보안

글로벌 칼럼 | 사이버 위험 평가를 위해 필요한 ‘이성과 감성’

Andrada Fiscutean | CSO 2021.11.12
초기의 컴퓨터 바이러스인 브레인(Brain)이 등장한 지 약 40년이 지났다. 브레인 등장 이후 우리는 다양한 사이버 공격을 목격했다. 스턱스넷(Stunxnet)은 이란 핵 원심분리기 약 1/5을 파괴했고, 워너크라이(WannaCry)는 150개국의 컴퓨터를 감염시켰다. 랜섬웨어 공격집단은 수백만 달러를 탈취했으며 기업 수천 곳에서 사이버 공격으로 인해 데이터 유출 피해를 입었다. 그럼에도 불구하고 많은 기업이 여전히 사이버 보안 침해의 위험을 간과하고 있다.
 
ⓒ Getty Images Bank

인간은 늑대나 곰, 기타 포식자 등의 구체적인 위협으로부터 자신을 보호하기 위해 위험 감지 시스템을 개발했다. 상대적으로 새로운 분야인 사이버 보안 분야에서는 인간이 구축한 위험 감지 시스템을 사용할 수 없다. 미시간주립대학교 조교수 랄프 슈말즐은 “사이버 공격의 위험은 꽤 추상적인 개념이라 우리는 위협을 감지할 수 없다”라고 말했다. 

슈말즐은 위험 소통을 성공적으로 하기 위한 두뇌 메커니즘을 연구한다. 슈말즐은 “위험에 대한 정의는 사람마다 다르다. 불확실한 판단이기 때문에 매우 주관적이다. 컴퓨터 안전과 바이러스의 문제는 사람이 위험을 느끼지 못한다는 것이다”라고 설명했다. 

기업을 예로 들면, 위험에 대한 이해관계자와 CISO의 생각이 다르다. CSIS 그룹 사이버정보 전문가 스테판 파나스는 “이해관계자는 지속해서 발생하는 공격 규모를 파악하기 위해 방화벽 로그를 살펴본 적 없이 없기 때문에 느긋한 편이며, CISO가 피해망상에 사로잡혀있다고 생각한다. 이해관계자와 CISO는 서로 다른 의견을 갖고 있으며, 서로의 관점을 이해하기도 어렵다”라고 말했다. 

위험 평가 및 관리에 특화된 여러 전문가는 인간이 장벽에 부딪혀 위험을 이해하지 못하는 것이라고 설명했다. 예컨대 편견, 유사 사건에 대한 경험, 심지어 위험을 감수하려는 의지에 영향을 미칠 수 있는 업무 수행 능력까지 장벽이 될 수 있다.


올바른 위험 평가가 어려운 이유

발생 가능한 위험을 예측할 때, 우리는 보통 위험에 대한 직관적인 감각에 의존한다. 하지만 사람은 과도하게 낙관적이거나 자신감에 차 있다. 또 확증 편향이나 관점을 왜곡하는 잘못된 통제감이 있을 수 있다. 산타클라라 대학교 경제학자 허쉬 셰프린은 “사람은 ‘위험 평가’와 관련하여 모두 생각이 제각각이지만, 사이버 보안뿐만 아니라 대부분에 대해 지나치게 낙관적인 경향이 있다”라고 설명했다.

슈말즐은 “비현실적인 낙관주의는 인간의 판단에 영향을 미친다. 다른 사람보다 암이 발생할 가능성이 낮고 자녀가 똑똑할 가능성이 높으며 사이버 공격의 피해자가 될 가능성이 낮다는 식이다”라고 말했다. 이런 경향은 전 세계적으로 나타나지만, 발전된 사회에서 특히 두드러진다. 

비현실적 낙관주의는 통제 착각과 긴밀하게 연관된다. 기업 임원처럼 막중한 책임을 지고 있을 때 위협을 대수롭지 않게 여길 수 있기 때문에 이런 편견은 비즈니스 환경에 끔찍한 결과를 불러일으킬 수 있다. 예를 들어 많은 사람이 비행기 탑승을 두려워하고 자동차 운전을 더 안전하다고 느끼지만, 통계적으로는 비행이 더 안전하다. 

슈말즐은 “사람의 인식은 발생 가능성이 있는 위험한 사건과의 시공간적인 거리에 영향을 받을 수 있다. 나도 약간의 비행 공포증을 겪는데, 비행 탑승권을 몇 주 전에 미리 예매할 때는 두려움을 느끼지 않는다. 하지만 활주로에서 비행기가 가속하기 시작하면 손바닥에 땀이 나는 느낌이 든다”라고 부연했다.

이런 사례는 더 넓게 적용할 수 있다. 슈말즐은 “즉각적인 상황(인지된 위험)에서만 두려움을 느끼고, 거리가 멀면 느끼지 않는다. 이처럼 거리와 시점이 너무 멀면 사람은 전문가의 경고에 상관없이 위험을 느끼지 못하는 것이다”라고 설명했다. 

