IDG 블로그 | 사이버보안 RSO가 되는 방법

RSO란 무엇인가? 미국 밴더빌트 대학 교수 랑가라지 라마누잠의 저서 <신뢰성을 위한 조직(Organizing for Reliability)>에 따르면, RSO는 “신뢰성을 추구하는 조직(Reliability Seeking Organization)”이다. 우리는 사이버보안을 흑백논리, 즉 침해냐 침해가 아니냐로 생각하는 경향이 있고 아키텍처, 위협, 방어에 초점을 맞추는 경우가 많다. 그러나 사실은 보안 프로그램의 신뢰성에 대해서도 신경을 써야 한다. 여기서 말하는 신뢰성의 정의에는 성능 일관성(performance consistency)과 탄력성(resiliency)이 포함된다. “내고장성(Fault tolerant)” 역시 이를 기술하는 또 다른 용어다.
 

많은 유형의 조직이 이미 고신뢰성 비즈니스 프로세스를 개발했다. 목표 달성에는 전략과 실행이 모두 포함된다. 필자는 이러한 조직으로부터, 그리고 보안 버블을 벗어난 모험에서 많은 것을 배울 수 있다고 생각한다.

보안 = 신뢰성

이 글은 원래 필자가 내슈빌에서 라마누잠 교수에게 들었던 강의 내용에서 시작됐다. 이 글의 핵심은 보안 사일로 외부로부터의 학습이다. 내슈빌의 ACP(Association of Contingency Planners)가 주관한 이 강의의 주제는 고신뢰성 조직이었다. 오늘날의 보안 아젠다는 ACP와 같은 단체와도 상호 겹치는 부분이 있다. 예를 들어 랜섬웨어 공격과 DDOS 공격을 생각해 보자. 필자는 강의를 들은 이후 라마누잠의 책도 읽었다. 강의와 책의 내용은 정보 보안에 적용된다. 이 글은 강의와 책의 내용을 압축한 버전이다.

좋은 보안 프로그램의 목적은 비즈니스 신뢰성이다. 우리가 원하는 것은 기밀성(confidentiality), 데이터 무결성(data integrity) 또는 가용성(availability)의 침해 등 이유가 무엇이든 그로 인한 계획되지 않은 일들을 방지하는 것이다. 디지털 데이터와 기술이 모든 비즈니스 프로세스에 통합되는 상황에서 이런 비즈니스 프로세스의 신뢰성은 온전히 정보 보안 프로그램의 신뢰성에 의존한다. 많은 전문가들은 그동안 기술, 사람, 프로세스를 포함한 보안 아키텍처에 집중했다.

업계 추산에 따르면, 현재 2,500개 이상의 보안 신생 업체가 존재하며 매주 그 수는 늘고 있다. 그러나 이런 신생 업체 중에서 고신뢰성 보안을 달성하는 데 초점을 둔 업체는 거의 없다. 한 가지 예외 범주는 보안 통제의 지속적인 테스트를 촉진하는 “침해 및 공격 시뮬레이션” 도구다(베로딘(Verodin), 사이뮬레이트(Cymulate), 세이프브리치(Safebreach) 등). 이 글의 주제는 신뢰할 수 있는 보안 프로그램을 구축하는 데 더 초점을 맞춰야 한다는 것이다.

RSO의 출발점은 HRO, 즉 고신뢰성 조직(High Reliability Organization)의 개념이다. HRO 조직은 RSO, 즉 신뢰성 추구 조직 및 고신뢰성에 특별히 초점을 두지 않는 보편적인 조직과는 구분된다. 필자는 사이버보안 측면에서 현재 대부분의 조직이 아직 RSO 또는 HRO에 해당되지 않는다고 생각한다. 사이버보안 RSO 또는 HRO가 되는 방법에 대해서는 뒤에서 더 자세히 다룰 것이다. 

