2017.08.08

"사이버 공격을 예측하려면 카산드라의 말을 들어라"…알피 에디

Alyson Behr | CSO
기업의 자산 데이터와 지적 재산 보호는 그 어느 때보다 더 중요하다. 악성 행위자들은 종전까지는 신성불가침이었던 기관들을 공격하고 있다. 이들의 공격 방식은 탐지하기 더 어려워졌으며 기업 재정과 운영에 거의 치명적인 피해를 입힌 경우도 있다.


Credit: Getty Images Bank

일례로, 전세계 은행간 거래 정산 통신망인 SWIFT 뱅킹 시스템이 북한 배후로 추정되는 라자러스(Lazarus) 해킹 공격을 받았다. 병원들이 혈액형과 같은 환자 정보를 인질로 잡는 랜섬웨어의 공격을 받아 수술을 할 수 없게 된다거나 우크라이나 정전 사태도 있다. 버라이즌(Verizon)의 야후(Yahoo) 인수 과정에서 야후 사용자 계정 5억 개의 침해 사실이 드러나 가격 재협상이 불가피했던 사건의 후폭풍 역시 심각했다.

이런 공격이 가능했던 이유 가운데 하나는 이들 조직 중 스스로 피해자가 될 것이라고 예상한 곳이 한 곳도 없었다는 점이다. 조직 차원에서 예상하지 못하는 공격을 최고보안책임자(CSO)나 최고정보보안책임자(CISO)는 어떻게 예측할 수 있을까? 이들이 미래를 예언하는 것이 가능한가?

글로벌 인텔리전스 업체 에르고(Ergo)의 CEO이자 <경고: 재해 방지를 위한 카산드라 물색(Warnings: Finding Cassandras to Stop Catastrophes)>이라는 책을 공동으로 저술한 알피 에디와 인터뷰를 통해 그가 제시한 방안에 대해 들어봤다.

이 책에는 선견지명이 있는 사람들의 여러 가지 사례가 자세히 나와 있는데, 저자들은 이들을 "현대판 카산드라(modern-day Cassandras)"라고 부른다(카산드라는 그리스 신화에서 재앙을 예언한 인물이다). 현대판 카산드라들은 베르니 메이도프의 폰지(Ponzi) 사기와 2008년 경기 불황, ISIS의 등장 등을 분명히 예언했으나 그들의 경고는 깡그리 무시당했다.

Q. <경고: 재해 방지를 위한 카산드라 물색> 책을 통해 '국가경고국(National Warning Office)'이라는 이름의 정부 기관에 관한 전략을 제시했다. 국가경고국의 구체적인 임무는 미래 문제를 예측해 경고함으로써 재앙에 대처하고 가능하면 재앙을 방지하기 위한 것이다. 정부에 대한 권고 사항을 기업에도 적용할 수 있도록 유사한 그룹을 신설하고 프로세스를 구축하려는 CSO/CISO들에게 어떤 조언을 해줄 수 있는가.
에디 :
이 책은 여러 가지 재앙과 이를 경고한 카산드라들의 이야기가 소개되어 있다. 이들은 자신의 분야에서 실력을 인정받은 기술 전문가들로서 자신들의 경고를 뒷받침할 데이터 위주의 증거를 제시했다. 이러한 현상은 이 책의 공저자인 클라크의 지적이 있은 후에야 비로소 드러났다. 그것이 지금까지 본 가치 있는 예측 도구 가운데 가장 가치있는 것이었다.

어떻게 예측을 하는 가에 대한 조직적인 연구는 절대적으로 부족하다. 인간의 예측 능력은 형편없다. 일기예보 정도만 그럭저럭 봐 줄만 하다. 기업 의사결정은 어림도 없다. 도구는 있지만 널리 사용되지 않는다.

경영진과 그 주변 사람들이 기습 상황을 염두에 두는 경우는 매우 드물다. 대부분의 CEO는 어떤 심각한 일이 코 앞에 닥쳐 있는 지에 대한 생각을 하지 않는다. 반면, 유능한 CEO는 이를 직시하고 있으며 기습 상황에 대비할 수 있는 정보를 원한다.

