2018.08.10

사이버보안 전략 수립의 '걸음마'

TJ Trent | CSO
필자는 경력기간 동안 수많은 도전적인 목표들을 달성한 경험을 갖고 있다. 사이버 전문가를 활용하는 방법을 재정의하고, 중동의 전장에서 4차례나 복무하면서 소속 조직에서 두 번째로 높은 직위까지 진급했다.

지난 16년을 돌아봤을 때 미군에 복무하기로 결정하면서 가장 큰 도전 과제에 직면했다. 라이프스타일을 통째로 바꿔야 했다. 체중을 27kg이나 줄여야 했고, 운동한 적이 없었는 데 운동을 해야 했다. 또 편식 습관을 버리고 닥치는 대로 먹어야 했다. 일단 시작하고, 이를 유지하는 것이 가장 힘든 부분이었다.

그런데 16년 전의 이 '원칙'이 사이버보안 전략과 관련된 조직 변화에도 그대로 적용된다. 금방 과업의 '깊이'와 '넓이'에 압도당하기 쉽다. 하지만 과업과 사명의 '거대함'이 우리를 압도하도록 놔둘 수 없다. 이에 조금씩 튼튼히 사이버보안 전략을 수립, 발전시킬 수 있는 7가지 원칙을 소개한다.

1. 과단성의 원칙
사이버보안 전략을 수립해 기업의 이익을 보호하는 결정을 내린다. 철저한 계획 개발에는 기술적 역량이 필요하지만, 이에 못지 않게 중요한 것이 프로젝트 후원자다.

프로젝트 후원자는 전사적으로 주제 전문가들을 통합해 활용할 수 있으며, 신뢰할 수 있고, 기술적으로 능력이 있는 고위 리더다. 또 경영진과 명확히 효과적으로 커뮤니케이션할 수 있는 능력을 갖고 있어야 한다.

비즈니스 부서의 주제 전문가와 사이버보안 전문가로 기술 팀을 구성해야 한다. 사이버보안 전문가는 보안을 구현하는 방법을 알고 있으며, 비즈니스 부서의 주제 전문가는 우선 순위를 정하는 데 도움을 줄 수 있다.

2. 적극성의 원칙
'No'라고 대답해서는 안 된다. 문제를 파악하고 해결책을 개발해 조직의 이익에 도움을 줘야 한다. 조직의 데이터 흐름은 몇몇 핵심 리소스 가운데 하나다. 대부분의 조직은 데이터 흐름이 있어야 목표를 달성할 수 있다.
냉철해져야 한다. 사고가 발생하기 전에 대응책을 테스트해야 한다.

냉철해져야 사이버 전문가가 데이터 흐름이 사이버 범죄자의 수중에 들어가는 것을 막을 수 있다. 사이버 범죄에 대한 '교전 수칙'에는 펜 테스트(모의 해킹 테스트), 소셜 엔지니어링, 물리적인 보안 침해 등을 포함시켜야 한다.

3. '조심과 경계(Alertness)'의 원칙
조직의 네트워크 트래픽, 하드웨어, 소프트웨어에 대한 '베이스라인'을 만들기 시작한다. 어떤 노력이든 가장 먼저 할 일은 '인식(인지)'이다. 먼저 알아야 하기 때문이다. 베이스라인을 만들고 분석해야 효과적인 전략을 수립할 수 있다.

이 베이스라인에는 5W 원칙을 적용한다. 누가(Who), 무엇을(What), 언제(When), 어디에서(Where), 왜(Why)의 원칙을 적용하라는 이야기다.

- 누가 물리적 시설, 내부 리소스, 외부 리소스, 온라인 리소스에 접근 및 액세스하고 있을까.
- 이런 사람들이 우리와의 커뮤니케이션에 사용하고 있는 방법은 무엇일까
- 앞의 리소스에 액세스 및 접근하는 때는 언제일까.
- 영업 또는 업무 시간 동안일까, 아니면 정상 영업 시간 또는 업무 시간 밖에 접근할까.
- 어디에서 우리 리소스에 접근 또는 액세스할까.