신뢰성이란 무엇인가

이 맥락에서 신뢰성이란 무엇인가? 시스템이 의도한 동작을 실패 없이 수행하는 것이다. 이 정의에는 두 가지 측면이 있다. 

첫 번째는 예측(anticipation)의 논리다. 적절한 통제와 메트릭스가 구축되었는가? 두 번째는 탄력성의 논리다. 시스템이 침해의 여파를 억제할 역량을 갖추었는가? 또한 침해의 결과로 구축된 보안 프로그램이 이전보다 더 강력한가?라는 질문도 마찬가지로 중요하다. 불행히도 침해 및 기타 장애는 책임 공방, 임원의 해고를 비롯해 엉뚱한 결과로 이어지고 정작 실질적 개선은 되지 않는 경우가 많다.

우리가 신뢰할 수 있는 보안 프로그램에서 찾는 요소는 무엇인가? 첫째, 변동성이 낮은 성능의 일관성이다. 현재는 연간 또는 분기별 감사를 기반으로 한 정기적 일관성에 초점을 둔다. 둘째, 중간 이벤트와 근접 사고(near miss)를 추적해야 한다. 많은 경우 이런 요소는 향후 조사해야 할 목록에서 가장 하위 순위에 배치된다. 셋째, 침해 또는 이벤트 전후의 탄력성이다. 지금의 보안 탄력성 정의는 공격이 이미 대대적으로 알려진 이후의 대응을 강조한다.

HRO 연구에서 핵심 교훈은 신뢰성에 대한 시스템 접근 방법의 중요성이다. 침해의 원인으로 흔히 “운영자”, “관리자”, “아웃소싱 업체” 또는 “CISO”를 비난하지만 실제 사고에는 많은 원인이 있다. 조세핀 울프의 저서 <이 메시지를 볼 때면 이미 늦은 것(You’ll See This Message When It Is Too Late)>에서 이런 점이 매우 잘 나와 있다. 울프는 근래의 보안 침해 사고를 상세히 분석하면서 각 사고에 많은 원인이 있음을 명확하게 기술했다.

그레이엄 페인의 최근 저서 <새로운 사이버 보안 침해의 시대(The New Era of Cybersecurity Breaches)>를 보면 2017년 에퀴펙스(Equifax) 침해 사건 당시 정확히 어떤 일이 일어났는지 알 수 있다. 일반적으로 알려진 원인은 에퀴팩스가 아파치 스트럿츠(Apache Struts) 인스턴스를 패치하지 않았다는 것이다. 

페인의 책은 이메일 메시지 하나를 즉각 전달하지 못한 것이 어떻게 이 사고로 이어졌는지를 상세히 기술한다. 신뢰할 수 있는, 내고장성을 갖춘 보안 시스템은 한 사람이 신속하게 메시지를 전달하는지 여부에 의존하지 않을 것이다.

HRO를 구축하는 방법

HRO를 구축하는 데 성공적인 세 가지 프로세스가 있다. 세 가지 중에 보안 실무자에게는 이 세 가지 모두 익숙한 프로세스다. 그러나 필자가 바라는 것은 이와 같은 프로세스가 다른 맥락에서도 통한다는 사례를 통해 보안 우선순위 목록에서 더 높은 곳으로 끌어올리는 것이다. 세 가지 프로세스는 ▲지속적 학습 및 개선 ▲규정 준수 프로세스 대 위험 기반 프로세스 그리고 ▲높은 신뢰성을 위한 관리다.

지속적 학습은 고신뢰성 프로세스를 구축하기 위한 핵심 구성요소다. HRO는 재해 또는 신뢰성 장애로 이어지는 6단계를 기술하는 DIM(Disaster Incubation Model)을 활용한다. 킬 체인에 해당하는 위험 관리라고 생각하면 된다. DIM 모델에는 다음의 6가지 단계가 포함된다.

