데이터 유출 사고 중 인적 요소가 관련된 비중
82
%
자료 제목 :
2022 데이터 침해 조사 보고서
2022 Data Breach Investigations Report
자료 출처 :
Verizon
원본자료 다운로드
관련 자료 :
발행 날짜 :
2022년 05월 24일
모바일

“고위직이 더 골칫거리” CISO를 위한 경영진 보안 가이드

Rosalyn Page | CSO 2023.01.26
널리 알려져 있듯이, 사이버 사고에는 인간적인 요소가 포함되는 경우가 많으며, 임원들은 모두 너무 인간적이다. ‘버라이즌 2022 데이터 침해 조사 보고서’에 따르면, 82%의 침해가 인적 요소와 관련되어 있으며, 상당수가 피싱, BEC 및 도난된 자격 증명과 관련되어 있다.
 
ⓒ Getty Images Bank
 

새로운 공격 표면 ‘가정’

개인적인 경로를 통해 조직의 최고위층을 목표로 하는 새로운 위험군이 등장하고 있다. CISO가 기억해야 할 메시지는 임원들의 디지털 라이프가 특히 약한 연결고리가 될 수 있으며, 그들의 회사 기기와 계정뿐 아니라 홈 서버, 홈 보안 장비, 패밀리 기기, 심지어 소셜 미디어 활용도 기업의 보안 위험을 야기할 수 있다는 것이다. 블랙클록의 CEO인 크리스 피어슨은 “가정이 새로운 공격 표면이라는 것을 의미한다”라고 말했다.

조직을 보호하기 위해 내부 시스템과 인력을 확보하기란 그나마 쉽지만, 쉽게 통제할 수 없는 외부의 위험을 관리하기란 훨씬 어렵다. 피어슨은 리더십 팀의 디지털 라이프가 시한폭탄이 될 수 있다고 지적했다. 피어슨의 분석에 따르면 특히 초기 적응하는 임원의 경우 상당 비율(39%)이 위험한 개인 디지털 라이프 측면을 가지고 있다. 개인적인 삶과 기업적인 삶이 연결된다면, CISO들에게 큰 문제의 원인 될 수 있다.

팬데믹으로 인한 하이브리드 작업의 증가로 직업적인 디지털 라이프와 개인적인 디지털 라이프의 경계가 흐릿해지면서 임원들이 야기하는 위험은 빠르게 증가했다. 복잡한 지정학적 긴장, 기업에 대한 디지털 행동주의 동향, 부유층을 대상으로 한 재정적 이익의 가능성은 모두 경영진의 개인적인 디지털 라이프에 대한 위험을 증가시켰다.

KPMG 호주 지사의 사이버 서비스 파트너인 거가나 윈저는 특히 미디어와 소셜 미디어에서 활동하는 최고 경영진을 보유한 상장 기업이라면 나쁜 행위자들의 관심을 끄는 피뢰침이 될 수 있다고 지적했다. 윈저는 “소규모 범죄자들 중 일부는 온라인에서 쉽게 구입할 수 있는 맬웨어나 랜섬웨어를 활용하여 네트워크 가치가 높은 유형의 개인에게 배포함으로써 금전적인 수익을 창출할 수 있다는 현실을 알게 되었다”라고 말했다.
 

개인적인 침해가 기업 공격으로 이어진다

피어슨에 따르면 고위층 개인으로 인한 위험은 여러 가지 형태로 나타날 수 있으며, 특히 큰 위험 중 하나는 지적 재산에 대한 것이다. 즉, 통제가 거의 없거나 전혀 없는 경영진의 개인 기기나 개인 계정에서 회사 문서가 손실되는 것이다. 그는 “기업 경영진은 보안 카메라 등이 있는 복잡한 스마트 홈 시스템을 보유하는 경향이 있으며, 이것들이 잠재적 진입 지점이 된다”라고 말했다.