적법하고 타당한 목적에서 직원들이 집과 원격지에서 리소스에 액세스 할 수 있다. 그러나 이들이 하고 있는 일을 알아야만 적법하고 타당한 목적이라고 결론을 내릴 수 있다. 누군가, 또는 특정 장치가 해외 IP를 통해 내부 데이터베이스에 액세스하고 있다면, 이는 침해를 알려주는 신호일 수도 있다.

4. 속도의 원칙
느리면 원활하고, 원활하면 빠르다. 작은 목표들을 많이 수립한다. 그리고 이런 중간 목표들을 달성하는 방식으로 접근한다. 지금 당장 '시작' 또는 '착수'하는 것이 가장 중요하다. 콜린 파웰 장군은 최근 자신의 저서에서 100%의 해결책을 기다려서는 안 된다고 조언했다.

심리적으로 과중한 큰 목표는 작은 중간 목표들로 세분화한다. 그러면 이를 성공적으로 달성하고, 전사적인 변화를 유도할 확률이 높아진다.
크게 생각해야 하지만, 시작은 작은 '걸음마'여야 한다.

5. '침착성(Coolness)'의 원칙
쩔쩔매는 것을 보여서는 안 된다. 사람은 본능적으로 위험을 기피한다. 아주 많이 위험을 기피하려 하는지, 적절한 수준에서 위험을 기피하려 하는지 여부가 중요하다. 어떤 작전 계획이든 적과 첫 교전이 시작되면 바꿀 수밖에 없다. 명확한 가이드라인과 절차를 규정하면 모든 사람들이 냉정함과 침착함을 유지하는 데 도움을 준다.

위험 기피는 자연스러운 반응이다. 대부분이 계속 고용된 상태로 남아있는 것을 원하기 때문이다. 소속 회사가 최고가 되기를 원한다. 이런 능력과 역량을 훼손하는 것을 원하지 않는다. 그러나 이와 동시에 회사 운영에 위험을 초래하는 내부 및 외부 위협을 기피해야 한다.

사람들이 회사를 보호하려는 당신의 계획에 '위험 기피' 반응을 보이는 것이 아니다. 회사 운영 방해에 대해 '위험 기피' 반응을 보이는 것이다. 기대 사항을 관리하고, 고위 리더의 의도를 파악하면 이런 우려 사항을 경감할 수 있다.

침착함을 유지하고, 무언가 잘못될 것임을 이해해야 한다. 그렇지만 적절한 절차와 명확한 '교전 수칙'은 문제가 '학습'이 되고, 운영이 영향을 받지 않도록 도와줄 것이다.

6. '불시(Surprise)'의 원칙
탁월한 사이버 전략을 유지시키는 데 중요한 역할을 하는 것이 '평가(assessment)'다. 평가는 조직이 사이버 사고 동안 프로세스와 절차를 얼마나 잘 이행하는지 파악하는 데 목적이 있다. 정확히 조직의 사이버보안 태세를 평가하는 유일한 방법은 '평가' 사실을 아는 사람의 수를 제한하는 것이다.

취약성과 구성에 대한 평가 및 테스트를 실시해야 한다. 또한 침입 테스트와 익스플로잇 테스트도 실시한다. 후자는 전자가 얼마나 잘 작동하는지 알려준다. 소셜 엔지니어링과 피싱, 프리텍스팅(pretexting, 위장해서 정보를 빼내는 행위)도 일부가 되어야 한다. 또한 고위 임원과 리더들도 테스트 및 평가 대상에 포함시켜야 한다.

7. '냉철함(Ruthlessness)'의 원칙
리더는 조직에 헌신해야 한다. 소속 조직에 오래 남고 싶다면 조직의 이익과 이해를 보호할 수 있어야 한다. 다른 사람의 감정을 상하지 않고 이렇게 해야 한다. 평가는 누군가를 지목하고, 창피를 주는 데 목적이 있지 않다. 그러나 특정 직원의 행동이나 업무 관행이 기업에 피해를 준다면, 이를 멈추게 만들어야 한다.

