효과적인 모의 보안 훈련을 위한 6가지 전략

모의 훈련은 최악의 보안 사고를 예방해 줄 가장 효과적인 준비다.

기업에서 진행하는 모의 보안 훈련은 실제 상황에서 발생할 수 있는 비상 사태를 미리 분석할 수 있도록 해준다.

또한 참가자들은 기존의 작전 계획을 살펴보고 더 개선할 점은 없는지를 고민하며 보안에 대한 건설적인 논의를 할 수 있다.

이런 훈련은 정보 보안과 물리적 보안 모두에 있어 꼭 필요하다. 공격이 발생할 시 비상 사태에 대한 계획, 준비, 그리고 협력의 장을 마련해 주기 때문이다.

금융서비스 산업 소프트웨어 공급업체 Q2의 부대표이자 CSO인 제이 맥래플린은 "모의 검사는 대개 토론 위주이며, 참가자들은 주어진 보안 위협에 효과적으로 대처하기 위해 필요한 각자의 역할, 책임, 그리고 대응 방향을 재검토한다"고 말했다.

맥래플린은 "이런 류의 모의 훈련을 진행할 때는 대부분 보안 위협이 있을 때 성공 확률이 높을 것이라는 전제 하에 진행하게 된다. 이런 모의 훈련을 하는 것의 가장 큰 장점은 실제적 위협이나 방해 요소가 없는 형식으로 실제 같은 상황을 경험할 수 있다는 것이다"고 말했다.

게다가 비용도 경제적이다. 훈련의 목표는 참가자들, 그리고 관리자들이 사건 대응 계획상의 약점이나 맹점을 인지하고 이에 대처할 수 있게 하는 것이다.

그렇지만 이렇게 장점이 많은 모의 훈련을 제대로 하려면 어떤 점에 유념해야 할까? 이에 대해 몇명의 보안 전문가들의 의견을 들어보았다.

체계적이고 빈틈없는 훈련 계획을 세운다
맥래플린은 "모의 훈련을 성공적으로 마치려면 준비가 반이다. 훈련을 계획하는 단계에서 훈련의 목표, 범위, 그리고 참가자까지 전부 결정해야 한다"며, "보통 이 과정에서 많은 시간이 소요되지만, 이렇게 철저히 준비를 해야만 훈련의 효과를 볼 수 있다"고 말했다.

맥래플린은 "훈련을 진행할 때는 진행자가 토론의 흐름을 잘 잡아줘야 한다. 그렇지 않을 경우 참가자들끼리 이야기하다 삼천포로 빠지는 경우가 있는데 이러면 훈련이 원래 목적에서 벗어나게 된다"고 설명했다.

맥래플린에 따르면, 참가자들의 대화는 사고 발생시 이에 대한 감지, 대처, 문제 해결과 극복에 초점이 맞춰져야 한다.

또한 훈련이 끝난 뒤에는 훈련 후 감상을 문서로 작성해 리뷰할 수 있게 해야 한다. 훈련을 통해 배운 점을 기록하고, 향후 발생할 수 있는 사건에 대한 전반적인 대응을 개선하기 위해 어떤 노력을 할 수 있을 지 생각해 볼 기회를 준다.

기관, 기업 각 부처의 다양한 인원을 훈련에 참여시킨다
보안 팀 직원들 외에도, 기업 각 부처에서 다양한 역할을 맡고 있는 직원들이 다 함께 훈련에 참여할 수 있도록 다양한 참가자들을 모집해야 한다.

제네럴 일렉트로닉(General Electronic CO.)의 금융 서비스 유닛인 GE 캐피털 아메리카스(GE Capital Americas)의 사건 대응 및 데이터 관리팀장 매리 채니는 "모의 훈련은 단순히 사건 대응 역량을 길러주는 것뿐 아니라 인사, 커뮤니케이션, IT, 컴플라이언스, 법률 등 다양한 부처가 협력할 수 있는 기회이기도 하다"고 말했다.