문제는 아무리 CEO가 그렇다 해도 가려운 곳을 긁어줄 능력이 조직에게 없다는 점이다.
왜 그럴까? 이유는 3가지다. 1) 애초에 조직에는 이런 목적이 없다. 따라서 적절한 인재나 도구, 적절한 권한이 없다. 2) 적절한 도구가 실재하지 않거나 제대로 교육되지 않는다. 3) 조직들은 전략적으로 기습을 당한다. 왜냐하면 의사결정권자들이 경고를 받아도 이를 제대로 의식하거나 주의를 기울이지 않기 때문이다.

기업들에게 경고실이나 미래실을 신설하라고 권한다. 기업 환경에서 예측 그룹은 이 책에서 정부에 제안한 해결책과 마찬가지로 고위급일 필요가 있다. 그래야만 각 부서에 영향을 미칠 수 있고 요식 체계에 발목이 잡히지 않기 때문이다.

Q. 최적의 직원/직책은 누구인가.
에디 :
본인이라면 최고위험책임자(Chief Risk Officer, CRO), 법무자문위원, CSO/CISO를 모두 불러서 이렇게 지시할 것이다. '우리가 어떤 식으로 기습 상황을 예언할 것인지 알고 싶다. 조직 내부에서라면 최고미래책임자(chief futures officer)가 있었으면 한다. 로봇이 언제 세상을 접수할 것인가 따위에 대한 허황된 예언을 하라는 것이 아니다. 전략적인 기습 상황을 모색했으면 한다'라고 말이다.

문제는 대부분의 조직에서 CRO가 이 일을 해야 함에도 불구하고 현실에서는 사후 대응에 너무 바쁜 나머지 이 일을 하지 않는다는 점이다. 최고미래책임자는 이사회, CEO에게 보고해야 한다. 또한, 조직 전체와 부문 전체, 일정 전체를 살피되 단기간만이 아닌 몇년 이후까지 내다봐야 한다. 적절한 도구가 필요하지만 거의 존재하지 않는다.

최고미래책임자의 업무는 전부 이야기 형태로 전달되어야 한다. 눈에 잘 보이지 않는 것들, 이해하기 어려운 미래에 대해 CEO와 이사회를 설득시키려면 쉽지 않을 것이다. 예를 들어, '베르니 메이도프는 사기꾼이다'라고 하면 그들은 '그럴 리가 없다. NASDAQ과 NASD 의장인데다가 업계에서 가장 존경받는 인물 가운데 한 명이다'라는 식으로 반응한다. 메이도프가 사기꾼이라는 것을 상상하지 못한다. 그들이 쉽게 이해할 수 있도록 서사적인 형태로 그 이야기를 들려줘야 한다.

사람들은 이야기를 통해 배운다. 몇 가지 안 되는 이용 가능한 도구들, 예를 들면 기본 시나리오 분석, 가상 시장, 카산드라 이론, 응용 역사 등을 기업들은 더욱 잘 활용할 필요가 있다. 이들은 모두 서로 관련이 있다. 이들을 위협 예방에 응용하되 사용 및 시행 가능한 전술 정보를 함께 활용해야 한다. 위협이 실재한다는 것을 추호의 의심 없이 확신했으며 이를 퇴치하기 위해 충분한 자원을 배치한 의사결정권자에게 전술 정보는 힘을 실어준다.

Q. 어떤 종류의 위협이 민간 부문에 잠재적으로, 혹은 실질적으로 문제를 일으킨다고 보는가.
에디 :
에르고에는 조직들이 코 앞에 닥친 일을 볼 수 있게 도와주는 프레임워크가 있다. 전략적 위협을 서사적인 형태로 제공하는 것이다. 그들이 미처 생각해 보지 못한 많은 위협을 전쟁 게임, 가짜 신문 표제 및 기사 등을 통해 제시하는 것이다. 위협이 어떤 식으로 나타나는지 보여주고 의사결정권자인 이사회와 CEO의 주의를 끈다. 그런 다음 그들이 주시해야 할 여러 가지 위협을 확인해 준다.

