보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

사이버 리질리언스에 대한 모든 것

입력 : 2023-09-01 15:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
리질리언스라는 말이 유행처럼 돌고 있다. 하지만 제대로 리질리언스를 갖춘 회사들에 대한 소식은 드물다. 그도 그럴 것이 리질리언스라는 게 생각보다 복잡한 개념이기 때문이다. 제대로 이해하여 실제로 도입하려면 어떻게 해야 할까?

[보안뉴스 문정후 기자] 해커들은 언제나 답을 찾아낸다. 그러므로 사이버 공격으로 인해 피해를 입는 건 반드시 일어날 일이다. 인정하기 싫겠지만 사실이다. 모든 보안 팀은 여기서부터 보안을 강화해야 한다. 공격에 당할 것이라는 걸 기정 사실화 해 놓고, 거기서부터 조직을 지킬 수 있는 방법을 모색하는 게 실질적이고 또 현실적이라는 뜻이다. 그게 요즘 유행하는 ‘리질리언스’의 의미이기도 하다. 사이버 리질리언스는 분명한 사실에 기초를 두고 성립되는 개념이다. 100% 방어와 같은 허구로부터 출발하지 않는다.

[이미지 = gettyimagesbank]


사이버 리질리언스란
사이버 리질리언스란 무엇일까? IT 서비스 및 컨설팅 업체인 리질리언스(Resilience)의 최고 리스크 책임자인 리차드 시얼슨(Richard Seiersen)은 “사업적 목표 중 하나”라고 말을 시작한다. “사이버 공격 등 사건 사고가 발생해도 꾸준하게 기업의 가치를 발휘할 수 있게 해 주는 것이 리질리언스의 핵심입니다. 심지어 회사가 손실을 보는 상황에 있더라도 말이죠.”

하지만 이걸 실제로 해낸다는 것은 말보다 훨씬 어려운 일이다. “보안과 사업을 대하는 기본적인 사고방식 자체가 바뀌어야 합니다. 제일 먼저는 ‘공격을 다 막을 수 없고, 반드시 한 번은 당하게 되어 있다’는 걸 인정하는 것부터 시작해야죠. 이걸 받아들이는 걸 생각보다 많은 분들이 어려워합니다. 하지만 ‘우리도 당한다’는 마음을 갖게 되면 보호해야 할 것과 특히 주의해야 할 리스크가 더 뚜렷하게 보입니다. 또한 사건이 발생했을 때 덜 당황하게 되기도 합니다.”

사이버 리질리언스의 현재
그렇다면 지금 기업들은 어느 정도의 사이버 리질리언스를 갖추고 있을까? 일단 ‘사이버 보안에 대한 인식’ 수준 자체는 최근 크게 올라온 게 사실이다. 보안 담당자들이 임직원들을 붙잡고 보안이 중요하다는 걸 새삼 강조할 필요가 없는 게 요즘이다. 하지만 그게 전부는 아니다. ‘중요한 건 알지만, 어차피 보안 담당자들의 할 일’이라고 생각하는 것에서 벗어나지 못하고 있기 때문이다. 보안이 중요하지만 스스로가 참여하지는 않는 게 현 시점의 상황이다. 사이버 리질리언스는 ‘나도 그 중요한 일에 참여해야 한다’는 인식부터 시작한다.

보안 업체 이센타이어(eSentire)의 CTO인 티아 홉킨스(Tia Hopkins)는 “언젠가 당하기 마련이라는 생각은 이제 많은 기업들이 하고 있다”고 말한다. “다만 그것을 새로운 보안 전략과 실질적인 강화로 잇지 못하고 있는 게 현실입니다. 해킹 공격이 무섭고, 우리 회사도 당할 수 있다는 건 충분히 인지하고 있지만 거기서부터 뭘 어떻게 해야 할지 모르는 것이죠. 그렇기 때문에 리질리언스도 아직은 유행어로만 남아 있는 것이고요.”

시얼슨은 사이버 리질리언스의 핵심 요소를 다음과 같이 꼽는다. “위험 가능성의 완화, 이동, 수용이라고 생각합니다. 위험 가능성을 완화하는 건 각종 보안 솔루션과 장비를 구축하는 것이고, 위험 가능성을 이동시킨다는 건 보험 상품을 구매하는 것입니다. 위험 가능성을 수용한다는 건 만일의 사태를 대비해 비상 자금을 남겨두는 것을 말합니다. 아마 대부분 기업들이 이런 정도의 일은 하고 있을 겁니다. 즉 리질리언스를 갖추고 있긴 하다는 겁니다. 문제는 이 세 가지 핵심 요인들이 따로 따로 논다는 것이죠. 그러니 리질리언스의 요소들이 통합적으로 힘을 발휘하지 못합니다.”

