코로나19로 드러난 6가지 보안 결점

1년 전인 2019년 가을, 지브라 테크놀로지스(Zebra Technologies)의 마이크 잭맨은 전사적인 보안 훈련을 실시했다. 사이버보안과 제품 보안 및 물리적 보안을 총괄하는 최고 보안 책임자인 잭맨은 회사의 대비 상황을 점검하기 위해 훈련의 초점을 비즈니스 연속성(Business Continuity)에 맞췄다. 
 

잭맨은 과거에도 데이터센터를 마비시킨 가상 랜섬웨어 공격과 자연 재해를 통해 이와 비슷한 훈련을 실시한 적이 있었다. 잭맨은 더 철저한 테스트를 위해 2019년에는 새로운 시나리오를 구상했다. 바로 사무실 작업자를 대상으로 한 체온 검사를 포함한 가상의 전염병 상황이다. 

잭맨은 자신에게 선견지명이 있었던 것이 아니라 그저 실용적이었을 뿐이라면서 글로벌 기업은 과거에도 사스(SARS)를 비롯한 지역 유행병에 대처한 적이 있으므로 전염병에 대한 회사의 대응을 테스트하는 것이 타당하다고 생각했다고 말했다. 

또한 지브라는 재해 복구(disaster recovery), 공급망(supply chain) 및 인력(workforce)의 '3'과 수리 창고(repair depots) 및 유통 센터(distribution centers)의 '2'가 재해 상황에서 탄력적으로 대처하도록 고안된 회사의 '3+2' 전략을 테스트했다. 

잭맨은 “이 훈련을 실시한 덕분에 코로나가 닥쳤을 때 비교적 잘 대처할 수 있었다. 여전히 어려운 일이었지만 계획을 적절히 실천하기 위해 많은 사람이 많은 노력을 기울였다. 적어도 무엇을 해야 할지 몰라 우왕좌왕하는 상황은 겪지 않았다”라고 의미를 부여했다. 

지브라는 지휘통제 계획이 있었고 광범위한 재택근무를 지원하기에 충분한 VPN도 보유했다. 지브라 직원은 각자의 기기를 갖고 있었다. 2019년 가을 훈련에서 비상 상황 발생 시 비즈니스 연속성을 보장하기 위해서는 퇴근할 때 노트북을 가지고 갈 필요가 있다는 걸 확인했기 때문이다. 

그러나 잭맨에 따르면 지브라는 여전히 사이버보안 운영에서 수정해야 할 몇 가지 결점을 발견했다. 예를 들어 노브북의 일부 구성이 개별 직원의 홈 인터넷 네트워크를 통해 할당된 장기적인 원격 액세스에 필요한 보호 기능을 충분히 제공하지 않는다는 점이 드러났다. 또한 재택근무에 사용되는 노트북의 네트워크 트래픽에 대한 가시성(visibility)도 부족했으므로 지브라는 더 성숙한 제로 트러스트 환경(Zero Trust Environment)을 구축하는 데 박차를 가했다. 

지브라의 경험에서 볼 수 있듯이, 팬데믹은 잘 준비된 기관과 기업에서도 보안 결점을 드러냈다. 이 결점은 사소한 부분부터 심각한 문제에 이르기까지 다양하며, 기업의 크기와 속성에 관계없이 CISO와 기업이 계속되는 불확실성과 장기화되는 재택근무 시나리오에 대처해 나가는 데 있어 부가적인 골칫거리가 된다. 

IT 서비스 관리 업체 텍시스템즈(TEKsystems)의 위험 및 보안 리더인 코리 패트릭은 “이전에는 몰랐던 빈틈을 발견하는 경우도 있고 회사가 생각했던 것보다 뒤쳐져 있음을 알게 되는 경우도 있다. 모두가 코로나를 겪으며 뭔가를 배웠다”라고 말했다. 

드러난 보안 결점 

최근 몇 개월 사이 많은 보고서에서 2020년 공격의 횟수와 유형, 심각도가 모두 증가한 것으로 나타났다. 예를 들어 넷스카우트(NETSCOUT)는 상반기 위협 정보 보고서에서 총 공격 건수가 지난해 같은 기간에 비해 15% 증가한 483만 건에 이르렀다고 보고했다. 이런 통계는 CISO가 지난 3월부터 강조해 온 내용, 팬데믹이 기업 보안의 견고함을 지속적으로 시험대에 오르게 하고 있음을 재확인시켜준다. 