채니는 "보안 전문가들은 문제가 일어나기 전까지는 뭐가 문제인지 알 수 없다는 답답한 상황에 직면하곤 한다. 모의 훈련을 통해 통제된 상황에서 관계자들이 이런 상황에 시기 적절하게 대처하는 법을 배울 수 있다. 무엇보다 중요한 건 (다른) 비즈니스 리더들이 보안 전문가가 누구인지 알고 보안 위협 상황에 도움을 줄 수 있을 것임을 안다는 것이다"고 설명했다.

채니는 "모의 훈련에 참여함으로써 비즈니스 리더들은 보안 부서가 문제 대응 및 커뮤니케이션을 위해 노력하고 있음을 이해하게 될 것이고, 이로 인해 좀더 편안한 마음으로 비즈니스 활동을 이어갈 수 있게 될 것이다. 이는 또한 발견한 문제점에 대한 관계자와의 공유 역시 수월하게 해준다. 훈련을 통해 보안 문제에 대한 기업 전반의 이해 수준이 높아진 상황이라면 위기 발생 이전에 지원을 확보하고 관련 의사 결정을 내리는 것이 가능해진다"고 설명을 이었다.

스토리지 및 정보 관리 서비스 공급업체 아이언 마운틴(Iron Mountain)의 정보 보안 책임자 마크 올슨은 "외부 보안 전문가의 지원을 통해 훈련을 진행하는 것도 좋은 방법이다. 훈련 이전까지 (정보 보안 부서가) 행해온 통제들이 과도한 것으로 비춰졌던 이유에 대해 어느 정도 인식을 제공해줄 수 있기 때문이다"고 말했다.

올슨은 "단순한 데스크톱 공략에서 시작해 서버 우회 공격까지 이어지는 일련의 훈련을 통해 사용자들은 보안의 필요성을 실제적으로 납득할 수 있게 될 것이다. 정보 보안은 '무너지는 하늘을 떠받치는 것'이 아니다. 정보 보안의 목적은 리스크를 줄이는 데 있음을 이해할 필요가 있다. 모의 훈련은 이런 보안 프로그램의 목표와 가치를 증명하는 기회다"라고 설명했다.

참가자들에게 훈련의 기초 규칙들을 숙지시킨다
미국 델러웨어 주정부의 CSO 엘레인 스타키는 "훈련의 범위에 대해서는 명확한 설명이 필요하다"고 강조했다.

스타키는 "기본 원칙에 대한 사전 설명이 이뤄지지 않은 채 진행되는 훈련은 참가자들을 당황하게 한다. 그리고 이런 당황스러움은 훈련 자체에 대한 부정적인 인상으로 이어질 수 있다. 결국 훈련의 가치가 훼손될 수 있는 것이다"고 설명했다.

이럴 경우 기존 참가자들은 훈련을 '시간 낭비'로 평가하며 다른 동료들의 훈련 참여 역시 말릴 수 있다. 스타키는 자신들의 경우 모의 보안 훈련을 진행하기에 앞서 기초 규칙을 서면으로 공식 전달한다고 소개했다.

스타키에 따르면 훈련 참가자들이 가장 혼동하는 내용은 커뮤니케이션 상황을 가정하는 단계까지만 훈련을 진행하는지, 아니면 실제로 다른 참가자들과 정보 등을 공유해야 하는지의 여부다. 이 부분에 있어서는 명확한 사전 설명이 있어야 할 것이라고 말했다.

산업과 정부 내부의 자원을 활용한다
시장에는 기업들의 모의 훈련을 지원하는 산업 기관들도 존재한다. 그 대표적인 사례로는 국제 금융 서비스 부문의 현재 핵심 보안 위협에 대한 공동의 연구를 위해 설립된 산업 포럼 '금융 서비스-정보 공유 및 분석 센터(FS-ISAC, Financial Services-Information Sharing and Analysis Center)'이 있다(한국에서도 한국인터넷진흥원과 같은 관련 기관들이 정보보호 강화를 위해 정보보호 인프라 강화, 정보보호 안전진단 지원 등 여러가지 지원 제도를 시행하고 있다. 편집자 주).

