[주말판] 위협 요소의 바다 속에서 사이버 리질리언스 구축하기

너무나 많은 위험들이 도처에, 겹겹이 깔려 있다. 어딜 가도 지뢰밭이고 살얼음이다. 살아남는 것 자체가 누구나의 미션이 되어버렸다. CISO들은 자기 한 몸 건사하는 걸 넘어 조직 전체를 살려야 한다는 부담을 다시 안기 시작했다.

[보안뉴스 문정후 기자] 지난 몇 년 동안 분야를 막론하고 모든 사람이 힘든 시간을 보냈다. 그래도 2022년이 시작되면서 많은 CISO들은 팬데믹 사태가 가라앉고 숨을 좀 쉴 수 있을 것이라고 예상했다. 아니, 기대했다. 그 때는 몰랐기 때문이다. ‘뉴 노멀’이 이미 정착되었음을. 그러므로 2020년과 2021년의 숨가빴던 일상이 사실 그대로 머물 예정이었음을.

[이미지 = utoimage]

그 숨가빴던 일상을 간단히 요약하면 다음과 같다.
1) 치솟는 물가...지금도 치솟는 중
2) 지정학적 충돌...계속 격렬해지는 중
3) 기후 변화로 인한 재앙의 연속
4) 삼엄해지고 엄중해지는 규정들
5) 새로 나오는 위협들...진화하는 옛 위협들
6) 매일 사선에 서있는 듯한 사회 기반 시설, 공공 서비스, 프라이버시
7) 기하급수적으로 늘어나는 데이터의 양
8) 줄어드는 예산과 인력
참고로 이 여덟 가지는 이른 바 ‘뉴 노멀’이다. 이제 이런 것들을 늘 기저에 깔고 삶을 유지해야 하는 게 우리의 현실이다.

그렇다면 CISO들에게 있어 2023년은 어떤 해가 될까? 여러 위협들이 도사리는 해가 될 것이지만 그 중 특히 유의해야 할 것들을 추려보면 다음과 같다. 이것들을 염두에 둔다면 꽤나 일괄적이고 유효한 보안 전략을 짤 수 있을 것이라고 생각한다. 물론 해가 바뀌면 자연스럽게 바뀌겠지만 말이다.

1) 사이버 공격은 증가하고 전략은 진화한다. 이를 가장 잘 보여주는 게 랜섬웨어다. 랜섬웨어의 측면에서 보안 업계의 2022년은 매우 좋은 출발을 선보였다. 랜섬웨어 공격이 전년도 대비 34%나 줄어들었기 때문이다. 그러나 기쁨은 잠시 뿐이었다. 랜섬웨어 공격자들은 잠시 힘을 비축했을 뿐이라고 말하는 것처럼 대단한 기세로 부활했다. 이중, 삼중 협박이라는 새로운 전략이 만들어낸 효과였다. 이런 사례들은 다른 공격 단체들 사이에서도 활발히 나타날 전망이다.

이와 같은 맥락으로, ‘서비스형 사이버 범죄’는 어느 덧 사이버 용병 산업으로 변하는 중이다. 각자의 전문분야를 가지고 다크웹에서 파트너십을 맺어 프로젝트별로 공격을 진행하던 해커들은, 점점 용병이 되어가고 있다. 이제 사이버 범죄자들이나 국가의 지원을 받는 해킹 부대나, 높은 수준의 기술력을 보유한 사이버 용병들을 고용해 여러 가지 임무를 수행할 것이고, 이것이 대규모 침해 사건으로 이어질 가능성이 다분하다. 용병들은 고용주의 요청에 따라 일하기 때문에 아무런 맥락 없이 피해자들을 선정해 공격할 것이고, 이 때문에 이들을 추적하거나, 이들의 움직임을 예측한다는 건 불가능에 가까워질 것이다.

2) 공급망은 점점 더 큰 위험에 노출된다. 공급망에서 탐지되는 위협을 처리하는 일, 혹은 미리 예측하는 일은 사업 운영 회의에서 보다 적극적으로 논의될 것이다. 공급망이 잘못 되면 사업을 너머 산업 전체가 마비될 수도 있기 때문이다. 이미 우리는 이런 저런 모양의 위험 요소들을 경험했고, 그것이 미치는 파장 역시 경험했다. 2023년 CISO들이 특히 집중해서 봐야 할 것이 바로 이 ‘공급망의 위험’이다. 게다가 클라우드 기반의 인프라, 애플리케이션, 서비스, 스토리지 등의 사용량이 급증하면서 기업들의 공급망은 더더욱 민감하고, 크게 잘못될 소지가 높은 것으로 변하고 있기도 하다.

3) 데이터를 오염시키거나 조작하는 공격이 크게 늘어날 전망이다. 인공지능은 점점 더 보편적으로 사용될 것이고, 이 때문에 데이터의 무결성을 사수하는 게 그 어느 때보다 중요한 일이 됐다. 이미 사이버 공격자들은 이 사실을 잘 알고 있다. 인공지능을 훈련시킬 데이터에만 살짝 손을 대도 피해자는 엉뚱한 결정을 내리게 된다. 데이터의 가용성과 기밀성이 조금 더 중요한 가치였던 게 현실이었는데 이제는 데이터 무결성에 더 신경을 써야 하는 시대로 넘어가고 있다.

