사이버 보안을 위한 하나의 보편적인 언어, CSF

NIST의 사이버 보안 프레임워크(CSF), 전폭적 지지 나타나
사이버 보안 전체 그림 보려면 보편적 언어로 정보 공유해야

[보안뉴스 오다인 기자] “어떤 위협이 나타나고 있습니까?” “툴은 어떤 걸 샀나요?” “그 취약점에 대한 익스플로잇이 시중에 돌고 있다는 건 알고 있습니까?”

[이미지=iclickart]

어쩐지 익숙하게 들리는 질문들이지 않나? 이 글을 읽고 있는 당신이 사이버 보안 실무자라면 많이 들어본 질문들일 것이다. 지금까지 수많은 조직들이 이런 식으로 정보 공유를 해왔다.

안타깝게도 이런 식의 대화는 살펴봐야 할 영역을 제한하고 커다란 문제를 하나의 특정 보안 문제로만 가두는 결과를 낳았다. 다시 말해, 조직 내 진정한 협업을 달성하기는커녕 여러 팀으로 확장해서 문제를 다 같이 살펴보는 일은 거의 없었다는 뜻이다. 거버넌스 담당자들은 다른 거버넌스 담당자들과 이야기하고, 보안 운영 팀들은 다른 보안 운영 팀들에 접촉하는 일만 계속해서 발생할 뿐이다.

이렇게 고립된 대화는 기업들이 사이버 보안의 큰 그림을 보지 못하도록 방해하고 있다. 그러나 희소식이 있다. 사이버 실무자들은 더 이상 옛날 장단에 춤추지 않아도 될 것으로 보인다.

최근 미국 정부는 공공부문 기업들이 미국 국립표준기술연구소(NIST)의 사이버 보안 프레임워크(CSF: Cybersecurity Framework)를 이용하도록 명령했다. 이에 따라 민간부문의 CSF 도입 비율도 덩달아 높아질 것으로 기대된다. 이건 정보 공유에 있어 우리가 티핑포인트(tipping point)에 도달했다는 걸 의미한다. 이는 공공과 민간을 아울러 사이버 보안 커뮤니티 전체가 더 효과적인 사이버 위험 관리 프로세스를 개발하기 위해 함께 일할 수 있다는 의미이고, 이 과정에 개입하는 모든 이들에게 혜택을 선사할 것이라는 의미이기도 하다.

기업 내 정보 공유를 재정의하는 것
지난 5월 큰 기대를 받으면서 발표된 사이버행정명령(Cyber Executive Order)은 NIST의 CSF가 보다 광범위하게 도입돼야 한다고 촉구했다. 사이버행정명령은 중요한 사회기반시설과 조직들이 사이버 위험을 효과적으로 관리할 수 있도록 돕기 위해 2014년 최초로 고안됐다.

CSF의 도입 비율은 상당한 수준이다. IT 리서치 기업 가트너(Gartner)에 따르면, 미국 조직의 30%가량이 CSF가 등장한 지 첫 2년 만에 CSF를 도입한 것으로 나타났다. 가트너는 2020년 도입 비율은 50%에 이를 것으로 전망하고 있다.

올해 아마존 웹 서비스(AWS) 서밋 공공부문 참가자들은 설문조사에서 CSF에 대한 폭넓은 지지를 표명했다. CSF가 조직의 위험 관리를 효과적으로 지원한다고 응답한 사람이 무려 80%로 나타난 것이다. 이 같은 지지가 형성된 데는 여러 요인이 있겠지만, 그 중 확실한 건 바로 공공과 민간을 아울러 하나의 통일된 사이버 보안 기준들이 있어야 한다는 열망이 존재했다는 점이다. 설문조사 응답자 중 무려 96%가 공동의 언어를 사용하는 것이 조직에 이득이 된다고 밝혔다.

CSF나 공통 기준에 대한 지지가 왜 이토록 강력한지 생각해보면, 이것이 기업의 정보 공유를 둘러싼 문제들을 본질적으로 해결해주기 때문이라는 생각이 스친다. CSF의 프로그램 매니저인 맷 배럿(Matt Barrett)은 텔로스(Telos Corporation)의 최고보안책임자(CSO) 릭 트레이시(Rick Tracy)와의 대담에서 CSF의 목적이 “사이버 보안 전문가들과 기타 영역의 전문가들 사이를 이어주는 것”이라고 설명한 바 있다.

CSF는 전형적인 사이버 보안 대화 방식에서 탈피해서 모든 사람과 모든 수준의 조직들이 널리 사용되는 용어들로 사이버 보안을 이해할 수 있도록 돕는다. 내부적으로 보자면, 이는 서버실의 IT 전문가들이 이사회의 간부들과 효과적이고도 가치 있는 대화를 나눌 수 있게 된다는 뜻이다.

