보안

“효과가 없거나 오래된 보안 전략 되살리기” 보안 리부팅 가이드

John Edwards | CSO 2021.01.20
기업 보안 전략은 기상 예보와 같아야 한다. 자주 업데이트되어야 한다는 이야기이다. 보안 계획이 현재 발생하고 있는 위협, 새로운 위협, 변화하는 기업 기술 및 이해관계에 부합하지 않으면 평판이나 재무 측면에서 재앙과 같은 결과를 초래할 수 있다. 

포괄적인 보안 전략에 기여하는 요소가 아주 많고, 이와 동시에 한때 견고했던 보안 청사진을 무력화하거나 시대에 뒤처지게 만들 수 있는 요소도 많다. 경영 및 기술 컨설팅 회사인 캡제미니(Capgemini)의 북미 시니어 사이버보안 매니저인 그렉 캐리코는 “사람, 프로세스, 기술이 핵심 영역이다. 현재의 사건, 프로세스 자동화, 평가 주기, 현재의 기술 역량에 보조를 맞추지 않는 기업은 공격자가 자사를 표적으로 삼은 것을 인식하지 못한 채 가장 중요한 것을 보호하는 데 계속 어려움을 겪을 것이다”고 지적했다. 
 
ⓒ Getty Images Bank
 

보안 전략이 효과적이지 못하다는 것을 알려주는 신호

명확하고, 관련성이 있으며, 전사적으로 모든 사람이 쉽게 이해하는 보안 계획이 최고의 보안 계획이다. 미국 연방정부 최초의 CISO를 역임하고, 현재 카네기 멜론 대학 하인즈 정보시스템 및 공공정책 대학에서 비상근 교수로 일하고 있는 예비역 준장인 그레고리 튜힐은 “전략은 타당하고, 수용할 수 있고, 적합하고, 감당할 수 있고, 이해할 수 있어야 한다. 군 사령관 시절, 나는 부하들이 내게 전략을 제대로 설명하지 못하는 것을 보고 우리 전략이 시대에 뒤떨어졌고, 효과가 없다는 것을 파악했다. 당신의 지휘하는 ‘부대’가 전략을 이해하지 못하거나, 전략에 기여하는 방법을 모르는 것은 중대한 ‘경고’의 신호이다”고 설명했다. 

보안 전략이 구식이라는 것을 알려주는 명백한 징후 중 하나는 전반적으로 관련성이 부족한 것이다. 오라클의 고객 서비스 부문 CISO 겸 VP인 브레넌 베이벡은 “핵심 보안 리소스가 중요한 전략적 목표를 달성하도록 지원하기 위해서는 보안 전략을 조직의 비즈니스 전략을 구성하는 핵심 구성요소에 직접 부합시켜야 한다”고 강조했다. 

보안 전략이 구식이라는 것을 알려주는 또 다른 징후는 컴플라이언스가 이를 견인하는 요소가 되고 있다는 것이다. 베이벡은 “많은 보안 전략에서 컴플라이언스가 중요하고 필수적인 요소가 될 수 있지만, 이를 보안 전략을 추진하고 견인하는 요소로 사용해서는 안 된다. 이는 프로그램이 많지 않고, 리소스가 제한된 조직도 마찬가지이다”고 지적했다. 

통상 기업의 현재 문화와 내부의 책임성 대책과 관련된 대화와 약간의 기본적인 조사를 통해 신속하게 결함이 있는 보안 계획을 밝혀낼 수 있다. 비즈니스 트랜스포메이션 컨설팅 회사인 인볼타(Involta)의 아날레아 일그 CISO는 “보안 예산과 도구가 부족한 정책에 크게 의존하고 있는지 여부도 문제점을 파악하는 중요한 지표가 될 수 있다”고 말했다. 기타 미흡한 보안 관리, 미흡한 문서화, 총체적인 보안을 수용하지 않고 있는 것 등도 문제점을 알려주는 지표이다. 

렉시스넥시스 리스크 솔루션 거버먼트(LexisNexis Risk Solutions Government)의 사기 및 부정행위, ID 솔루션 컨설턴트인 조지 프리먼에 따르면, 조직이 지속적으로 위협에 대응하는 데 어려움을 겪는 것도 보안 계획이 시대에 뒤떨어졌음을 알려주는 신호이다. 프리머은 “조직의 심층 방어 보안 전략에서 내부의 보호된 네트워크에 지속적으로 출현하는 위협을 억제하는 리소스가 부족한 경우가 많은 것을 예로 들 수 있다”고 설명했다. 
 

위험에 부합하는 보안 전략 

보안 전략을 ‘다시 부팅’ 하는 계획을 수립할 때, 조직의 현재 위험 전망에 부합하도록 계획을 수립해야 한다. 사이버보안 분야에 초점을 맞추고 있는 벤처 캐피털 회사인 YL 벤처스(YL Ventures)의 상임 CISO 수닐 유 는 “조직의 위험 성향과 용인 정도에 변화를 일으키는 여러 요소와 요인이 있다. 사이버보안 책임자는 이런 요소들을 파악하고, 여기에 맞춰 전략을 조정하는 것이 중요하다”고 강조했다. 

사이버보안 계획과 특히 관련이 있는 요소는 현재 비즈니스, 기술, 위협 환경이 변한 것이다. 유는 “이런 요소들이 하나 이상 변했는데, 전략이 이런 변화를 예상하지 못했다고 가정하자. 이는 전략이 시대에 뒤떨어졌기 때문에 ‘다시 부팅’ 해야 하는 것을 알려주는 신호이다”고 설명했다. 
 

보안 리부팅 계획 및 준비  

효과가 있는 전력과 없는 전략을 파악하는 것이 보안 리부팅의 첫 번째 단계이다. 그리고 조직의 현재, 그리고 계획된 요구와 목적을 정확히 파악한 후 이런 목표 달성에 도움을 줄 새로운 보안 전략을 결정한다. 데이터 관리 플랫폼 공급업체인 파이브트랜(Fivetran)의 톰 콘클린 CISO는 “현업 책임자들과 대화할 커뮤니케이션 채널을 구축하고, 이들의 우선순위를 파악해야 한다”고 말했다. 

사무실 방문객 관리 기술 개발사인 트랙션 게스트(Traction Guest)의 글로벌 보안 전략 디렉터인 브라이언 필립스는 처음부터 계획을 세우면서 창의적으로 생각을 한 것이 유용했다고 말한다. 필립스는 “사용하고 있는 시스템, 현재 일을 하는 방식은 잊는 것이 좋다”고 조언했다. 대신 미래에 가용한 것에 초점을 맞추고, 이와 관련된 목표를 중심으로 새로 보안 전략을 수립하는 것에 중점을 둬야 한다고 설명했다. 또 “시스템이 절차나 전략을 결정하게 해서는 안 된다. 좋은 보안 애플리케이션은 활용하는 프로세스를 충족할 것이다”고 덧붙였다. 

보안 전략 리부팅을 위해서는 IT 및 보안 책임자, 직원은 물론 모든 비즈니스 부서와 협력해야 한다. 헬스케어 기술 업체인 리독스(Redox)의 CISO 벤 워는 “최근에는 모든 비즈니스 부서가 기업 보안에 영향을 미치는 기술 프로젝트를 결정해 시행한다. 따라서 비즈니스 부서와의 협력, 일하는 방식과 필요한 사항, 이들이 비즈니스에 가장 큰 영향을 미칠 수 있는 방법을 파악해야 한다”고 설명했다. 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.