1. 시작 지점(Starting point)
2. 배양 기간(Incubation period
3. 이벤트 촉발(Precipitating event)
4. 시작(Onset)
5. 구조(Rescue and salvage)
6. 전체 문화 조정(Full cultural adjustment)

지속적 학습은 이상적으로는 “배양 기간”에, 재해 이벤트가 발생하기 전에 일어난다. 핵심 개념은 대리 학습(ISAC 및 ISAO. smarthive.io와 같은 피어 인텔리전스 서비스)과 작은 실패로부터의 학습이다. 필자는 아파치 스트럿츠(Apache Struts) 관련 패치 재해에 앞서 에퀴팩스의 패치 관리 프로세스에 다른 간극이 있었는지 여부가 궁금하다. 여기서 핵심 개념은 다음과 같다.

“…근접 사고는 대규모 장애로 이어지는 조건과 동일한 조건에 의해 발생하므로 조직 의사 결정자가 근접 사고를 경험하고 학습함으로써 위험한 조건을 파악하고 교정할 수 있다면 미래에 대규모 장애를 겪을 가능성을 낮출 수 있다” – 랑가라지 라마누잠, 신뢰성을 위한 조직

규정 준수 vs. 위험

규정 준수 대 위험은 사이버 보안 리더들 사이에서 자주 논의되는 주제다. 지배적인 의견은 규정 준수 요건이 예산을 얻는 데 도움이 되지만 안전한 조직을 구축하기 위해서는 위험 분석이 필요하다는 것이다. 이 사고방식은 보안 전문가가 자신의 일자리를 지키는 동시에 예산을 확보하는 데 유용하다. “규정 준수” 상태가 되기 위해 필요한 방대한 규모의 작업을 감안하면 그것만으로 조직이 효과적으로 위험을 관리하고 있다는 착각에 빠지기 쉽다.

의료, 원자력, 항공 등 라마누잠의 책에 프로파일링된 많은 산업이 엄격한 규제를 받는다. 이런 산업에는 규제의 효과에 대한 다년간의 분석이 축적돼 있다. 분석 결과에서 사이버 보안에 적용할 수 있는 것은 무엇일까? 한 가지는 신뢰할 수 있는 시스템은 규제를 통해 얻을 수 없다는 것이다. 규제 기관에는 충분한 정보가 없다. 또한 정부 규제는 업계보다 너무 뒤쳐져 있어 만들어지는 시점에 이미 그 의미가 희석된다. 캐피털원(CapitalOne) 침해가 대표적인 예다. 은행 업종은 가장 많은 규제를 받는 산업 중 하나이지만 클라우드 기반의 서드파티를 통한 위험은 규제 기관의 시야에서 벗어난 지점에 있었다.

사이버보안이 규제 대상임을 감안할 때, 규정 준수와 규제 측면에서 HRO의 경험으로부터 우리가 얻을 수 있는 것은 무엇일까? 목표 중심의 규제와 오류 중심의 규제를 구분하는 것은 중요한 개념이다. 대부분의 규정에서는 전자, 즉 통제 목표 충족에 초점을 둔다. 그러나 조직은 내부 오류 감지 역량 강화를 통해 효과를 얻을 수 있다. 적용 가능한 또 다른 점은 확장 조직과 관련된다. 공급망의 규제 및 신뢰성 관련 사항 관리는 조직이 직면하는 가장 큰 위험인 경우가 많다.

보안을 위한 관리는 최근 과학이 됐다. 이제 CISO는 이사회를 대상으로 프레젠테이션을 하고, 무조건 “안 된다”고 말하는 부서가 아니라 비즈니스 이니셔티브를 지원해야 한다는 것을 안다. 그러나 HRO와 RSO는 수십년째 관리의 역점을 높은 신뢰성에 두고 있다. 조직의 “3가지 렌즈”를 통한 시야는 사이버 보안 HRO 구축을 향해 나란히 뻗은 3개의 길로 이어진다. 이 3개 렌즈를 통한 시야 중 어느 하나라도 놓치면 목표를 달성하지 못할 가능성이 높다. 3개의 렌즈는 다음과 같다.

