이와 함께 조사 때마다 매번 언급되는 한 가지 문제가 있다. 가장 높은 비율을 차지할 때도 있는 문제다. 사이버보안 팀이 우선순위가 높거나 긴급한 문제를 해결하는 데 대부분 시간을 보내느라 전략과 프로세스를 개선하지 못한다는 것이다. 이 문제는 필자가 무감각해질 정도로 자주 언급된다. 그러나 ESG(Enterprise Strategy Group)의 최근 조사 결과를 검토하며 데이터 포인트가 주는 다음과 같은 시사점을 고려했을 때, 필자는 엄청난 충격을 받았다.
- 미국 드라마 미스터 로봇(Mr. Robot)의 주인공 엘리엇 앨더슨처럼 보안 전문가는 사이버 공격자와 공격 행위가 야기할 손해에서 세상을 구하고 싶어 한다. 이런 목표를 추구하는 과정에서 보안 전문가의 일상은 비상 대응 조치로 혼란스러워질 때가 많다. 우선 모든 보안 전문가는 이런 마음 가짐만으로도 사람들의 존경과 감사를 받아야 마땅하다.
- 지름길 : 용감한 마음가짐에도 불구하고, 비상사태 진압에는 상당한 역효과가 따른다. 반응하고, 할 수 있는 일을 하고, 다음 위험 지점으로 이동하는 것이다. 때로는 생각할 시간도 없이 이런 일을 해야 한다. 지속적인 비상사태에 직면할 때는 보안운영팀이 어느 정도 타협하고 있다고 생각해야 한다. 대처해야 할 또 다른 비상사태가 발생한 경우에는 특히 그렇다. 비상사태 대응 시에는 유효성이 입증된 프로세스보다는 개인 혹은 조직 내 지식(tribal knowledge)을 따르는 경향이 있다. 아이러니하게도 지름길을 택하는 것은 비상 상황에 복잡성과 불확실성, 해결 시간을 더한다.
- 번아웃 : 자원이 부족한 보안운영팀을 가엾게 여겨야 한다. 이들은 대개 일손이 부족하고 과로하며, 우선순위가 높은 비상사태에 끊임없이 직면한다. 극기심이 강한 보안 전문가도 스트레스를 받을 수밖에 없는, 건강하지 못한 업무 환경이다. ESG와 ISSA(Information Systems Security Association)의 조사 결과 보안 전문가의 71%가 업무와 관련된 건강하지 못한 수준의 스트레스가 존재한다는 데 동의한 것은 어찌 보면 당연하다. 업무 스트레스는 정신 건강 문제, 좋지 않은 업무 환경, 직원 감소로 이어진다. 그 결과 사이버보안은 비효율적으로 운영될 수밖에 없다.
- 준비 미흡 : 계속되는 비상사태에 대응하면 교육이나 테스트, 프로세스 개선과 같은 다른 필수 요소에 투입할 시간이 부족해진다. 이들 필수 요소의 부재로 인해 보안팀은 ‘이미 알고 있는 것’에만 의존한다. 하지만 사이버 공격은 끊임없이 발전하며, 최신 지식과 기술은 시간이 지날수록 효과적이지 못한 것으로 변한다. 곧 보안팀은 총싸움에서 칼을 들이대는 것과 같은 보안 업무를 수행하게 될 것이다.
보안 비상사태를 줄이는 5가지 베스트 프렉티스
CISO는 보안팀이 지속적인 비상사태 때문에 어려움을 겪고 있는지 평가해야 한다. 만약 비상사태가 끊임없이 발생하는 상황이라면, 이를 줄이는 것을 긴급한 과제로 삼아야 한다. CISO가 할 수 있는 5가지 베스트 프랙티스는 다음과 같다.- 보안 위생 및 태세 관리 개선
- 공격 표면 감소를 위한 네트워크 분할
- 숙련된 보안 전문가가 취한 조치를 자동화 보안 프로세스에 정식으로 포함
- 보안 엔지니어링, 테스트, 경보 분류 같은 활동의 지표가 되는 마이터 어택(MITRE ATT&CK) 프레임워크 운용
- 보안 서비스 제공업체의 도움을 받아 직원 과로 해소
그렇다. 이런 베스트 프랙티스는 모두 당연하게 수행해야 하는 것들이다. 그러나 매년 수많은 보안 전문가가 비상사태 대응이 가장 큰 당면 과제라고 입을 모은다. 필자는 그 이유가 기업이 올바른 결정을 내리지 않았거나 시도조차 하지 않기 때문이라고 결론지을 수밖에 없다.
알버트 아인슈타인은 ‘같은 일을 반복하면서 다른 결과를 기대하는 것’을 ‘광기’라고 정의했다. 보안팀에 도움을 줄 수 있음에도 그렇게 하지 않는다면, 해킹을 당해야 마땅하다.
*Jon Oltsik은 ESG의 대표 애널리스트다.
editor@itworld.co.kr