이 있다면 패치를 강력하게 요구해야 한다. 해킹 조직들이 공급망 어딘가를 노린다는 첩보가 들어왔다면, 역시 직접 관계가 있는 곳과 협업을 통해 보안을 강화해야 한다.

가끔 법적인 테두리가 애매한 부분에까지 우연히 들어갔다가 수상쩍은 뭔가를 발견했을 수도 있다. 이럴 때는 직접 제보를 했다가 오히려 손해를 볼 수 있다. 익명의 제보가 가능하다면 그렇게 하는 것을 권한다. 또한 혼자 판단하기에 역부족이라고 느끼면 자문 서비스를 적극 활용하는 것도 현명한 방법이다.

글 : 조나단 케어(Jonathan Care), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)