보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

더 적은 것으로 더 많이 해야 하는 우리에게 사이버 본질주의가 필요한 이유

입력 : 2023-06-09 20:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
사이버 보안의 기본 원칙 중 하나는 애플리케이션 구조나 네트워크 환경이 지나치게 복잡해서는 안 된다는 것이다. 복잡하면 복잡할수록 리스크는 커진다. 그런데 이건 우리의 삶에서도 통용되는 사실이다.

[보안뉴스 문정후 기자] 수년 전 필자는 ‘사이버 본질주의’라는 주제로 강연을 한 적이 있다. 개인적으로 매우 좋아하는 책인 ‘본질주의’에서 영감을 받은 제목과 내용이었다. 사소한 것들 다수가 아니라 정말 중요한 소수에 집중하며 살아야 한다는 것이 그 책의 골자였다. 누가 그걸 모르나, 라는 생각이 들겠지만 실제로 해 보면 절대 쉽지 않다는 걸 알 수 있을 것이다.

[이미지 = gettyimagesbank]


우리는 대부분 ‘양’에 기반을 둔 가치관을 가지고 있다. 뭔가를 빠르게 많이 해냈을 때 많은 보람을 느낀다. 실제로 이뤄낸 변화가 많지 않더라도 자잘자잘 많은 문제를 해결했다는 것 자체만으로 뿌듯한 게 사람이다. 하지만 그런 양적 만족감을 추구하다 보면 본질적인 것을 놓치기 쉽다. 물론 부지런히 움직여 뭔가를 완수했다는 것 자체만으로도 충분한 가치가 있는 건 사실이다. 하지만 그 가치라는 것이 본질적인 것 하나를 완료하는 것의 가치보다 높을 수 없다. 결국 ‘실질적인 영향을 준 것은 무엇이었나?’를 물었을 때 어느 쪽에 손을 들 수 있을 것인가가 가치를 증명한다.

사이버 보안에서만큼은 이 본질주의가 특히 더 중요하다. 2016년 필자가 이끌던 팀은 말 그대로 짓눌려 있었다. 과도한 업무량이 문제였다. 공격자들의 위협은 날이 갈수록 새로워지고 많아지는데, 이미 짓눌려 있던 우리 팀은 제대로 대응할 수가 없었다. 아마 많은 보안 팀이 직면한 상황과 같을 것이다. 그 때나 지금이나 보안 팀의 상황은 변하지 않았다. 아니, 오히려 경제 상황 때문에 운영 효율화를 모든 기업이 외치는 지금 보안 팀이 느끼는 압박은 더 심할 수도 있다. 우리는 점점 ‘더 적은 것을 가지고 더 많은 것을 이뤄야 한다’는 요구를 받고 있고, ‘더 적은 것을 가지고 더 적게 이루는’ 데에 익숙해지고 있다.

이러한 상황에서 보안 팀이 해야 하는 일, 할 수 있는 일은 무엇일까? 어떻게 해야 본질에 집중해 효과적인 보안 팀을 꾸릴 수 있게 될까?

전략부터 짜라
피터 드러커(Peter Drucker)는 언젠가 이렇게 말한 적이 있다. “효율은 일을 똑바로 처리하는 것을 말하고, 효과는 올바른 일을 할 때 나타난다.” 필자는 이 짧은 문장이 본질주의를 가장 경제적으로 설명한 글이 아닐까 한다. 일단 자원이 한정적인 보안 팀에 있어 중요한 건 ‘효율’이고, 드러커의 정의에 따르면 이는 일을 실수 없이 제대로 처리하는 것을 의미한다. 우리는 점점 실수할 여유가 줄어드는 상황으로 가고 있다고도 볼 수 있다. 그리고 보안은 ‘효과’가 반드시 나타나야 하는 분야이기도 하다. 그러므로 올바른 일, 즉 필요한 일을 해야 하기도 한다.

무슨 말인가? 실수 없이 필요한 일을 제대로 해야 한다는 것이다. 필요한 일을 선정하는 것부터 실수가 있어서는 안 된다. 여기서 ‘더 적은 것을 가지고 더 많은 것을 이뤄내야 하는’ 보안 팀의 첫 번째 필수 사항이 생긴다. 본질적으로 꼭 필요한 일을 찾는 것이 바로 그것이다. 전략이 필요하다는 뜻이기도 하다. 전략은 크게 세 가지 요소로 구성되어 있다. 가설, 정책, 확실한 실행 절차가 바로 그것이다. 하지만 우리는 가설과 정책을 간과하는 경우가 대단히 많다.