보안 회사 아머사이버시큐리티(Armour Cybersecurity)의 CEO인 데이비드 체르니츠키(David Chernitzky)는 “사이버 리질리언스는 통합적인 개념”이라고 지적한다. “각 요소들을 따로따로 공략하다가 전체를 놓친다는 건 리질리언스 자체를 놓친다는 뜻이 됩니다. 리질리언스를 갖추는 것이 어려운 건 이것 때문입니다. 특히 소규모 조직의 경우 통합적 보완과 강화가 어렵기 때문에 리질리언스를 위한 작업을 하다가 다른 길로 새는 경우가 많습니다.”

그러면서 체르니츠키는 “대기업과 덩치가 큰 조직들만 사이버 리질리언스를 추진하게 되는 건 바로 그런 이유 때문”이라고 지적한다. “그런 조직들은 보안을 좀 더 통합적으로 기획하고 다뤄본 경험을 가지고 있지요. 그럴 만한 예산도 뒷받침 되고요. 중소기업들은 장비 몇 개, 솔루션 몇 개 구매하는 것만으로도 예산에 부담을 느낍니다. 통합적인 조직 강화라는 게 아직은 와닿지 않는 얘기일 수밖에 없습니다.”

하지만 상황은 개선되고 있다. 위협에 대응하는 데 걸리는 시간이 점점 줄어들고 있다는 것이 그 증거다. 사이버워크포스벤치마크(Cyber Workforce Benchmark)가 조사한 바에 따르면 2021년 사이버 보안 사고 발생 시 기업들의 평균 대응 시간은 29일이었다. 이것이 2022년에는 19일로 크게 줄어들었다고 한다. 이것만으로 리질리언스가 좋아졌다고 하기는 어렵지만, 리질리언스가 좋아졌을 때 나타나는 현상 중 하나가 드러나고 있다고 말할 수는 있다.

보안 업체 이머시브랩스(Immersive Labs)의 CEO 제임스 해들리(James Hadley)는 “대응 시간이 빨라졌다는 것은 매우 좋은 신호”라는 의견이다. “취약점들을 제 때 처리하고, 각종 위험 요소들이 실제 나쁜 영향을 발휘하기 전에 선제적 조치를 취해야만 대응 시간이 줄어들 수 있거든요. 대응 시간이 줄었다는 건 기업들이 사건이 발생할 때를 대비해 미리 뭔가를 하기 시작했다는 뜻입니다. 대단히 긍정적인 변화라고 봅니다.”

사이버 리질리언스, 보다 전략적으로
홉킨스는 “리질리언스가 최첨단 솔루션 하나 구매해 전사적으로 구축하는 게 리질리언스가 아니라는 걸 계속 강조해도 모자란다”고 말한다. “리질리언스를 강화하는 길고 긴 과정을 통틀어 CISO들은 ‘지금 당장 사건이 벌어진다고 했을 때 우리는 얼마나 대비가 되어 있는가?’를 항상 스스로에게 물어야 합니다. 그리고 최적의 답을 찾아 실제 구현해내야 합니다. 최첨단 솔루션을 구매하는 게 답이 될 수 있습니다. 하지만 그게 전부는 아닙니다.”

보안 업체 사이버프루프(CyberProof)의 CEO인 토니 벨레카(Tony Velleca)는 “우리 회사가 가장 당할 확률이 높은 사이버 공격 유형은 무엇인가를 파악하는 것부터 시작하라”고 권한다. “어떤 산업에 속해 있는지, 어떤 지역에 위치해 있는지, 어떤 IT 환경을 갖추고 있는지, 어떤 데이터를 주로 다루는지, 사용자들은 어떤 부류인지 등에 따라 회사를 공략할 방법은 얼마든지 달라질 수 있습니다. 리질리언스를 갖추려면 ‘얼마든지 달라질 수 있다’거나 ‘다양하다’에서 그치면 안 됩니다. 구체적으로 알아야 합니다.”