상대적으로 부유층이라는 점도 문제가 된다. “경영진은 순자산(net worth)도 많기 때문에 범죄자들에게 매력적인 표적이 될 수 있다. 오늘날 그들의 개인 이메일이 비즈니스 이메일 손상 공격으로 침해 받고, 그들의 개인 기기가 맬웨어 및 기타 소셜 엔지니어링 스캠을 통해 공격당하는 모습이 흔하다. 돈은 이러한 공격의 큰 동기가 된다”라고 피어슨은 말했다.

악의적인 의도를 가진 개인적 공격도 있다. 이름, 주소, 전화번호, 심지어 개인 사진과 비디오까지 노출되는 개인 신상 털기는 개인 정보 보호를 위반하고 경영진을 위험에 빠뜨릴 수 있다. 피어슨은 “평판 손상과 심지어 협박도 가능하다”라고 덧붙였다.

해법은 쉽지 않다. 그러나 전문가들에 따르면, 이러한 복잡한 보안 문제를 해결하기 위해 경영진, 그들의 가족, 그리고 기술 사이에 추가적인 마찰을 일으켜서는 안 된다. 또 그러한 유형의 계정, 서비스 및 장치에 대한 공격 표면을 축소하고 위험을 완화할 수 있다는 자신감이 있어야 한다.
 

CISO가 경영진 보안 위험을 완화하는 방법

CISO가 개인의 디지털 라이프에 직접 개입할 수 없는 경우 경영진에 대한 보호를 보장하는 것은 어려울 수 있다. 피어슨은 “그들 또한 업무와 삶을 분리하기를 원한다. 그들은 개인 정보 보호를 원하지만, 어떤 조치가 이뤄지고 있는지 높은 수준에서 알기를 원한다”라고 말했다.

피어슨은 CISO가 일단 기업 환경과 개인 환경이라는 위험 환경이 어떻게, 어디에서 교차하는지 정확하게 이해해야 한다고 말했다. “당신네 회사의 ‘회사 소개’에서 경영진 페이지를 보라. 거기가 시작점이다. 이 계층의 측면에서 이 문제가 얼마나 심각한지 파악한 다음 개인이 개인적인 삶에서 직면할 수 있는  위험을 파악하라. 이후 CISO가 이러한 위험을 줄이거나 완화하기 위해 무엇을 할 수 있는지 파악하라”라고 그는 말했다.

윈저는 정교한 사이버 공격이 회사 시스템이 아닌 경영진 개인을 공격하는 것에서 시작해 확산될 수 있다고 경고했다. 예방 조치로 CISO는 리더십 및 경영진 위험 프로필의 변화에 대해 경계할 필요가 있으며, 이는 사각지대를 찾는 데 호기심을 갖고 지속적으로 관심을 갖는 것을 의미한다. 

이러한 사각지대는 매우 클 수 있다. 미디어에 자주 등장하거나, 소셜 미디어 대화에 포함될 정도로 충분히 잘 알려진 CEO는 잠재적인 해커들에게 눈에 띄는 먹이감이 된다. 그는 “CISO로서 나는 개인에게 잠재적으로 해를 끼칠 수 있는 위협과 조직 내에서 업무 범위에 대해 알고 있어야 한다”라고 말했다.
 

기업의 ‘크라운 주얼’을 보호할 것

개인에서 기업으로 확산될 수 있는 잠재적 취약성을 해결하기 위해 윈저는 CISO가 보호해야 할 회사의 ‘크라운 주얼’을 식별할 필요를 언급했다. 여기에는 개인적 공격을 포함한 잠재적 위험의 평가와 완화 전략 개발이 포함되어야 한다.

윈저에 따르면 이것이 가능한 한 많은 위협이나 취약성을 문서화하고 고려하는 것을 의미하며, 이는 개인적인 침해의 가능성과 영향을 평가하는 데 도움이 된다. 그는 “위협이 경영진과 이사회 구성원에게 어떤 의미를 갖는지 계산한 다음 거기서 조치를 취하라. 하지만 이는 위험 수용범위와 회사가 보호해야 한다고 생각하는 것을 기반으로 해야 한다”라고 말했다.

