보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

사이버 공격 이전과 이후, CISO들이 해야 할 일

입력 : 2023-11-20 10:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
사전에 미리 준비를 잘 하고, 소통을 잘 하고, 복기만 잘 하면 튼튼한 조직으로 만들 수 있다.

[보안뉴스=테일러 레만 CISO, Google Cloud] 오늘 날의 복잡한 IT 인프라와 망의 구조를 생각하면 사이버 사건이 일어날 수밖에 없다는 것을 쉽게 수긍할 수 있다. 게다가 해커들은 갈수록 실력이 좋아지고 있고, 갈수록 돈에 더 욕심을 내고 있다. 해킹 기술은 보편적으로 전파되고 있으며, 새로운 멀웨어는 매일 발견되고 있고, 새로운 공격 기법 역시 여기 저기서 등장한다. 이제 사이버 공격을 대비한다는 건 매일 일어나 옷을 입고, 목 마를 때마다 물을 마시는 것과 같은 수준의 일이 됐다.

[이미지 = gettyimagesbank]


사이버 공격은 어떻게 대비해야 할까? 제일 먼저는 공격자들의 침투 및 악성 행위를 미리 예상하여 ‘플레이북’을 마련하는 것부터 시작해야 한다. 그것도 상세하게 해야 한다. 당연하지만 공격자들의 행동을 상세하게 예상하면 할수록 그에 따른 단계별 대응 역시 미리 꼼꼼하게 계획할 수 있기 때문이다. 가상의 공격을 상상하면서 준비하는 것이기 때문에 방어자 입장에서 자신도 모르게 현실보다 희망적인 태도를 취할 수 있게 되는데 이 점을 주의하는 게 중요하다. 되도록 최악의 상황을 상상해 가며 각 인원에게 해야 할 일을 배정해 주는 게 더 낫다.

물론 사이버 사건은 모두가 고유하고, 똑같은 게 하나도 없다. 그렇기 때문에 상상한 그대로 일이 일어날 가능성은 현저히 낮다. 따라서 대응과 복구의 절차 역시 매번 달라지는 게 당연하고, 준비한 것과 다르게 진행될 때도 많다. 그럼에도 플레이북이 있고, 그에 따라 훈련을 여러 번 해두면 그것을 기준으로 삼아 행동할 수 있게 되며, 따라서 실제 상황에서 뭔가 다르더라도 빠르게 응용할 수 있게 된다. 그래서 CISO들은 플레이북을 준비해야 하는데, 이 때 해야 하는 것은 크게 세 가지로 정리가 가능하다.

1. 사이버 공격 전 : 교육하라
CISO들과 보안 분야의 관리자들은 무엇보다 사업 부문의 관리자 및 결정권자들과 만나 보안에 대한 이야기를 자주 나눠야 한다. 사실 ‘자주’도 부족하다. ‘정기적’이 더 좋다. 주기적으로 열리는 사업 회의에 참석할 수 있도록 스스로 자리와 기회를 마련하는 게 중요하다. 보안은 보안을 직접 맡고 있는 담당자가 아니라고 하더라도 반드시 알아야 하는 것으로 변하고 있다. 특히 제일 윗선에서 보안에 대한 감각과 기본 상식을 갖추는 게 중요하다. 그래야 보안과 관련된 지침들이 아래로 내려와 조직 전체로 퍼지기 때문이다. 그리고 교육에 있어서 염두에 두어야 할 건 다음과 같다.

1) 사업 분야의 주요 리더들과 끈끈한 관계를 만든다 : CISO들은 보안에 관해 잘 알고 있고, 기업이 튼튼해지기 위해 무엇을 해야 할지 잘 알고 있지만 그러한 지식을 단독으로 수행할 수는 없다. 사업 결정권자들의 허락이 있어야만 한다. CISO로서 결정권자들과 신뢰를 쌓는다는 것은 조직 전체의 안전을 위해 중요한 일이다. 반복적으로 보안 향상 방법을 언급하고 교육할 때, 그래서 결정권자들이 보안에 대하여 이해하기 시작하면 이야기가 원활해진다.

2) 역할과 책임이 정확히 분담된 통합적이며 총체적인 플레이북을 완성하고, 그것을 미리 운영해 본다. 실제 사이버 사건이 발생하면 꽤나 상황이 복잡해지고, 그런 분위기에 휩쓸리기 쉬운데, 그럴 때 미리 정해둔 것이 있고, 그에 따라 움직이는 것을 여러 번 해봤다면 차분하게 상황에 대응하는 게 가능해진다. 제일 위의 결정권자에서부터 제일 아래의 신입 직원까지 알맞은 역할을 배분 받아야 하며, 그렇게 하려면 CISO와 보안 담당자들이 여러 상황을 철저하고 꼼꼼하게 상상하고 대응책을 마련하는 게 중요하다. 꽤나 많은 시간과 자원을 투자해야 하는 일이다.