사람은 이미 알고 있고 듣고 싶은 정보를 선호하며 나머지는 무시하는 경향이 있기 때문에 전문가의 조언도 듣지 않는다. 여러 연구에 따르면, 사람이 정보나 해석, 기억 방식을 찾는 과정에서 확증 편향이 나타날 수 있다. 현실적으로 확증 편향을 완벽하게 피할 방법은 없지만, 비판적 사고를 통해 지속적으로 확인할 수 있다.

업무 결과에 대한 느낌처럼 아무리 작은 일이라도 위험을 정확하게 판단하는 것은 어렵다. 셰프린은 “원하는 것을 얻지 못하는 것과 실패에 대한 두려움 때문에 인간은 공격적으로 위험을 감수한다. 이것이 야후에퀴팩스 같은 기업에서 데이터 유출이 발생한 근본적인 이유다”라고 지적했다.

슈말즐은 최근 에이서와 올림푸스 사례처럼 기업이 사이버 보안 공격을 여러 차례 당하는 것에 공감하지 못했다. 슈말즐은 “일반적으로 화상을 한 번 입으면 매우 조심하게 된다. 난로 위에 손을 얹는 행동이 회피 학습을 시행하는 대표적인 방법인 것이다”라고 말했다. 슈말즐은 반복적으로 공격을 당하면서도 오류를 시정하지 않는 이유는 작은 사건만 겪은 기업이 ‘최악의 사례를 생생하게 상상하는 것’이 어렵기 때문이라고 분석했다.

하지만 보안 경보에 피로를 느낄 수 있다. 파나스는 “업계에는 마케팅 및 PR 목적으로 과장된 위협 보고서가 많다. 모든 사이버 공격이 ‘가장 복잡하고’ 모든 공격자가 ‘가장 정교하다면’ 독자가 어떻게 위험을 올바르게 평가할 수 있을까? 모든 것이 중요하다면, 중요한 것이 없는 셈이다”라고 덧붙였다.


위험을 더욱 잘 이해하기

사람의 뇌가 사이버 보안 사건의 위험을 평가하는 데 최적화될 필요는 없지만, 몇 가지 방법으로 훈련을 할 수 있다. 첫째, 매트 블레이즈가 2004년 논문에서 제안한 것처럼 물리적인 보안에서 사이버 보안을 배우는 방법이다. 블레이즈 논문은 시간만 충분하다면 사이버 공격자가 거의 모든 시스템에 침입할 수 있다는 것을 논지로 한다. 

블레이즈는 “긴 역사와 상대적으로 안정적인 기술 기반 덕분에 물리적 보안 분야, 특히 안전한 금고 분야는 일반적으로 예상되는 공격자의 역량과 공격법, 그리고 성공적인 공격을 위해 필요한 자원을 놀라울 정도로 정밀하게 정의한다. 물리적 보안에서는 ‘보안’을 컴퓨터 및 네트워크 업계보다 더 균형적이고 정량화 가능한 것으로 인식하고 있다. 해킹의 정수는 시간이다”라고 설명했다.

위험에 관한 논의가 사이버 보안 업계에 좀 더 보편화될 필요도 있다. 시큐어웍스(Secureworkds) 사고 대응 책임자 톰 사멜은 지난 몇십 년 동안 기업이 불편한 대화를 미루는 경향이 있다는 사실을 발견했다. 사멜은 “우리는 기업 임원 대부분이 두려워하는 고통의 세계에 살고 있다. 임원은 데이터 도난 또는 랜섬웨어 사건이 기업의 명성이나 운영에 영향을 미치는 방식을 파악하는 데 어려움을 겪는다. 그렇기 때문에 피하는 것이다”라고 말했다.

포티움 파트너스 CIO 마이클 벤츠는 기업이 NIST(National Institute of Standards and Technology) 프레임워크에 기반한 일부 도구를 사용해 최소한의 노력으로 사이버 보안 위험을 확인하고 줄일 수 있다고 조언했다. 이런 방식은 자원이 부족한 중소규모 기업에 도움이 된다. 완벽하지는 않지만, 디지털 위협 방지 대책이 충분하지 않은 기업에서 차이를 만들 수 있다. 벤츠는 “대부분 임원은 사이버 보안 위험 관리 전략을 실행할 때 희망, 기도, 행운에 의지한다”라고 덧붙였다.