다음 단계로, 전세계적으로 이런 위협과 관련된 전술 정보를 수집한 후 검토 내용을 살아있는 컴퓨터 시스템에 다시 입력한다. 위험 신호가 물러나거나 진행되는 것을 계속 관찰한다. 위험을 추적하는 것이 필요하지만 단순히 그 이유 때문만은 아니다. 의사결정권자들이 계속 주의를 기울이게 하고 충분히 정확한 정보 제공을 통해 신속히 결정을 내릴 수 있게 하기 위해서다.

Q. 아직 논의되지 않는 내용 중에서 오늘 다루고 싶은 것이 있다면.
에디 : 마지막으로 최초 발생 신드롬(Initial Occurrence Syndrome, IOC)에 대한 이야기를 하려고 한다. 이는 매우 중요한 부분을 차지한다. 인간은 스스로가 신중하고 사려 깊다고 생각하고 싶겠지만 사실은 그렇지 않다. 편향에 사로잡힌 동물일 뿐이다. 우리는 하루 종일 경험에 의한 편향을 기준으로 한 결정을 내린다.

가장 큰 편향 가운데 하나인 IOC는 "내 눈에 보이지 않으면, 예전에 이미 발생한 적이 없으면, 발생하지 않을 것이라고 생각하는" 현상이다. 만일 자사가 해킹을 당해 컴퓨터가 모조리 벽돌로 변할 것이며 다른 직원과 소통하려면 구식 블랙베리폰을 꺼내야 할 것이라고 해도 곧이듣지 않을 것이다.

이런 일이 일어난 적이 한번도 없기 때문이다. 만에 하나 이런 일이 닥칠 경우의 엄청난 결과는 생각하기조차 버겁기 때문에 그냥 무시해 버린다. 이처럼 IOC는 사람들의 눈을 멀게 한다. 코 앞에 닥친 일을 볼 수 있게 도와주는 충분히 정확하고 실행 가능한 전술 정보를 제공하는 것이 신설된 미래실의 임무이다. editor@itworld.co.kr  

2017.08.08

"사이버 공격을 예측하려면 카산드라의 말을 들어라"…알피 에디

Alyson Behr | CSO
기업의 자산 데이터와 지적 재산 보호는 그 어느 때보다 더 중요하다. 악성 행위자들은 종전까지는 신성불가침이었던 기관들을 공격하고 있다. 이들의 공격 방식은 탐지하기 더 어려워졌으며 기업 재정과 운영에 거의 치명적인 피해를 입힌 경우도 있다.


Credit: Getty Images Bank

일례로, 전세계 은행간 거래 정산 통신망인 SWIFT 뱅킹 시스템이 북한 배후로 추정되는 라자러스(Lazarus) 해킹 공격을 받았다. 병원들이 혈액형과 같은 환자 정보를 인질로 잡는 랜섬웨어의 공격을 받아 수술을 할 수 없게 된다거나 우크라이나 정전 사태도 있다. 버라이즌(Verizon)의 야후(Yahoo) 인수 과정에서 야후 사용자 계정 5억 개의 침해 사실이 드러나 가격 재협상이 불가피했던 사건의 후폭풍 역시 심각했다.

이런 공격이 가능했던 이유 가운데 하나는 이들 조직 중 스스로 피해자가 될 것이라고 예상한 곳이 한 곳도 없었다는 점이다. 조직 차원에서 예상하지 못하는 공격을 최고보안책임자(CSO)나 최고정보보안책임자(CISO)는 어떻게 예측할 수 있을까? 이들이 미래를 예언하는 것이 가능한가?

글로벌 인텔리전스 업체 에르고(Ergo)의 CEO이자 <경고: 재해 방지를 위한 카산드라 물색(Warnings: Finding Cassandras to Stop Catastrophes)>이라는 책을 공동으로 저술한 알피 에디와 인터뷰를 통해 그가 제시한 방안에 대해 들어봤다.