또한 팬데믹으로 인해 많은 약점이 노출됐다. 보안 리더와 전문가들이 지적한 일반적인 약점은 다음과 같다. 

- 불충분한 준비와 계획: 사이버보안 솔루션 및 컨설팅 서비스업체인 웨이트 SLTS(Waite SLTS) 창업자인 셸리 웨이트-베이는 팬데믹 초기 많은 기업이 보안 프로그램에 대한 관심과 투자가 부족했다는 사실을 인식했다면서, "많은 이가 준비가 덜 된 상태로 팬데믹 상황에 직면했고 이를 바로잡기 위해 보안 개선을 추진하고 있다"라고 말했다. 

- 경영진의 부족한 지원: 맥브라이드(McBride)의 정보보안 부사장이자 CISO인 캐더린 살라자는 많은 CISO가 여전히 정식 임원 대우를 받지 못하며, 사고가 발생하기 전에 사이버 위험에 충분히 대비하는 데 소극적인 경영진에 직면하는 경우가 많다면서, "CISO는 지금의 새로운 환경에서 조직을 보호하는 데 필요한 예산을 얻지 못하고 있다"라고 지적했다. 

2020년 10월 세이프가드 사이버(SafeGuard Cyber)의 보고서 역시 “인지된 보안 및 규정 준수 필요성과 조직 차원의 계획 사이에는 상당한 괴리와 갈등이 있다. 승인되지 않은 앱, 랜섬웨어 공격, 다양한 기술 스택 보호에 관한 디지털 위험에 대한 인식에도 불구하고 보안이 경영진 수준의 관심사라고 답한 응답자는 18%에 불과하다”라고 전했다. 

- 경계 방어에 대한 의존 지속: 기업이 서둘러 재택근무를 시행하면서 많은 CISO는 부하를 감당할 VPN도, 승인된 사람만 필요한 시점에 필요한 데이터에만 액세스하도록 보장할 보안 인프라도 부족하다는 사실을 인식했다. 텍시스템즈의 패트릭은 경계 방어에 대한 의존도가 여전히 높다는 사실을 비판했다. 경계 방어에 대한 높은 의존으로 인해 재택근무를 안전하게 확장하기가 어렵거나 아예 불가능하다. 이에 대응하기 위해 CISO는 고급 ID 및 액세스 관리 솔루션과 제로 트러스트 원칙을 서둘러 도입하고 있다. 

- 패칭 문제: 사이버 위협 정보 분석가이자 베테랑 사이버보안 그룹 벳섹(VetSec) 회원인 존 E. 스토너는 2020년의 여러 사건은 기업 패칭 프로그램의 약점도 드러냈다고 말했다. 스토너는 패치를 적용하는 데 충분한 시간을 투자하지 않는 기업도 있고, 패치를 효과적으로 관리하기 위한 강력한 자산 관리 프로그램이 없는 기업도 있다고 지적했다. 또한 기업 자산에 대해 효과적으로 패치를 해도 업무에 사용되는 개인용 기기에 패치를 푸시할 수단이 없는 경우도 있다. 

해커도 이 약점을 인지했다. 패치되지 않은 알려진 취약점에 대한 공격이 여전히 횡행하고 있다. 스토너는 “패치의 부족이 침입으로 이어지고 있으며 피해 기업 중에는 대기업도 있다”라고 말했다. 아크틱 울프(Arctic Wolf)의 2020 보안 보고서는 패칭 규약과 관련된 문제를 주요 문제로 지적하며, 중대한 취약점 패치 시간이 팬데믹 중 40일 증가했다고 전했다. 

- 불충분한 가시성과 통제 수단: 사이버보안 컨설턴트이자 vCISO인 지나 야콘은 기업 고객에 새로운 재택근무자로 인해 발생하는 취약점을 고려할 것을 조언했다. 야콘은 "문제는 개인용 홈 네트워크, 즉 공유기와 와이파이다. 가정용은 엔터프라이즈급 보호 기능을 제공하지 않는다”면서, "홈 네트워크는 일반적으로 암호화 기능이 없고 비밀번호 보호 기능조차 없는 경우도 있다"라고 말했다. 