어떤 전략이든 가장 어려운 목표는 '시작하는 것'이다. 작은 목표들을 달성하는 방법으로 마일스톤(중간 목표)들을 달성해 나간다. 이것이 전사적인 변화로 이어질 것이다. 크게 생각해야 하지만, 시작은 작은 '걸음마'여야 한다. editor@itworld.co.kr  

2018.08.10

사이버보안 전략 수립의 '걸음마'

TJ Trent | CSO
필자는 경력기간 동안 수많은 도전적인 목표들을 달성한 경험을 갖고 있다. 사이버 전문가를 활용하는 방법을 재정의하고, 중동의 전장에서 4차례나 복무하면서 소속 조직에서 두 번째로 높은 직위까지 진급했다.

지난 16년을 돌아봤을 때 미군에 복무하기로 결정하면서 가장 큰 도전 과제에 직면했다. 라이프스타일을 통째로 바꿔야 했다. 체중을 27kg이나 줄여야 했고, 운동한 적이 없었는 데 운동을 해야 했다. 또 편식 습관을 버리고 닥치는 대로 먹어야 했다. 일단 시작하고, 이를 유지하는 것이 가장 힘든 부분이었다.

그런데 16년 전의 이 '원칙'이 사이버보안 전략과 관련된 조직 변화에도 그대로 적용된다. 금방 과업의 '깊이'와 '넓이'에 압도당하기 쉽다. 하지만 과업과 사명의 '거대함'이 우리를 압도하도록 놔둘 수 없다. 이에 조금씩 튼튼히 사이버보안 전략을 수립, 발전시킬 수 있는 7가지 원칙을 소개한다.

1. 과단성의 원칙
사이버보안 전략을 수립해 기업의 이익을 보호하는 결정을 내린다. 철저한 계획 개발에는 기술적 역량이 필요하지만, 이에 못지 않게 중요한 것이 프로젝트 후원자다.

프로젝트 후원자는 전사적으로 주제 전문가들을 통합해 활용할 수 있으며, 신뢰할 수 있고, 기술적으로 능력이 있는 고위 리더다. 또 경영진과 명확히 효과적으로 커뮤니케이션할 수 있는 능력을 갖고 있어야 한다.

비즈니스 부서의 주제 전문가와 사이버보안 전문가로 기술 팀을 구성해야 한다. 사이버보안 전문가는 보안을 구현하는 방법을 알고 있으며, 비즈니스 부서의 주제 전문가는 우선 순위를 정하는 데 도움을 줄 수 있다.

2. 적극성의 원칙
'No'라고 대답해서는 안 된다. 문제를 파악하고 해결책을 개발해 조직의 이익에 도움을 줘야 한다. 조직의 데이터 흐름은 몇몇 핵심 리소스 가운데 하나다. 대부분의 조직은 데이터 흐름이 있어야 목표를 달성할 수 있다.
냉철해져야 한다. 사고가 발생하기 전에 대응책을 테스트해야 한다.

냉철해져야 사이버 전문가가 데이터 흐름이 사이버 범죄자의 수중에 들어가는 것을 막을 수 있다. 사이버 범죄에 대한 '교전 수칙'에는 펜 테스트(모의 해킹 테스트), 소셜 엔지니어링, 물리적인 보안 침해 등을 포함시켜야 한다.

3. '조심과 경계(Alertness)'의 원칙
조직의 네트워크 트래픽, 하드웨어, 소프트웨어에 대한 '베이스라인'을 만들기 시작한다. 어떤 노력이든 가장 먼저 할 일은 '인식(인지)'이다. 먼저 알아야 하기 때문이다. 베이스라인을 만들고 분석해야 효과적인 전략을 수립할 수 있다.

이 베이스라인에는 5W 원칙을 적용한다. 누가(Who), 무엇을(What), 언제(When), 어디에서(Where), 왜(Why)의 원칙을 적용하라는 이야기다.

- 누가 물리적 시설, 내부 리소스, 외부 리소스, 온라인 리소스에 접근 및 액세스하고 있을까.
- 이런 사람들이 우리와의 커뮤니케이션에 사용하고 있는 방법은 무엇일까
- 앞의 리소스에 액세스 및 접근하는 때는 언제일까.
- 영업 또는 업무 시간 동안일까, 아니면 정상 영업 시간 또는 업무 시간 밖에 접근할까.
- 어디에서 우리 리소스에 접근 또는 액세스할까.