다른 말로, 이것은 사이버 보안을 위한 보편적인 언어를 창조해낸다는 뜻이다. 로제타 스톤(Rosetta Stone)이라는 소프트웨어가 새로운 언어를 빠르고 쉽게 학습할 수 있도록 도운 것처럼, CSF는 사이버 보안의 복잡한 내용들과 딱딱한 사이버 위험 관리 계획을 누구든지 빠르게 이해할 수 있도록 돕는 간편한 방법을 제공한다.

CSF는 보편적인 어휘가 되어가는 중이며, 간절하게 필요했던 맥락을 더해주고 있다. 특히, 보안 방어와 잔차위험(residual risk) 사이의 격차들을 논의할 때 필요한 맥락을 부여해준다. 만약 당신이 대화 상대방의 부서에 대해 잘 모르고 있다면, 당신은 그 동료와 충분하게 대화를 진행할 수 없을 것이다. 기업들이 사이버 위험 관리 프로세스를 향상하려고 노력하는 만큼, 정보 공유는 새로운 차원의 깊이와 의미를 갖게 될 것이다. 조직 내부 전체가 이해할 수 있고 조직 밖의 다른 기업들과도 소통할 수 있는, 하나의 보편적인 언어로 힘을 얻는다면 말이다.

자동화는 기업들의 협업을 장려한다
CSF가 공공부문에서 전폭적인 지지를 받는다 하더라도, 아직까지 수없이 많은 공공 및 민간 부문 조직들이 이를 “그저 또 하나의 프레임워크” 정도로 여기고 있는 것도 현실이다. 그들은 하나의 공통된 사이버 보안 언어를 개발하려던 이전의 시도들이 도중에 실패하는 사례를 자주 목격했기 때문이다.

그 이유들 중에는 컴플라이언스와 연관된 골칫거리들이 있다. 앞서 언급한 설문조사에는 가장 큰 컴플라이언스 과제가 무엇인지에 대한 문항이 있었는데, 두 가지 답변이 두드러졌다. 응답자의 46%는 시간이 너무 오래 걸리기 때문이라고 말했으며 45%는 너무 복잡하기 때문이라고 말했다. 이런 응답들은 사실 놀랍지는 않다. 시간과 복잡성은 사이버 보안 리더들을 수년 간 괴롭혀온 컴플라이언스 문제이며, 보편화한 사이버 보안 언어라는 절박한 필요성을 충족시키는 데도 거대한 장애물로 작용해왔다. 사이버 보안 언어를 현대화하고, 혁신하며, 개발하려는 그 모든 지속적인 노력을 저해해왔던 것이다.

기술 발달 덕분에 이런 컴플라이언스 허들을 극복할 답은 자동화라는 모습으로 나타나게 됐다. 기업들은 CSF와 같은 컴플라이언스 기준들을 이제 자동화할 수 있다. 이는 비용과 시간을 엄청나게 절약해주는 효과도 있다. 자동화함으로써 기업들은 직원이 위협이나 위험 대응 같은 더 중요한 업무에 시간을 쏟도록 만들 수 있다. 이와 마찬가지로, 자동화는 자원의 제약을 풀어 기업이 혁신과 조사, 훈련에 더 많이 헌신할 수 있도록 돕는다.

복잡한 컴플라이언스 부담을 완화하고 싶은 조직이라면, 그러면서도 보안에 집중해서 앞으로 나아가고 싶은 조직이라면, 시간과 노력을 반절가량 절약해줄 수 있는 자동화 프로세스를 실행해볼 것을 권고한다.

컴플라이언스와 관련된 각종 과제들에도 불구하고, 자동화는 컴플라이언스 프로세스를 효율화할 기회를 제공한다. 사이버 위험 관리를 크게 개선하고 사이버 보안의 미래인 협업을 가능케 하는 기술들이 현재 나와 있다. 이런 기술들을 잘 활용해서 힘을 얻는 건 기업들의 몫이다.

글 : 스티븐 호바스(Stephen Horvath)
[국제부 오다인 기자(boan2@boannews.com)]

SK텔레콤 해킹 사태로 최근 잇슈가 되고 있는 ‘BPF도어’ 관련, 어떤 솔루션을 사용중인가요?
	안랩 V3 Net for Linux
	소만사 Server-i
	파이오링크 점검 도구
	잉카인터넷 전용 백신
	트렌드 마이크로 백신
	기타 국산(솔루션명은 댓글로)
	기타 외산(솔루션명은 댓글로)
	사용하지 않는다