CIO / 보안

'경영진이라면 명심!' 보안 전략 전체를 망가뜨리는 8가지 함정

Mary K. Pratt  | CSO 2021.09.15
2021년 5월 발생한 콜로니얼 파이프라인 공격은 훼손된 비밀번호를 악용해 가상 사설 네트워크(VPN)으로 회사 네트워크에 침입한 사건이다. 2017년 에퀴팍스 공격은 널리 알려졌음에도 패치되지 않았던 취약점이 진입점이었다. 그리고 트위터에서 일어난 비트코인 사기는 트위터 직원을 노린 스피어 피싱 공격에서 시작되었다. 

물론 완벽한 보안 프로그램이라는 것은 존재하지 않지만, 수 년간 발생한 여러 보안 사건은 기업의 사이버보안 부서가 어떤 것도 그냥 지나쳐서는 안 된다는 점을 여실히 보여준다. 

성공적인 보안 전략을 망가뜨릴 수 있는, 그리고 기업에서 쉽게 간과하기 쉬운 8가지 함정을 정리한다.
 
ⓒ Getty Images Bank
 

보안 사고은 기술만이 아니라 경영 전체의 위험임을 잊어버리는 것

UN 프로젝트 조달 기구(United Nations Office for Project Services, UNOPS)의 CISO   닐 하퍼는 사이버 보안이 이사회 차원의 관심사가 되었지만, 최고 임원은 물론이고 CISO까지 보안을 비즈니스가 아닌 기술적 위험으로만 여기는 경우가 빈번하다고 말했다. 

얼핏 말장난 같지만 그렇지 않다. 하퍼는 기업 경영진이 사이버 보안을 너무 협소하게 바라볼 경우 부적정인 영향이 있다고 말했다. 

하퍼는 “정보 보안을 비즈니스 위험으로 생각하지 않고, 단지 기술 위험으로만 본다면 보안이 기업 전체의 기반이라는 점을 간과하게 된다. 그 결과, CISO는 전적인 인정을 받지 못하고, 보고체계도 임원보다 2~3 단계 아래의 직위에 보고한다. 그 경우 임원 수준에서 전략에 대해 의견을 개진할 수 없다”라고 설명했다. 

하퍼는 CISO가 이해관계자와 관계를 증진할 때 상황을 반전시키는 것을 여러 차례 목격했다고 강조했다. 즉, CISO는 이해 관계자의 위험과 목표를 이해하면서 이들과 교류하고 이들에게 보안 계획이 위험과 목표에 어떻게 대처하는지를 설명할 수 있어야 한다는 의미다.
 

컴플라이언스에 대한 지나친 집착 

일반적으로 조직은 사업을 영위하기 위해 여러 산업, 규제, 법률 표준을 준수해야 한다. 미국의 경우 가장 잘 알려진 실례를 들자면 신용카드 처리 조직에 적용되는 지불 카드 데이터 보안 표준(Payment Card Industry Data Security Standard, PCI DSS), 의료 기록을 처리하는 모든 개체에게 적용되는 미국 의료정보 보호법(U.S. Health Insurance Portability and Accountability Act, HIPPA), 그리고 유럽 연합의 개인정보 보호규정(GDPR)이다. 또한 보안에 특화된 표준 및 프레임워크, 예를 들어 ISO/IEC 27001 등도 있다. 

CISO는 준수해야 하는 컴플라이언스 표준을 무시할 수 없지만, 준수하기만 하면 안전하고 보안이 완전해졌다고 생각해서는 곤란하다고 하퍼는 말했다. 

하퍼는 “컴플라이언스는 그릇된 보안 의식을 제공한다. 실제로, 여러 조직에서 컴플라이언스를 준수하고 있음에도 불구하고 침해는 증가하고 있다”라고 덧붙였다. 

또한, 컴플라이언스 표준의 중요성을 절하할 수는 없지만, 컴플라이언스 요건이 동적이지 않으며 새로운 위협에 대처하거나 환경 변화(직원, 기술 스택, 위험 등)에 따른 준비 태세를 정확히 측정할 수 없음을 언제나 기억하고, CISO가 다른 최고 임원에게도 주지시켜야 한다고 말했다. 

하퍼는 “컴플라이언스는 단지 형식적 절차일 뿐이고, 위험과 노출에 대한 현실적 시야를 제공하지 않는다”라고 말했다. 
 