지금 잠깐 읽던 글을 멈추고 생각해 보자. 당신의 보안 팀이 마련한 프로그램은 어떤 가설 위에 수립되어 있는가? 가설이 있다면, 그 가설을 현실로 바꿔갈 때 안전선이나 안내선이 되어줄 정책에는 어떤 게 있는가? 목표만 대뜸 세워서 실행하는 게 전략이 아니라는 걸 강조하고 싶다.

문화의 정착과 강화
여러 우여곡절 끝에 전략을 마련했다면(쉽지 않았을 것이다!) 이제 이 전략을 실행시킬 병사들을 작전지로 파견시킬 차례다. 그 병사들은 이미 위에서 안내선 혹은 안전선이라고 표현됐던 지침들을 잘 인지하고 있는 상태여야 한다. 그래야 각자의 자리에서 이 지침을 기반으로 결정을 내릴 수 있고, 전략 전체가 흔들림 없이 진행될 수 있다. 필요하다면 새로운 병사를 채용할 수도 있다.

채용 이야기가 나왔으니까 말인데, 지금처럼 적은 자원으로 본질적인 변화를 일으켜야 할 때 보안 팀에서 새롭게 뽑아야 할 사람은 팀웍에 최적화 된 사람이어야 한다. 특히 지금처럼 전략까지 다 짠 마당이라면 더욱 그렇다. 뛰어난 인재 한 명이 갑자기 들어와 전략의 미진한 부분들을 앞장서 수정해 회사에 큰 기여를 하게 되는 경우는 영화 외에는 거의 존재하지 않는다고 봐야 한다. 그러므로 팀에서 마련한 전략을 충실히 수행하고 협력할 수 있을 만한 사람이 적절하다.

이런 사람들이 많아질 때 전략은 문화로서 정착할 수 있고, 문화는 전략보다 훨씬 강력한 효과를 발휘하므로 보안 팀의 효율은 갈수록 높아질 수밖에 없다. 다만 정착된 문화라고 해도 필요에 따라 수정될 수 있어야 한다. 팀장이나 경영진의 유연한 사고가 중요한 이유다.

시간과 에너지 집중시키기
여태까지 말한 전략이나 실행, 문화 정착과 같은 것들은 단일 프로젝트로 시도해 완료하는 것이 아니라 꾸준히 이어가야 하는 임무들이다. 사업 환경이 매번 변해가는데 한 가지 전략이 영원히 통할 리는 없고, 실행 방법이나 문화도 마찬가지다. 그러니 전략 하나가 완성되었다고 해서, 어려움 끝에 사내 문화가 정착했다고 해서 안심할 수 없다.

다만 정해진 전략과 정책, 문화가 존재하는 상황에서, 그리고 변화가 아직 크게 필요 없는 단계에서라면 모든 자원을 여기에 쏟아부어야 한다. 앞서 만들어진 전략과 문화를 위해 생각하고, 그 전략과 문화를 위해 시간을 쓰고, 그 전략과 문화를 위해 팀을 하나로 만들어야 한다. 그 전략과 문화라는 건 결국 보안 강화를 위한 것이므로 당분간은 보안을 위주로 생각하고 행동해야 한다.

예를 들어 보안 사건 조사에 너무 많은 시간을 쓰고 있어 줄여나가야 할 전략을 수립했다면 사내 시스템 / 네트워크 환경을 강화하는 것과 임직원들을 대상으로 한 보안 교육에 시간을 투자할 필요가 있다. 패치 시간이 너무 많이 걸린다? 그렇다면 애초에 패치가 필요한 소프트웨어의 양을 줄이고, 자동 패치가 진행되는 PaaS나 SaaS를 늘리면 된다. 이렇게 전략의 방향성이 정해지면 보안을 훼손하지 않는 선 혹은 오히려 보안을 강화하는 선에서 문제 해결법을 고안해야 한다.

결론
결국 인생은 정말 필요한 것에 집중하고 있느냐, 아니면 사실 그리 필요하지 않은 것들에 정신을 빼앗기고 있느냐로 갈린다. 현재 나의 마음을 빼앗고 있는 것들이 정말 꼭 필요한 것인지 아닌지 냉정하게 생각해보고, 과감하게 가지치기를 해가면서 본질에 다가간다면 누구라도 성공적인 인생을 살 수 있다고 필자는 믿는다. 사이버 보안이라는 분야에서 일하고 있다면 이 단순한 진리가 사실임을 매일 현장에서 경험하고 있을 것이다. 업무의 효과는 그대로 살리되 효율성을 높일 수 있는 방법들을 하나하나 찾아 조금 덜 분주한 삶을 살아보도록 하자.

글 : 벤 존슨(Ben Johnson), CTO, Obsidian Security
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)