사이버 보안 전문가 제인 프랭크랜드는 “기업은 적절한 도구 확보에만 집중해서는 안 된다. 해당 업무를 위해 최고의 인력을 채용해야 한다. 다양한 직원에게 발언권을 제공해 참여를 이끌어야 한다는 의미다. 여러 연구에 따르면, 여성과 남성은 위험을 다르게 측정한다. 여성은 일반적으로 더 위험 회피적이며 자세하게 조사하는 성향 덕분에 변화하는 패턴 행동에 훨씬 잘 대응한다. 위협 활동자를 올바르게 확인하고 기업 시스템을 보호하는 데 필요한 역량이다”라고 지적했다.

프랭크랜드에 따르면, 여성은 직관, 감성, 사회 지능 점수가 높다. 일반적으로 다양성을 보유한 조직이 더 똑똑하고 비상시에도 잘 대응한다. 프랭크랜드는 “생각이 균일해지면 위협 활동자를 물리치는 데 도움 되는 창의적인 솔루션이나 전략을 놓치기 마련이다”라고 덧붙였다. 

다양성을 갖춘 팀, 더 나은 도구, 더 나은 프로세스를 많이 확보하면 기업은 위협을 더욱 잘 평가할 수 있다. 사멜은 “지난 10년 동안 상황이 달라졌다. 위험은 실험적이며, 많은 기업이 사고로부터 경험을 얻었다. 하지만 이해관계자가 발생할 수 있다고 생각하는 것과 CISO가 보는 로그 사이에는 격차가 존재한다. 이런 격차는 CISO가 위험에 대한 좋은 논의 방법을 찾을 때 해결할 수 있다”라고 조언했다.


위험을 효과적으로 전달하기

코로나19 위기에서 보았듯이, 위험한 상황에서 몇 달 혹은 몇 년 동안 살게 되면 사람은 숫자 변화에 무뎌진다. 슈말즐은 “위험이 60%, 80%라는 것이 무슨 의미가 있겠느냐”라고 반문하며 “나는 이 정보를 실질적으로 사용할 수 없다. 대신에 개인적인 위험을 평가할 때는 ‘발생할 수 있는 것’과 ‘발생하지 않을 것’ 2가지로 분류한다”라고 덧붙였다.

블레이즈의 논문처럼 사이버 공격자에게 충분한 시간이 주어진다면 최악의 시나리오가 얼마든지 발생할 수 있으므로 CISO는 이해관계자와 대화할 때 위험이 추상적인 것이 아니라 구체적이라는 것을 설명해야 한다.

사멜은 “CISO는 팀과 함께 다양한 시나리오를 검토하며 사건이 어떻게 펼쳐질 것인지 이야기해야 한다. 계획이 준비되면 해당 분석 결과를 가지고 효과 정량화에 도움을 줄 수 있는 가장 적당한 이해관계자를 찾아야 한다”라고 말했다.

이때 대화에는 구체적인 숫자가 오가야 한다. 여러 연구원은 원치 않는 사건의 발생 가능성과 결과의 심각도를 조합하라고 조언한다. CISO는 이해관계자에게 보험을 구매하고 모든 준법감시 항목을 확인하며 보안 수준을 높일 수 있는 일부 기술을 구매하는 것으로는 부족하다고 경고해야 한다. 도움은 되지만, 충분하지 않기 때문이다.

사멜은 “미국 해병대에서는 우스갯소리로 ‘점검 준비가 완료된 해병은 절대로 전쟁 준비가 되어 있지 않으며, 전투 준비가 된 해병은 절대로 점검 준비가 되어 있지 않다’라는 말을 한다. 기능적 준비가 필요한 경우와 점검을 위한 준비가 필요한 경우가 다르기 때문이다. 훌륭한 보안팀은 문제를 살펴보고 질문의 요지가 무엇인지 파악해야 한다”라고 덧붙였다. 

CISO는 사이버 보안 사건의 위험을 돈으로 환산할 수 있다. 예컨대 사멜은 한 랜섬웨어 피해 기업에 문제 해결을 위해 며칠 동안 운영을 중단해야 한다고 조언했다. 사멜은 “운영 중단을 감수하면 약 500~800만 달러의 비용이 발생할 것이며 그렇지 않으면 사이버 공격자가 다시 돌아와 최소 2~4주 동안 시스템을 마비시킬 수 있고, 그때는 5억 달러의 비용이 발생할 것이라고 조언했다. 때로는 상황에 대한 솔직함과 잔인한 이해가 필요하다”라고 설명했다.

하지만 CISO가 위험을 돈으로 환산하더라도 셔프린의 말처럼 ‘사실만으로는 사람을 움직일 수 없다’는 점을 기억해야 한다. 대신에 확실한 정보를 이해관계자가 조치를 취하도록 하는 선명한 이미지와 감성으로 보완해야 한다. 감성(emotion)은 ‘움직임(motion)’을 의미한다. 즉, 사이버 위험 평가를 위해서는 수치를 기반으로 하는 ‘이성’과 움직이고 조처하는 뇌의 시스템인 ‘감성’이 필요하다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.