신속히 움직이지 못하는 오류

기업은 클라우드 이전, 애자일 소프트웨어 개발, 신속한 고객 요구 응대 등을 통해 디지털 트랜스포메이션을 가속하고 있다. 모든 CISO가 빠른 속도에 적응하고 있는 것은 아니다. 따라서 전반적인 기업 보안 태세에서 허점이 생겼다고 여러 보안 전문가가 말했다. 

기업 부서도 비슷한 우려를 표출한다. 예를 들어 2021년 발간된 깃랩 ‘글로벌 데브섹옵스 설문(Global DevSecOps Survey)’ 보고서를 보자. 설문에 응한 4,300명의 개발자 가운데 약 84%가 그 어느 때보다 더 빨리 코드를 배포하고 있다고 말했지만, 거의 절반에 해당하는 42%가 보안 테스트가 너무 늦게 이루어진다고 말했고, 거의 동일한 수의 개발자가 취약점을 식별하고 처리하기가 쉽지 않다고 말했다. 게다가 37%는 버그 픽스 현황을 추적하는 것이 쉽지 않고, 33%는 복구 우선 순위를 정하기가 어렵다고 말했다. 

UST의 CISO 토니 벨레카는 “보안은 더 기민해야 하고, CISO는 자신의 사이버 보안 접근법을 근본적으로 다시 생각해야 한다”라고 말했다. 

여러 CISO가 이 메시지를 따르는 것처럼 보인다. 깃랩 보고서에 따르면 70%의 팀이 ‘시프트 레프트 테스팅’을 추진하면서 개발 과정에서 보안을 고려하는 시기를 앞당겼다. 이전 연도보다 약간 높아진 수치다. 당시에는 65%가 개발 프로세스의 이른 시점에 보안을 확보했다고 밝혔다. 
 

언제나 가장 급한 것에만 집중하는 실수

딜로이트 사장이자 사이버 위험 서비스 전략 리더인 앤드류 모리슨은 성공적인 보안 프로그램을 가장 위협하는 요인으로 ‘긴급함’에 얽매이는 것을 꼽았다. 

모리슨은 CISO와 팀이 가장 시급한 요구에(낮은 수준의 문제이더라도) 지나치게 집착하다가 탈진하여 전략적 우선 순위를 이행할 에너지를 잃게 된다고 말했다. 사소한 문제를 추적하느라 며칠을 소비하면 조직의 중대한 요소의 보안을 강화하는 일은 뒤로 밀려난다. 

모리슨은 “이 경우 보안은 프로그램으로서의 의미를 상실한다. 발생하는 일에 대한 전술적 반응일 뿐이다. 긴급함이 중요함을 대체하는 것이다”라고 덧붙였다. 
모리슨은 보안 팀을 늪에서 탈출시키는 일이 쉽지 않지만, CISO는 최대의 위험을 식별하고 이를 저지하는 데 집중해야 하고, 보안 업무를 기업 우선 순위에 정렬시켜야 한다고 강조했다. 발생하는 문제를 처리하는 방식에서 CISO와 팀은 반응은 덜 하고 전략을 더 세밀히 세우게 된다. 모리슨은 “비로소 사건에 반응하는 것이 아니라 사건을 관리하게 된다”라고 말했다. 
 

이해관계자와 요구사항이 아니라 도구와 기술에만 지나치게 집착하는 오류

비슷한 맥락에서 포레스터의 수석 애널리스트인 지난 벗지도 이해관계자 개입을 우선시하는 데 실패한다면 강력한 보안 프로그램의 구현을 저해할 수 있다고 경고했다. 

벗지는 “CISO는 무엇을 우선시해야 하는지, 어떻게 지지를 얻을 것인지 알지 못한다”라고 설명했다. 또한 CISO가 이해관계자 개입을 우선시하지 않는다면 임원이나 동료의 저항에 부딪힐 가능성이 높고, 심지어 프로젝트 예산마저 삭감될 수 있다. 벗지는 “CISO는 자신의 전략을 살펴본 후 해야 할 일을 다 했다고 생각할 수 있다”라고 말했다. 그러나 이해관계자와 협력하면서 비즈니스 전략에 맞춰 사이버 보안 전략을 공동으로 생성하고 설계하지 않는다면 기업 위험에 대한 총체적 시야를 얻을 수 없다. 
 

보안 부서에서만 보안을 유지하는 오류

유능한 보안 부서를 구축하고서도 기업 전체에 걸쳐 보안 의식 문화를 조성하는 데 실패하는 경우 역시 성공을 저해하는 확실한 방법이라고 전문가들은 입을 모았다. 