이와 같은 시나리오는 기업이 VPN을 사용하지 않거나 작업자가 민감한 데이터를 다루는 경우 특히 더 문제가 된다. 야콘은 “재택근무자에게 데이터를 보호하기 위한 장비가 있는가?”라고 물었다. 아크틱 울프 보고서에 따르면 개방형 와이파이 네트워크에 연결된 디바이스의 수는 3월 이후 243% 증가했다. 이는 적절한 통제 수단을 마련하지 않으면 지리적으로 분산된 인력이 보호되지 않는 네트워크에서 더 많은 공격 위험에 노출된다는 것을 의미한다. 

위험 관리 및 법률 컨설팅 서비스 제공업체인 콘실리오(Consilio)의 글로벌 정보 거버넌스 자문 서비스 부문 부사장인 맷 밀러는 이와 동시에 성숙한 데이터 분류 체계와 강력한 자산 관리 프로세스 또는 성숙한 모니터링 프로그램이 없는 조직은 충분히 보호해야 할 영역에 필요한 시야를 얻지 못한다고 말했다. 밀러는 비밀번호나 암호화로 보호되지 않는 6,000개의 스프레드시트에 550만 개의 사회보장번호를 저장했던 한 기업을 예로 들었다. 밀러는 이와 같은 시나리오에서 기업 보안 팀은 엔드포인트, 데이터 플로우 및 네트워크 트래픽에 관한 가시성과 통제력을 개선할 정책과 솔루션을 서둘러 개발, 구현하고 있다고 말했다. 

- 민첩성 부족: 밀러는 지난 몇 개월 동안 여러 가지 문제에 동시다발적으로 대처하는 데 어려움을 겪은 보안 팀이 많다고 말했다. 해결해야 할 위기가 산적하고, 이로 인해 신속하게 작업을 수행하는 데 어려움이 발생하자 많은 CISO는 보안 부서의 민첩성이 필요한 수준에 이르지 못함을 인식했다. 민첩성의 제약은 보안 영역에서 오래된 문제, 예를 들어 인력 부족, 번거로운 일상적 수작업을 대신해 직원이 더 가치있는 프로젝트에 시간을 투자할 수 있게 해주는 자동화의 부족과 직결된다. 그 영향은 심각하다. 밀러는 “민첩성 부족, 빠른 전환 역량의 부족에 따른 결과는 노출이 증가하고 위험 수준이 크게 높아진다는 것”이라고 말했다. 밀러는 일부 조직은 보안 공백을 해결하는 데 몇 개월이 걸리기도 한다면서, “이제 정상에서 벗어난 상황에 대처하려면 더 민첩해야 한다는 사실을 기업이 인식했다”라고 덧붙였다. 

얻은 교훈 

2020년의 여러 사건은 기업 보안의 약점을 드러냈지만 이 가운데 상당수는 CISO가 장기적인 로드맵에서 해결하기 위한 계획을 두고 있던, 이미 알려진 문제였다. 

패트릭은 “지금까지 많은 기업이 장기적인 타임라인에 따라 변화를 모색했지만 코로나바이러스는 이런 계획의 시행 시기를 앞당겼다. 코로나바이러스가 많은 기업의 보안 문제를 드러내고 비즈니스 가용성에 직접적으로 타격을 입혔기 때문이다”라고 말했다. 

이제 바로잡기 위한 움직임이 일어나고 있다. 패트릭을 비롯한 여러 전문가는 기업 네트워크 경계가 허물어지고 재택근무 인력과 함께 엔드포인트와 연결된 기기가 폭증하는 상황에서 보안을 보장하기 위해 제로 트러스트 아키텍처로 전환하거나 확대하는 CISO가 늘고 있다고 말했다. 

또한 많은 CISO가 엔드포인트 관리 프로그램을 강화하고 데이터 분류 및 통제 수단을 발전시키고 있다. 이런 모든 움직임은 전반적으로 더 강력한 보안으로 이어지게 될 것이다. 암울한 전망에서 그나마 희망적인 부분이다. 

밀러는 “올해 일어난 것과 같은 사건에 미리 대비하지 않았던 CISO가 이제 재해 복구와 비즈니스 연속성 계획을 개선하고 앞으로 발생할 알 수 없는 사건에 대비할 방법을 적극적으로 모색하고 있다”라고 말했다. editor@itworld.co.kr