1.    전략적 설계
2.    정치적
3.    문화적

기술 배경을 가진 대부분의 CISO는 “전략적 설계” 렌즈를 어려움 없이 바로 사용할 수 있다. 전략적 설계는 CISO 팀 조직과 비즈니스 운영 및 IS 운영과의 상호작용을 다룬다. 두 번째 렌즈는 “정치적” 렌즈다. CISO에 따라서는 이 렌즈를 통해 조직 보안을 보는 역량 또는 관심이 부족할 수 있다. 이 렌즈의 목적은 보안 목표를 달성하기 위한 동맹을 찾는 데 있다. 세 번째 렌즈는 “문화적” 렌즈다.

많은 보안 리더가 고민하는 과제 중 하나는 조직을 더 나은 보안 문화로 이끌 방법이다. 많은 CISO는 “보안 문화가 더 개선되면 좋겠다”고 생각한다. 일부는 더 큰 보안 침해가 필요하다고도 말한다. 더 나은 문화로의 변화가 촉발되리란 기대 때문이다. 그러나 RSO의 경험은 이것이 사실이 아님을 보여준다. 재해는 문화 개선에 도움이 될 수도, 되지 않을 수도 있다. 책임 공방만으로 끝나는 경우도 있다. OPM 침해 이후 지시된 30일 보안 스프린트는 사이버 보안 재해에 대한 비생산적인 대응을 보여주는 사례다.

이론에서 실무로

문화 개선에 대해 RSO와 HRO로부터 무엇을 배울 수 있고, 이를 사이버보안 문화에 어떻게 적용할 수 있을까? 한 가지 아이디어는 해당 업계의 침해 참조 자료를 갖춰 두고, 이 정보를 사용해서 “배양 기간”에 나타나는 여러 작은 오류를 완화하는 것이다. 특정 침해의 원인을 모른다면 어떻게 효과적인 방어를 구축하겠는가? 조지 산타야나는 “과거를 기억하지 못하는 자는 그 과거를 반복할 수밖에 없다”고 말했다. 이 점에 대해서는 로저 그라임스의 저서 <데이터 기반 컴퓨터 방어(A Data Driven Computer Defense)>에 간결하게 나와 있다.

더 나은 직원 교육도 보안 문화 조성에 매우 효과적이다. 현재 우리에게 필요한 것은 모든 직원을 대상으로 한 위험 관리 문화 교육이다. 갈수록 더 많은 보안 공격이 기술에 대한 전문적인 공격이 아닌 정상적인 비즈니스 프로세스 자체를 이용한다(피싱, BEC, 크리덴셜 스터핑 등). 사이버보안을 위한 마이크로 크리덴셜은 모든 직원이 필요한 위험 스킬을 익히는 데 도움이 되는 새로운 접근 방법을 보여준다. 마이크로 크리덴셜은 CISSP와 같은 보안 자격증 또는 전반적인 교육보다 더 집중적이다. 이것이 정보 보안에 유용한 이유는 무엇일까? 사용자에게 더도 말고 보안에 대해 딱 알아야 할 만큼만 효율적으로 가르칠 수 있기 때문이다.

모든 보안 실무자는 신뢰할 수 있는 프로그램 구축이라는 과제에 직면한다. 그러나 성공적인 사이버보안 RSO 또는 HRO로의 전환에 대한 사례 연구가 부족하다. 신뢰할 수 있고 자립적인 보안 프로그램 구축은 숲에서 불을 지피는 일과 같다. 보안 관리자가 할 수 있는 일은 불쏘시개와 나무, 공기를 제공하는 것뿐이다. 딱 맞는 구성이 발견되면 스스로 유지되는 불길이 시작된다. 이 구성을 얻으려면 이 글에 소개한 관리 접근 방식을 꾸준히 따라야 한다. editor@itworld.co.kr