데이터 유출과 사이버 공격은 이제 일상다반사다. 범위와 심각도, 복구 비용은 사고마다 다르지만 작은 규모의 공격이라 해도 준비되지 않은 기업에게는 큰 피해를 초래할 수 있다. 이런 사고를 완벽하게 차단할 수는 없지만 기업은 공격에 버티고 신속하게 비즈니스로 돌아갈 수 있는 탄력적인 운영 환경을 조성하는 데 집중해야 한다.
TSC 어드밴티지(TSC Advantage) 아몬드 캐글러는 데이터 유출 측면에서 탄력성(resilient)이란 무엇을 의미하는지, 그리고 위험에 처한 기업이 사이버 탄력성(cyber resilience)을 확보하기 위해 어떻게 해야 하는지 조언했다. editor@itworld.co.kr
이미지 출처.Paxson Woelber
위험을 정확히 평가하는 역량 갖추기
사이버 탄력성을 갖기 위해 기업은 먼저 전체적인 위험 평가를 통해 자사가 처한 위협 현황을 파악해야 한다. 이에는 공격자가 다양한 기술적, 비기술적인 방법과 이를 통해 노릴 수 있는 중요한 지적 재산 또는 고객의 개인 데이터들을 포괄한다.
우발적인 또는 의도적인 내부자 소행, 해외 출장, 그리고 벤더나 공급업체와 같은 비즈니스 종속성에 기인하는 사이버 위험을 간과하는 기업이 상당히 많다. 종합적인 위험 평가를 수행하면 기업 내에서 이런 요소와 기타 주요 영역을 식별하고, 발견된 약점에 보안 자원을 집중 배치할 수 있다.
이미지 출처.Georgio
성숙한 사이버 보안 방법 도입하기
사이버 보안 시장은 급성장 중이다. 지능형 지속 위협(advanced persistent threats)나 기타 원격 접근 공격을 탐지하고 이에 대처하도록 고안되는 기술 센서를 배치하면 좋은 효과를 얻을 수 있다.
하지만 기업 보안을 위한 정책과 절차, 지침에 따르기 위해서는 여전히 사람이 필요하고 사람은 실수를 범할 수 있으므로 하드웨어와 소프트웨어만 배치한다고 만사가 해결되지는 않는다.
탄력적인 사이버 보안 조직은 보안이 하나의 행위나 하나의 보안업체 센서로 해결되는 문제가 아니란 사실을 알고 있다. 사람과 프로세스, 기술에 대한 고른 투자 활동의 집합체여야 하며, 여기에 진화하는 사이버 공격 기술의 추세에 대한 인식이 가미돼야 한다.
이미지 출처.Naval Surface Warriors
최악의 경우를 가정해 계획하기
탄력적인 조직이라면 공격 창구를 줄이고 공격을 받은 후에도 운영을 지속하고 신속하게 비즈니스를 정상화시키는 역량을 반드시 갖춰야 한다.
데이터 손실은 발생할 수 있지만 이런 손실이 가져오는 심각성은 회사의 비즈니스에 영향을 미치고 브랜드에 타격을 입히고 투자자를 등돌리게 하는 데 있다.
이사회, 파트너, 고객은 물론 사이버 보험사도 피보험사 위험 평가 중에 성숙한 보안 관행을 통해 실현되는 탄력성을 요구 사항으로 내걸고 있다.
충분한 보상 내용이 포함된 사이버 보험의 경우, 사전 예방적이고 전체적인 보안 수단을 대체하지는 못하더라도 금전적 피해를 완화하고 신속하게 비즈니스를 정상화하는 데 어느 정도 도움이 될 수 있다.
이미지 출처.NOAA Ocean Explorer
서드파티 벤더와 비즈니스 관련업체의 보이지 않는 위험으로부터 보호하기
보안을 인식하는 조직은 데이터 보안에 대한 위협이 여러 출처와 다양한 방향에서 비롯될 수 있다는 사실을 잘 알고 있다.
벤더, 협력업체 및 기타 관계사 등 평소 신뢰하는 타사도 예외일 수 없다. 이런 기업 가운데 사이버 보안이 취약한 기업이 자사를 노리는 공격의 감염원 역할을 할 수 있다.
대표적인 예가 바로 소매 업체 타겟(Target)이다. 타겟은 전통적인 데이터 보안 영역에는 대대적으로 투자했지만 평소에 신뢰하는 협력업체(HVAC 벤더)에서 비롯된 취약점에 대해서는 무방비였다. 즉 타겟은 외부 청구 시스템과 온라인 프로젝트 관리 포털에 대한 이 협력업체의 접근 경로에 존재한 취약점을 간과했다.
이미지 출처.John Haslam
내부 위협과 악의를 품은 직원에 대한 위험 최소화하기
바이러스와 기타 악성코드를 퇴치하고, 무단 접근을 차단하고, 데이터 유출을 모니터하기 위한 도구는 셀 수 없이 많다.
그러나 탄력적인 기업은 민감한 디지털 자산에 대한 위협이 비기술적인 경로를 통해 발생하는 경우도 많다는 사실을 알고 있다.
예를 들어 신뢰받는 내부자의 단순한 행동에서도 데이터 유출은 시작된다. 보어메트릭(Vormetric)의 내부자 위협 보고서에 따르면, 조직의 55%는 권한이 높은 사용자가 기업 데이터의 가장 큰 위협이라고 답했으며 내부자 위협으로부터 조직이 안전하다고 답한 경우는 11%에 불과했다.
탄력적인 기업은 이동식 미디어 사용 제한, 적절한 해고 규약, 그리고 내부자가 드러낼 수 있는 행동 신호 포착 등 기술적인 솔루션과 정책의 조합을 통해 내부자 위험을 완화한다.
이미지 출처.dan.m86
기업 성장 중 보안 문화 유지하기
모든 기업은 변화를 겪는다. 신규 직원 채용, 기존 직원의 퇴사, 제휴 관계, 인수 합병 등은 항상 일어나는 변화다. 이런 모든 이벤트가 잠재적인 보안 위험을 내포한다.
탄력적인 조직은 이 사실을 인식하고 변화를 수용하는 보안 문화를 사전에 육성한다. 또한 기업은 인수합병 실사 과정에 사이버 범죄 요소를 포함하고, 말단 직원부터 고위 임원에 이르기까지 보안 교육을 의무화하고, 신원 조사를 더욱 철저히 하고, 벤더 SLA에 보안 요구 사항을 포함하고, 보안을 회사 DNA의 일부로 완전히 흡수해야 한다.