적법하고 타당한 목적에서 직원들이 집과 원격지에서 리소스에 액세스 할 수 있다. 그러나 이들이 하고 있는 일을 알아야만 적법하고 타당한 목적이라고 결론을 내릴 수 있다. 누군가, 또는 특정 장치가 해외 IP를 통해 내부 데이터베이스에 액세스하고 있다면, 이는 침해를 알려주는 신호일 수도 있다.

4. 속도의 원칙
느리면 원활하고, 원활하면 빠르다. 작은 목표들을 많이 수립한다. 그리고 이런 중간 목표들을 달성하는 방식으로 접근한다. 지금 당장 '시작' 또는 '착수'하는 것이 가장 중요하다. 콜린 파웰 장군은 최근 자신의 저서에서 100%의 해결책을 기다려서는 안 된다고 조언했다.

심리적으로 과중한 큰 목표는 작은 중간 목표들로 세분화한다. 그러면 이를 성공적으로 달성하고, 전사적인 변화를 유도할 확률이 높아진다.
크게 생각해야 하지만, 시작은 작은 '걸음마'여야 한다.

5. '침착성(Coolness)'의 원칙
쩔쩔매는 것을 보여서는 안 된다. 사람은 본능적으로 위험을 기피한다. 아주 많이 위험을 기피하려 하는지, 적절한 수준에서 위험을 기피하려 하는지 여부가 중요하다. 어떤 작전 계획이든 적과 첫 교전이 시작되면 바꿀 수밖에 없다. 명확한 가이드라인과 절차를 규정하면 모든 사람들이 냉정함과 침착함을 유지하는 데 도움을 준다.

위험 기피는 자연스러운 반응이다. 대부분이 계속 고용된 상태로 남아있는 것을 원하기 때문이다. 소속 회사가 최고가 되기를 원한다. 이런 능력과 역량을 훼손하는 것을 원하지 않는다. 그러나 이와 동시에 회사 운영에 위험을 초래하는 내부 및 외부 위협을 기피해야 한다.

사람들이 회사를 보호하려는 당신의 계획에 '위험 기피' 반응을 보이는 것이 아니다. 회사 운영 방해에 대해 '위험 기피' 반응을 보이는 것이다. 기대 사항을 관리하고, 고위 리더의 의도를 파악하면 이런 우려 사항을 경감할 수 있다.

침착함을 유지하고, 무언가 잘못될 것임을 이해해야 한다. 그렇지만 적절한 절차와 명확한 '교전 수칙'은 문제가 '학습'이 되고, 운영이 영향을 받지 않도록 도와줄 것이다.

6. '불시(Surprise)'의 원칙
탁월한 사이버 전략을 유지시키는 데 중요한 역할을 하는 것이 '평가(assessment)'다. 평가는 조직이 사이버 사고 동안 프로세스와 절차를 얼마나 잘 이행하는지 파악하는 데 목적이 있다. 정확히 조직의 사이버보안 태세를 평가하는 유일한 방법은 '평가' 사실을 아는 사람의 수를 제한하는 것이다.

취약성과 구성에 대한 평가 및 테스트를 실시해야 한다. 또한 침입 테스트와 익스플로잇 테스트도 실시한다. 후자는 전자가 얼마나 잘 작동하는지 알려준다. 소셜 엔지니어링과 피싱, 프리텍스팅(pretexting, 위장해서 정보를 빼내는 행위)도 일부가 되어야 한다. 또한 고위 임원과 리더들도 테스트 및 평가 대상에 포함시켜야 한다.

7. '냉철함(Ruthlessness)'의 원칙
리더는 조직에 헌신해야 한다. 소속 조직에 오래 남고 싶다면 조직의 이익과 이해를 보호할 수 있어야 한다. 다른 사람의 감정을 상하지 않고 이렇게 해야 한다. 평가는 누군가를 지목하고, 창피를 주는 데 목적이 있지 않다. 그러나 특정 직원의 행동이나 업무 관행이 기업에 피해를 준다면, 이를 멈추게 만들어야 한다.

어떤 전략이든 가장 어려운 목표는 '시작하는 것'이다. 작은 목표들을 달성하는 방법으로 마일스톤(중간 목표)들을 달성해 나간다. 이것이 전사적인 변화로 이어질 것이다. 크게 생각해야 하지만, 시작은 작은 '걸음마'여야 한다. editor@itworld.co.kr  

X