GE 캐피털 아메리카스의 채니는 "우리 역시 FS-ISAC 포럼에 참여하고 있다. 참여 기업들에게는 다양한 시나리오에 맞춰 구성된 여러 모의 훈련 프로그램의 지원이 이뤄지고 있다. FS-ISAC가 지원하는 훈련 프로그램은 내, 외부 대응 역량 확보에 상당히 유용하다"고 소개했다.

GE 캐피털 역시 최근 한 FS-ISAC 훈련 프로그램을 진행한 바 있다. 이를 통해 이들 기업은 환경 내부 커뮤니케이션 과정을 테스트하고, 어떤 지점에 어느 정도 수준의 사건이 발생했을 때 그것을 다른 FS-ISAC 회원사들과 공유하는 것이 적절할 지의 여부도 확정할 수 있었다.

전자, 국방, 커뮤니케이션 등 각종 시스템을 공급하고 있는 레이선(Raytheon Co.)의 '부상 전사 프로젝트 파트너십(Wounded Warrior Project Partnership)' 대비 책임자 로버트 코너는 연방, 주, 지역 정부의 지원을 통해서도 보안 모의 훈련을 진행하는 것이 가능하다고 소개했다.

코너는 "정부의 지원을 받는 것은 두 가지 측면에서 장점이 있다. 첫째는 실제 사고 발생 이전에 정부 측과 관계를 형성하고 그들에게 당신의 환경에 관해 알려줄 수 있다는 점이고, 둘째는 서로의 기술과 베스트 프래틱스를 공유하는 호혜적 파트너십이 구축된다는 점이다"고 설명했다.

훈련 규모는 클수록 좋다
올슨은 훈련 준비 과정에서 그것의 범위와 폭을 설정하는 과정의 중요성을 강조한다. 올슨은 "감지 훈련을 진행한다면 고객과 공공에 그 사실을 공개하라. 자사의 프로그램을 널리 알릴 수 있는 좋은 기회다"고 말했다.

올슨은 "정보 보안 시장에서 모의 훈련은 자신들의 절차와 과정을 증명할 수 있는 도구가 된다. 그리고 효과는 그 공개 범위가 넓을수록 커진다. 이는 자사가 정보 보안 문제를 얼마나 잘 이해하는지, 그리고 자사의 보안 인식 훈련 프로그램이 얼마나 효과적인 지에 대한 시장의 인식을 고취시켜준다"고 설명했다.

최대한 현실적인 상황을 가정하고 훈련을 진행한다
스타키는 "사람들은 '각본'에 거부감을 가진다. 현실적인 상황과 사건을 가정하는 것이 참여와 몰입도를 높이는 방법이다. 진행하려는 훈련 주제의 전문가를 초대해 실제로 일어날 수 있는 상황을 구성하는 것이 좋다"고 조언했다.

스타키는 "우리의 경우 얼마 전 전력망에 대한 사이버 공격 상황을 가정해 훈련을 진행했는데, 이 과정에는 댈러웨어주 최대의 발전소 관계자가 방문해 주입할 테스트 코드를 작성해줬다"고 소개했다.

여섯 가지 모의 보안 훈련 팁을 요약하면 다음과 같다.
1. 체계적이고 빈틈 없는 훈련 계획을 세운다.
2. 기관, 회사 각 부처의 다양한 인원을 훈련에 참여시킨다.
3. 참가자들에게 훈련의 기초 규칙들을 숙지시킨다.
4. 산업과 정부 내부의 자원을 활용한다.
5. 훈련 규모는 클 수록 좋다.
6. 최대한 현실적인 상황을 가정하고 훈련을 진행한다. editor@itworld.co.kr