4) 기술과 위협, 규정이 매 순간 바뀌고 있다. 사이버 위협들은 계속해서 진화하고 있고, 이에 따라 규정들 역시 변해간다. 기업들은 지역과 국가에 따라 별도의 데이터 수집, 저장, 관리, 활용의 규범에 따라야 한다. 그렇지 않으면 막대한 벌금을 물게 된다. 어쩌면 CISO들은 해커보다 벌금에 더 불안해 하며 확인에 확인을 거듭해야 할지도 모른다.

사업 운영에 기반을 둔 보안 전략
이제 기저에 깔린 위협들과, 보안에 특화된 위협들까지 살펴보았다. 그렇다면 이 난국을 어떻게 헤쳐가야 할까? 키를 쥔 CISO들은 어떤 결정들을 내려야 이 보안, 경제, 무역, 기후의 위기 상황에서 살아남을 수 있을까? 몇 가지로 정리해 보았다.

1) 보안 전략과 사업 전략이 일맥상통해야 한다. CISO들은 기업 임원들이 ‘보안 위협 = 사업적 위협’이라는 사실을 받아들이도록 설득해야 한다. 그들이 아무리 귀를 닫고 듣지 않으려 해도 어쩔 수 없다. 이게 2023년 CISO들의 첫 번째 미션이다. 이 부분이 이뤄지지 않으면 어떤 전략도 결국 IT 부서에서 해결할 일이 되어버린다. 경영 회의 때마다 보안 문제를 들고 들어가는 걸 추천한다.

2) 사이버 리질리언스를 진짜로 구축해야 할 때다. 사이버 리질리언스란, 사이버 공간을 통해 침투해 들어오는 온갖 위협 요소들을 처리할 수 있는 준비도를 말한다. 언제 어떤 위협에 어떻게 들어와 어떤 영향을 줄지 모르는 상황에서, 우리 조직이 잘 견뎌낼 수 있게 준비시키는 것이다.

어떻게 해야 할까? 제일 먼저는 사이버 공간에서 이뤄지는 온갖 행위들을 모니터링 할 수 있어야 하고, 그런 모니터링 기능들을 통제할 근거와 방안, 규정들을 마련해야 한다. 파트너사와 벤더사의 협업 관계나 산업과 국가의 표준 및 정책들까지도 고려한 통합적인 방법론이 있어야 한다.

그 다음으로는 사이버 위협 첩보들을 꾸준히 수집하고 분석함으로써 현재 상황에 대한 인지도를 높이고, 항상 최신화시켜야 한다. 이는 CISO 혼자 할 수 없는 일이다. 다른 조직의 다른 전문가들과 협업하고 정보를 공유하는 게 효과 면에서 훨씬 낫다.

그 다음은 가장 중요한 자산들을 식별하고, 우선순위를 정해야 한다. 그래서 높은 순위에 있는 것들을 항상 모니터링 하고 평가해야 한다. 자산의 가치라는 건 항상 변하기 때문에 우선순위도 늘 변하기 마련이다. 이런 변화가 보안 정책과 전략에 부지런히 반영되어야 한다. 그리고 이런 고가치 자산들에 불미스러운 일이 생겼을 경우를 상정하여 후속 처리 훈련을 주기적으로 하는 것도 비용 절감과 복구 속도 증가에 큰 도움이 된다.

눈치 챈 독자들도 있겠지만 사이버 리질리언스라는 것은 한 번 작업으로 갖출 수 있는 건 아니다. 꾸준히 진행하고, 꾸준히 변경해야 한다. 사실 이걸 이해하는 게 사이버 리질리언스의 핵심이다. 전사적인 프로젝트 한 번 크게 질러놓고 평생 잊고 살아도 되는 그런 게 아니라는 걸 꼭 기억하자.

3) 사이버 리스크를 얼마나 견디어낼 수 있는 상태인지를 평가해야 한다. 즉 사이버 보안 사고로 어떤 손해가 어느 정도 일어날 때 회사는 버티거나 무너지는지를 알아내야 한다는 것이다. 기업이 생산 활동을 하거나 서비스를 창출해 제공할 때 어떤 요소들에 의존하고 있는지, 회사 자본이 얼마나 안정적인 상태인지, 외부 파트너사들과 벤더사들의 상황은 어떤지 등이 종합적으로 고려되어야 한다.

회사 전체를 보호할 체제를 갖추라, 즉 리질리언스를 구축하라고 하면 CISO들은 막막함을 느낀다. 마치 작은 토치 하나를 가지고 바다 전체를 다 끓여야 할 것만 같은 느낌이다. 하지만 보안은 절대 그런 게 아니다. 늘 작은 것, 할 수 있는 것, 해야 하는 것에서부터 시작한다. 그리고 점차 확대시켜 나가는 게 보안의 가장 기본적인 전략이다. 처음부터 모든 것을 다 아우르려고 하면 아무 것도 할 수 없다.

기업의 위험 - 그것이 물리적인 것이든 논리적인 것이든 - 을 다룬다는 건 더 이상 정적인 작업이 될 수 없다. 위험이라는 말 자체가 어느 순간부터 매우 동적으로 변했기 때문이다. 근무자들도 이제 이곳 저곳 움직이는 터에, 위험을 초래하는 것들이라고 가만히 있을 리 만무하다. 조금 더 적극적으로 움직이며, 조금 더 주기적으로 움직이며 연약한 요소들을 보강해야 할 때다.

글 : 스티브 더빈(Steve Durbin), CEO, Information Security Forum
[국제부 문정후 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)