이 책에는 선견지명이 있는 사람들의 여러 가지 사례가 자세히 나와 있는데, 저자들은 이들을 "현대판 카산드라(modern-day Cassandras)"라고 부른다(카산드라는 그리스 신화에서 재앙을 예언한 인물이다). 현대판 카산드라들은 베르니 메이도프의 폰지(Ponzi) 사기와 2008년 경기 불황, ISIS의 등장 등을 분명히 예언했으나 그들의 경고는 깡그리 무시당했다.

Q. <경고: 재해 방지를 위한 카산드라 물색> 책을 통해 '국가경고국(National Warning Office)'이라는 이름의 정부 기관에 관한 전략을 제시했다. 국가경고국의 구체적인 임무는 미래 문제를 예측해 경고함으로써 재앙에 대처하고 가능하면 재앙을 방지하기 위한 것이다. 정부에 대한 권고 사항을 기업에도 적용할 수 있도록 유사한 그룹을 신설하고 프로세스를 구축하려는 CSO/CISO들에게 어떤 조언을 해줄 수 있는가.
에디 :
이 책은 여러 가지 재앙과 이를 경고한 카산드라들의 이야기가 소개되어 있다. 이들은 자신의 분야에서 실력을 인정받은 기술 전문가들로서 자신들의 경고를 뒷받침할 데이터 위주의 증거를 제시했다. 이러한 현상은 이 책의 공저자인 클라크의 지적이 있은 후에야 비로소 드러났다. 그것이 지금까지 본 가치 있는 예측 도구 가운데 가장 가치있는 것이었다.

어떻게 예측을 하는 가에 대한 조직적인 연구는 절대적으로 부족하다. 인간의 예측 능력은 형편없다. 일기예보 정도만 그럭저럭 봐 줄만 하다. 기업 의사결정은 어림도 없다. 도구는 있지만 널리 사용되지 않는다.

경영진과 그 주변 사람들이 기습 상황을 염두에 두는 경우는 매우 드물다. 대부분의 CEO는 어떤 심각한 일이 코 앞에 닥쳐 있는 지에 대한 생각을 하지 않는다. 반면, 유능한 CEO는 이를 직시하고 있으며 기습 상황에 대비할 수 있는 정보를 원한다.

문제는 아무리 CEO가 그렇다 해도 가려운 곳을 긁어줄 능력이 조직에게 없다는 점이다.
왜 그럴까? 이유는 3가지다. 1) 애초에 조직에는 이런 목적이 없다. 따라서 적절한 인재나 도구, 적절한 권한이 없다. 2) 적절한 도구가 실재하지 않거나 제대로 교육되지 않는다. 3) 조직들은 전략적으로 기습을 당한다. 왜냐하면 의사결정권자들이 경고를 받아도 이를 제대로 의식하거나 주의를 기울이지 않기 때문이다.

기업들에게 경고실이나 미래실을 신설하라고 권한다. 기업 환경에서 예측 그룹은 이 책에서 정부에 제안한 해결책과 마찬가지로 고위급일 필요가 있다. 그래야만 각 부서에 영향을 미칠 수 있고 요식 체계에 발목이 잡히지 않기 때문이다.

Q. 최적의 직원/직책은 누구인가.
에디 :
본인이라면 최고위험책임자(Chief Risk Officer, CRO), 법무자문위원, CSO/CISO를 모두 불러서 이렇게 지시할 것이다. '우리가 어떤 식으로 기습 상황을 예언할 것인지 알고 싶다. 조직 내부에서라면 최고미래책임자(chief futures officer)가 있었으면 한다. 로봇이 언제 세상을 접수할 것인가 따위에 대한 허황된 예언을 하라는 것이 아니다. 전략적인 기습 상황을 모색했으면 한다'라고 말이다.

문제는 대부분의 조직에서 CRO가 이 일을 해야 함에도 불구하고 현실에서는 사후 대응에 너무 바쁜 나머지 이 일을 하지 않는다는 점이다. 최고미래책임자는 이사회, CEO에게 보고해야 한다. 또한, 조직 전체와 부문 전체, 일정 전체를 살피되 단기간만이 아닌 몇년 이후까지 내다봐야 한다. 적절한 도구가 필요하지만 거의 존재하지 않는다.