통계에서도 잘 나타난다. 버라이즌의 ‘2021년 데이터 침해 조사 보고서’에 따르면 2020년의 침해 가운데 85%가 인적 요소와 관련된 것이었다.

클라우드 기술 회사인 어큐릭스(Accurics)의 CISO이자 연구소장인 옴 물챈다니는 “잘못된 링크에 대한 클릭 한 번만으로 CISO의 정책 전체가 무너질 수 있다”라고 경고했다. 

CISO는 효과적인 보안 인식 및 교육 프로그램을 개발해 모든 직원이 보안에서 자신이 해야 할 역할을 이해하는 데 도움을 주어야 한다. 

모리슨은 “문화는 CISO나 조직에 배가 효과를 갖기 때문에 중요하다. 오늘날의 모든 공격은 훼손된 인증이나 개인 신뢰의 유린을 악용한다. 소셜 엔지니어링, 피싱, 비밀번호 도난이다. 따라서 효과적 보안은 표적이 되는 모든 사람이 이들 위험을 이해할 수 있도록 해야 한다. 보안을 모든 사람의 일로 만들어야 한다”라고 강조했다.
 

보안 직원을 간과하는 실수

유수의 전문가들은 CISO가 부서의 문화를 간과한다면 보안 프로그램이 훼손되는 결과로 이어진다고 경고한다.

벗지는 “사람들은 흔히 부서의 유해성이나 낮은 수행 능력이 개인에게 영향을 준다고 생각하지만, 사이버 보안 태세와 위험도 분명 영향을 받는다”라고 말했다. 벗지의 연구는 CISO 역할의 성공을 지원하고, 변혁적인 사이버 보안 전략을 생성하고, 보안 의식, 행동, 문화 프로그램 구축에 초점을 맞춘다.

벗지는 “팀이 싸우느라 바쁘다면, HR에게 전화를 걸어대고 있다면, 이들은 혁신하지 않는 것이고, 자동화되지 않은 것이고, 거시적 그림이나 전략을 생각하지 않는 것이다. 이러한 오류는 모두 제대로 기능하지 않는 보안 팀으로 귀착된다”라고 덧붙였다. 

불만스러운 직원은 이직 가능성도 높다. 그렇다면 CISO는 팀원이 부족할 것이고, 가뜩이나 영입하기 어려운 보안 전문가를 새로 영입하는 데 어려움을 겪을 것이다. 결국, 어떤 보안 직원이 굳이 불만족한 팀에 합류하고 싶겠는가? 

또한, 부정적인 영향은 조직 전체에 파급된다. 벗지는 “보안에 대한 부정적 인식이 더해진다. 보안 팀과 말이 안 통한다고 말하는 직원이 늘어나고, 심지어 보안 팀 내에서도 서로 말이 안 통한다고 토로할 것이다”라고 말했다. 

벗지에 따르면 CISO가 유해한 문화를 주도하고 있다고 자각한다면 리더십 스킬을 발휘하여 관리 및 문화 전략을 이행해야 한다. 예를 들어 팀 구축 프로그램, 교육 프로그램 등을 마련해 보안 팀을 더 나은 방향으로 이끌 수 있다. 
 

새로운 것에 열중하는 실수

수많은 신생 기술 및 프로세스 중에서도 CISO 나름대로 선호하는 것이 있다. 예를 들어 확장 탐지 및 대응(XDR), 행동 애널리틱스, 위협 헌팅, 제로 트러스트 모델 등이다. 그러나 견실한 보안 프로그램의 기본적 요소가 완벽하게 이행되지 않았다면, 그리고 조직의 특수한 니즈에 따라 이들을 변화시키지 않았다면 최첨단 선택지는 실질적인 가치를 전달하지 못할 것이다. 

물챈다니는 “침해 사건을 분석하자 공격자가 기술적 틈새나 보안 결함을 악용했음을 알 수 있었다”라고 말했다. 

또한, 조직의 효율을 높이려면 고유한 위험과 가장 유망한 위협에 적합한 보안 프로그램이 필요하다고 말했다. 예를 들어, 유틸리티 전문 업체는 공격자나 국가 수준 해킹 그룹의 표적이 될 가능성이 소규모 업체보다 더 높다. 이 점을 이해하는 CISO는 조직만의 고유한 조건에 맞춰 보안 전략을 구성한다. 그 후 사이버보안의 기본을 완벽히 이행한다면, 제한적인 예산으로도 최고의 가치를 이끌어낼 수 있다. editor@itworld.co.kr 
 Tags 보안

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.