윈저에 따르면 완화 전략에는 이들 경영진이 공개적으로 자신에 대해 노출할 수 있는 정보가 무엇이고 얼마나 되는지에 대한 정책이 포함될 수 있다. “위협을 평가하기 위해 가능한 한 많은 정보를 확보하고, 이를 위험 관리대장에 등록한 다음, 이를 무시하기보다는 이에 대해 조치를 취하는 것이 정말 중요하다. 왜냐하면 그것이 사이버의 모든 것이기 때문입니다. 우리가 어떤 것을 무시할 때마다 그것이 나타나서 우리를 괴롭혔다”라고 윈저는 말했다.
 

고위 경영진에 대한 사이버보안 교육

위험 평가 및 완화 전략 외에 사내 교육은 경영진의 디지털 흔적을 보호하는 데에도 도움이 될 수 있다. ISACA 신흥추세 실무그룹(Emerging Trends Working Group)의 일원인 스티브 심은 최고 경영진이 모든 직원들과 마찬가지로 피싱 시뮬레이션 연습과 탁상 훈련(TTX)을 포함한 맞춤형 인식 교육에 참석해야 한다고 강조했다. “이러한 연습에는 최고 경영진도 포함되어야 하며, 가능하면 사이버 사건으로 야기된 조직 위기를 시뮬레이션 하는 동안 의사 결정에 참여하는 이사진도 포함해야 한다”라고 그는 말했다.

심은 “이러한 훈련은 사람, 프로세스 및 기술을 아우르는 다년간의 보안 개선 프로그램의 일부여야 한다”라며, 또 교육 영역이 보안 커뮤니티의 디지털 및 비즈니스 공급망과 정보 생태계 전반으로 확장될 필요가 있다고 말했다.

심은 사이버 위협 환경이 새로운 전술이나 기법으로 빠르게 발전함에 따라 경영진과 기업 모두의 위험 관리대장을 지속적으로 업데이트할 것을 권장했다. 또 사이버보안 개선 프로그램의 성공적인 제공을 위해 사이버보안 이니셔티브 및 프로젝트의 보안 지표, 핵심 위험 지표 및 핵심 성과 지표를 지속적으로 측정해야 한다는 주문이다. 그는 “이를 통해 기업은 현재의 위험 수용정도를 충족시킬 수 있을 뿐만 아니라 최고 경영진과 기업에 대한 잠재적 위협에 대한 미래의 대비책을 마련할 수 있다”라고 말했다.
 

기업문화를 고려할 것

윈저에 따르면, 경영진 위험을 관리하는 데 있어 문화는 간과되어서는 안 되는 또 다른 중요한 요소이다. 이는 CISO가 패치나 교육 프로그램에 의존하지 않고 전체적인 접근 방식을 취하는 것을 의미한다. 그는 사이버 문화를 정말로 향상시키기 위해서는 최고 경영진 전반에 걸친 강력한 협력적 접근이 필요하다고 강조했다. 윈저는 “CISO, CFO, CEO 모두가 협력하여 [공유 책임] 문화가 조직 전체에 전파되도록 해야 한다”라고 말했다.

무엇보다도, 공동의 책임은 공동의 위험이 있다는 것을 이해하는 것이다. “CEO가 영향을 받고 자신의 지위나 회사에 대해 알고 있는 민감한 정보, 영업비밀 등을 포함한 개인적인 데이터와 파일이 유출되면 그것은 CISO의 문제가 된다. 이것은 더 이상 CEO의 사생활 문제가 아니다”라고 그는 덧붙였다. 윈저는 “모든 사람이 자신의 역할과 사이버 보안에 대한 책임이 있다는 것을 알고 있다면 CISO가 일을 하는 것이 훨씬 쉬워진다”라고 말했다.
ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.