사이버 범죄자들이 회사를 공략할 때 사용할 가능성이 가장 높은 방법을 알아간다는 건 회사의 리스크를 이해하기 시작한다는 뜻이다. 사이버 공격과 관련된 리스크가 파악이 됐다면, 관련 위협들을 어떻게 탐지하고 마비시켜야 하는지, 혹은 어떤 대처가 가능한지 등을 자연스럽게 연구하게 된다. 문제를 알게 되니 답을 찾는 게 쉬워진다는 뜻인데, 사실 이 ‘대처법’이라는 것을 간단하게 요약하면 ‘기술과 인력의 조합’이라고 할 수 있다.

해들리는 “비싼 솔루션에 모든 보안 예산을 쓰는 것도 말이 안 되고, 직원들을 대상으로 한 보안 교육과 훈련에 ‘올인’하는 것도 현명하지 않다”고 말한다. “한정된 예산으로 두 가지 모두를 잡아야 합니다. 가장 현실적인 선 안에서 솔루션을 구매하고, 동시에 주기적인 훈련과 교육을 통해 보안 지식과 대응력을 꾸준하게 강화시키는 게 중요합니다.”

해들리의 설명이 이어진다. “보안을 간단하게 한답시고 체크리스트를 주고 ‘이것만 지켜도 된다’라고 하는 건 리질리언스 측면에서 도움이 되지 않습니다. 전체 보안 전략을 자꾸만 알려줘서 이해시키는 게 다소 어렵고 시간이 걸릴지 몰라도 리질리언스에는 더 효과적입니다. 전체적인 방향성을 알면 변칙적인 일이 발생했을 때 대응할 수 있기 때문입니다. 체크리스트만 기계적으로 바라보던 임직원들이 예상 외 상황에서 기지를 발휘할 확률은 낮습니다.”

경영진들이나 부서장들은 자신이 맡은 부서나 팀에서 주력으로 사용하는 데이터가 어디에 저장되어 있는지도 신경 써야 한다. 또한 그런 데이터를 호시탐탐 노리는 사이버 공격자들의 공격 방법과 전략이 어떤 식으로 발전하고 있는지도 주시해야 한다. “예를 들어 최근 많은 기업들이 클라우드로 인프라를 전환하고 있습니다. 그러면서 데이터들 역시 클라우드로 옮겨질 때가 많습니다. 이런 경우 클라우드를 침해하는 해커들의 전략에 늘 관심을 가지고 소식을 얻는 게 좋습니다. 새 인프라와 도구를 보안 담당자들이 능숙하게 다룰 수 있도록 틈틈이 교육하는 것도 잊지 말아야 하겠고요.” 벨레카의 설명이다.

사이버 리질리언스의 미래
위협이 점점 거세지고 있기 때문에 기업들은 필요에 의해서라도 사이버 리질리언스를 진지하게 고민할 수밖에 없을 것으로 예상된다. 게다가 일부 국가들에서는 리질리언스를 규정과 표준, 새로운 법안 등으로 강제하고 있기도 하다. 당분간 거의 모든 기업들이 ‘리질리언스 갖추기’를 앞다투어 시작할 가능성이 높다. 공격도 당하기 싫고, 벌금도 내기 싫다면, 어쩔 수 없는 선택이다.

시얼슨은 “최근 SEC가 사이버 보안 관련 규정을 새롭게 도입했는데, 이게 상당한 변화를 이끌어낼 거라고 보고 있다”고 말한다. “기업의 변화는 대부분 C레벨 경영진부터 시작합니다. SEC의 움직임은 CISO와 CSO, 더 나아가 CEO의 높은 관심을 받기 마련입니다. 그리고 이들의 결정에 큰 영향을 미치죠. SEC가 나섰다는 건 사실 임원진들에게 변하라는 메시지를 전하는 것과 같습니다.”

체르니츠키는 “3~5년 사이에 사이버 공격에 꿋꿋이 버틸 수 있는 기업들이 훨씬 늘어나기를 바라고 있다”고 말한다. “지금은 너무 많은 기업들이 사이버 공격에 버티지 못하고 무너집니다. 어쩔 수 없는 기간이라고 생각합니다. 하지만 3~5년 사이에 리질리언스가 보다 보편화 되면 상황이 달라질 겁니다. 그렇게 되기를 소망하고 있습니다.”

글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)