최고미래책임자의 업무는 전부 이야기 형태로 전달되어야 한다. 눈에 잘 보이지 않는 것들, 이해하기 어려운 미래에 대해 CEO와 이사회를 설득시키려면 쉽지 않을 것이다. 예를 들어, '베르니 메이도프는 사기꾼이다'라고 하면 그들은 '그럴 리가 없다. NASDAQ과 NASD 의장인데다가 업계에서 가장 존경받는 인물 가운데 한 명이다'라는 식으로 반응한다. 메이도프가 사기꾼이라는 것을 상상하지 못한다. 그들이 쉽게 이해할 수 있도록 서사적인 형태로 그 이야기를 들려줘야 한다.

사람들은 이야기를 통해 배운다. 몇 가지 안 되는 이용 가능한 도구들, 예를 들면 기본 시나리오 분석, 가상 시장, 카산드라 이론, 응용 역사 등을 기업들은 더욱 잘 활용할 필요가 있다. 이들은 모두 서로 관련이 있다. 이들을 위협 예방에 응용하되 사용 및 시행 가능한 전술 정보를 함께 활용해야 한다. 위협이 실재한다는 것을 추호의 의심 없이 확신했으며 이를 퇴치하기 위해 충분한 자원을 배치한 의사결정권자에게 전술 정보는 힘을 실어준다.

Q. 어떤 종류의 위협이 민간 부문에 잠재적으로, 혹은 실질적으로 문제를 일으킨다고 보는가.
에디 :
에르고에는 조직들이 코 앞에 닥친 일을 볼 수 있게 도와주는 프레임워크가 있다. 전략적 위협을 서사적인 형태로 제공하는 것이다. 그들이 미처 생각해 보지 못한 많은 위협을 전쟁 게임, 가짜 신문 표제 및 기사 등을 통해 제시하는 것이다. 위협이 어떤 식으로 나타나는지 보여주고 의사결정권자인 이사회와 CEO의 주의를 끈다. 그런 다음 그들이 주시해야 할 여러 가지 위협을 확인해 준다.

다음 단계로, 전세계적으로 이런 위협과 관련된 전술 정보를 수집한 후 검토 내용을 살아있는 컴퓨터 시스템에 다시 입력한다. 위험 신호가 물러나거나 진행되는 것을 계속 관찰한다. 위험을 추적하는 것이 필요하지만 단순히 그 이유 때문만은 아니다. 의사결정권자들이 계속 주의를 기울이게 하고 충분히 정확한 정보 제공을 통해 신속히 결정을 내릴 수 있게 하기 위해서다.

Q. 아직 논의되지 않는 내용 중에서 오늘 다루고 싶은 것이 있다면.
에디 : 마지막으로 최초 발생 신드롬(Initial Occurrence Syndrome, IOC)에 대한 이야기를 하려고 한다. 이는 매우 중요한 부분을 차지한다. 인간은 스스로가 신중하고 사려 깊다고 생각하고 싶겠지만 사실은 그렇지 않다. 편향에 사로잡힌 동물일 뿐이다. 우리는 하루 종일 경험에 의한 편향을 기준으로 한 결정을 내린다.

가장 큰 편향 가운데 하나인 IOC는 "내 눈에 보이지 않으면, 예전에 이미 발생한 적이 없으면, 발생하지 않을 것이라고 생각하는" 현상이다. 만일 자사가 해킹을 당해 컴퓨터가 모조리 벽돌로 변할 것이며 다른 직원과 소통하려면 구식 블랙베리폰을 꺼내야 할 것이라고 해도 곧이듣지 않을 것이다.

이런 일이 일어난 적이 한번도 없기 때문이다. 만에 하나 이런 일이 닥칠 경우의 엄청난 결과는 생각하기조차 버겁기 때문에 그냥 무시해 버린다. 이처럼 IOC는 사람들의 눈을 멀게 한다. 코 앞에 닥친 일을 볼 수 있게 도와주는 충분히 정확하고 실행 가능한 전술 정보를 제공하는 것이 신설된 미래실의 임무이다. editor@itworld.co.kr  

X