3) 플레이북이 완성되었다고 해서 끝나는 건 아니다. 이제 그 플레이북을 가지고 여러 가지를 실험해야 하며, 그렇게 함으로써 그 계획에 있을 수 있는 각종 오류들을 찾아내야 한다. 그런 후에 그것을 현실에 맞춰 고쳐내는 작업이 반드시 있어야 한다. 위에서 필자는 아무리 상상을 잘 해도 현실과 똑같을 수 없다고 했는데, 그러한 사실에 지나치게 집착한다면 플레이북의 점검 과정이 꼼꼼하게 이뤄질 수가 없다. 세부적인 내용에서까지 정확히 똑같을 수가 없다는 것이지 큰 줄기에서부터 완전히 틀리다는 뜻이 아니다. 세부 사항을 최대한 맞추기 위한 노력이 수반되어야 하기 때문에 상상과 현실은 다르다는 사실을 지적한 것이다. 플레이북을 만들고 여러 번 모의 훈련을 해가면서 점검에 점검 반복하는 게 중요하다.

2. 실제 공격 발생 시 : 소통하라
아무리 대비를 철저히 해도 일어날 보안 사고는 일어나기 마련이다. 미리 계획도 짜고 훈련도 하고 서로의 역할 분담까지 했는데도 사고가 발생했다는 사실에 실망감과 불안이 먼저 밀려올 수 있는데, CISO는 이런 부분을 먼저 만져주어야 한다. 사건이 실제로 발생하기 전에 이러한 심리를 여러 번 다뤄주는 것도 좋지만, 사건이 터졌을 때 각자의 역할을 상기시켜주며 최선을 다해줄 것을 당부하면서 부정적인 마음을 다독이는 것도 중요하다.

보통 사건이 터졌을 때 가장 효율적으로, 신속하게 대응하는 사람은 미리 정해진 플레이북을 인지하고 훈련을 통해 몸으로 익힌 사람일 때가 많다. 무슨 뜻일까? 실제 사건이 터졌을 때 생겨나는 실망감을 다룬답시고 ‘괜찮아’, ‘잘해보자’만 반복한다고 뭐가 되지 않는다는 것이다. 그럴 때일수록 오히려 훈련해 왔던 것을 상기시켜주고, 그것을 실제로 실행할 수 있도록 상기시켜주는 게 효과적이다. 꾸준히 저금해 온 훈련의 기억만큼 불안과 실망감을 빠르게 없애주는 것도 없다.

그렇다고 정신차리고 할 일 하라고 닥달하는 것도 그리 좋은 방법은 아니다. 뭐든 균형을 맞춰야 한다. 그리고 그 균형 맞춤이 소통의 핵심이기도 하며, 적절히 균형을 맞춘 소통은 사이버 사건 대응의 핵심 요소다. 또 하나, 소통의 범주에 들어가는 건 비단 내부 인원들만이 아님 또한 기억해야 한다. 외부의 파트너사나 고객, 유관 기관에서도 목이 빠지게 소식을 기다릴 것이다. 이럴 때 이들을 안심시킬 수 있는 메시지를 올바른 방법으로 전달하는 것도 잊지 말아야 한다.

3. 공격이 일어난 후 : 복기하라
그 어떤 시련이라도 결국 지나가기 마련이다. 아무리 시끌벅적했던 보안 사건이라 하더라도 언젠가는 끝이 난다. 하지만 그렇다고 해서 사이버 보안 담당자들의 일이 끝나는 건 아니다. 사건을 복기하고 되짚을 건 되짚어 같은 상황이 다시 발생하는 일이 없도록 해야 한다. 모든 것이 정상으로 돌아간 것처럼 보일 때, 오히려 사후 처리를 해야 한다는 것이다.

먼저는 보안 팀 내 인원들이 모여서 사건을 복기하는 순서를 갖는 것이 좋다. 어떤 공격이 어떤 경로로 일어났으며, 예방에 있어서 어떤 점이 아쉬웠고 대응에 있어 어떤 점이 성공적이었는지를 서로 나눈다. 그런 다음 성공적인 부분을 강화하고 아쉬운 부분을 보강할 방법을 논의해야 한다. 이 때 CISO에게 가장 중요한 건 특정 인물이나 부서를 비판하는 분위기로 흘러가는 걸 막는 것이다. 조직 전체의 보안을 강화한다는 목적을 잊으면 안 된다. 비판으로 가는 순간 전체 보안 강화라는 목적은 사라진다.

글 : 테일러 레만(Taylor Lehmann), CISO, Google Cloud
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)