시스코가 사이버 범죄 네트워크와 싸우는 방법 : 시스코 CISO 인터뷰

스티브 마티노가 시스코의 부사장 겸 CISO(Chief Information Security Officer)를 맡은 지 10년이 되면서 마티노의 역할은 보안을 단지 필수적인 요소로 다루는 일에서 전략적으로 필수불가결한 요소로 다루는 일로 변했다.

마티노의 역할은 최근 몇 개월 여러 가지 도전에 직면했는데, 가장 최근 일어난 일은 전세계를 위협한 워너크라이 랜섬웨어의 공격이었다. 마티노는 CSO와의 인터뷰를 통해 시스코가 날로 기승을 부리는 사이버 범죄 네트워크와의 전쟁을 준비하고 있는지 설명했다.

CSO : 시스코는 워너크라이의 공격에 어떤 피해를 보았는가?
대단한 사건이었지만, 우리 팀은 뭘 해야 하는지 알고 있었다. 이런 문제를 처리하는 프로세스가 있어서 문제를 알리고 커뮤니케이션을 한다. 결국에는 모든 것을 괜찮다는 것을 확실히 하기 위해 이중 점검을 하느라 많은 일을 했다. 일부는 긴박하게 대응해야 했고, 적극적인 공격과 잠재적인 사건을 처리해야 했지만, 준비된 상태였다.

CSO : 이제 워너크라이 공격의 폭풍이 가라앉은 상태이다. 시스코 사이버 방어 측면에서 이번 사건으로 배운 점이 있다면?
이번 사건으로 얻은 교훈 한 가지는 이런 종류의 사건은 더 자주, 그리고 패치할 사이도 없이 더 긴박하게 일어날 것이고, 누군가는 특정 취약점을 이용해 이득을 본다는 것을 더욱 체감하게 됐다. 따라서 우리는 속도와 시간, 즉 어떻게 하면 더 빨리 대응할 것인가에 주목하고 있다.

또 하나의 교훈이라면, 이런 사이버 공격 기법이 이런 일회성 공격에 그치지 않을 것이란 점이다. 다른 누군가가 이 공격 기법을 가져다 변형해 새로운 위협을 만들어 낼 것이다. 사실 이점이 사이버 보안의 변화 중 중요한 부분이다. 10년 전에는 성명을 발표하고 서비스를 망치려는 사람들이 있었다. 자기 능력의 한계를 알기 위해 일을 저지르는 애호가가 있었고, 국가 소속 활동가가 있었다. 오늘날에도 이런 사람들은 그대로 있지만, 대부분 조직은 애호가나 성명을 발표하는 해커의 공격을 막을 수 있다. 물론 개별 기업이 국가 단위의 활동으로부터 자신을 보호하는 것은 매우 어렵다.

사이버 범죄 네트워크는 빠른 속도로 발전하고 있다. 자사의 서비스를 웹 기술을 이용해 대규모로 제공하는 방법을 파악한 일반 기업처럼, 전세계의 사이버 범죄자도 마찬가지 일을 하고 있다. 매우 효과적인 공급망을 구축한 것이다. 경제 상황이 좋지 않은 국가에서 시작되었을지 모르지만, 이들에게는 인터넷 연결이 있다.

이들은 생계를 위한 수단이 없기 때문에 이제 소셜 엔지니어링을 이용하고 있다. 이들은 단순한 툴을 이용해 인터넷의 여러 영역을 훑어보는데, 인터넷에서 패치되지 않은 하드웨어나 특정 소프트웨어 버전을 구동하는 시스템을 찾아낼 수 있다. 그리고 이들을 모아서 다른 누군가에게 판매한다. 이들은 하루에 50~100달러 정도를 버는 데 그치지만, 이를 통해 사이버 범죄 네트워크의 수천 명이 더 큰 공급망을 만드는 데 이용할 수 있다.

CSO : 시스코처럼 큰 조직이 사이버 보안의 탐지와 방어에 민첩하게 대응할 수 있는 비결은 무엇인가?
우리 팀이 모든 곳에서 모든 것을 볼 수는 없다. 따라서 보안 기능을 기업의 비즈니스 프로세스에 심어야 한다. 우리는 보안 챔피언 또는 보안 자원자라는 역할을 만들었다. 이들은 회사의 서로 다른 부서에서 서로 다른 일을 하는 사람들인데, 이들을 뽑아 각 소속 부서의 보안이 중요한 곳에 이들의 역할을 만들었다. 보안 원칙에 대한 교육을 실시하고 보안을 자신의 역할에 어떻게 적용하는지 이해할 수 있도록 했다.

이렇게 부서에 보안 챔피언을 배치한 팀에서는 보안이 좀 더 높은 우선순위를 가지며, 더 빨리 더 자주 생각한다. 또한 이들을 더 많이 뽑고 가르쳐 부서 내에 제대로 심어지면, 회사 전체를 관장할 핵심 부서를 더 크게 만들지 않아도 된다. 정말로 프로세스 내에 심은 것이다.

그 다음으로 우리가 한 일은 나쁜 일이 일어난다는 것을 체감하는 것이다. 95%의 나쁜 일을 방어할 수 있는 좋은 보안 시스템이 필요하지만, 정작 해야 하는 것은 나머지 5%를 효과적으로 처리하는 것이다. 여기서 5%라는 것이 보안 예산의 5%가 아니다. 적극적인 대응에 보안 예산의 50%를 투여해야 할 가능성이 크다.

나쁜 일이 일어나는지 지켜보고 있는 우리 팀에게 두 가지 기준을 견지하도록 했다. 24시간 이내에 탐지하고 36시간 이내에 억제하는 것이다. 자사 환경에서 적대적인 활동이 벌어지고 있다는 것을 발견하는 데 걸리는 업계 평균 시간은 160일이다. 만약 이를 빨리 찾아서 억제할 수 있다면, 피해를 크게 줄일 수 있다. 하지만 이런 프로세스에 적극적으로 투자해야만 한다.

CSO : 이처럼 날로 증가한 위협으로부터 스스로를 보호하기 위해 기업이 할 수 있는 것은 무엇인가?
완전히 절망적인 것은 아니다. 모든 조직이 해야 할 일은 세 가지 정도이다.

첫째, 보안이 자사 전략에서 얼마나 중요한지를 이해하고 파악하는 것이다. 만약 디지털 기업이고, 제품과 서비스를 고객에게 디지털로 제공한다면, 보안을 기업 전략에 심고 받아들일 필요가 있다.

둘째 앞서 설명한 방어 시스템이 필요하다. 성을 보호할 제대로 된 성벽과 해자로 갖추고, 위협이 발생하면 적극적으로 대응해야 한다. 이 때 방어는 자체적으로 할 수도 있고, 협력업체나 보안 솔루션 업체를 동원할 수도 있다.

세 번째로 중요한 요소는 상황 정보를 확보하는 것이다, 누가 어떤 방법으로 공격했는지를 이해하면, 정확한 방어로 위협을 처리할 수 있다.  editor@itworld.co.kr