기업 문화 / 보안

글로벌 칼럼 | 보안 비상사태가 끊임없이 발생하는 이유

Jon Oltsik | CSO 2022.07.22
사이버보안 업계 애널리스트로서 필자는 여러 보안 전문가를 대상으로 정량적인 조사를 진행한다. 보안 전문가들에게 자신이 직면한 가장 큰 과제가 무엇인지 자주 묻곤 하는데, 이때 돌아오는 답변은 다양하다. 폭풍처럼 울리는 경고에 대처, 위협 지형 해결, 다양한 포인트 툴 관리, 수동 프로세스 확장, 인력 부족 등이다.
 
ⓒ Getty Images Bank

이와 함께 조사 때마다 매번 언급되는 한 가지 문제가 있다. 가장 높은 비율을 차지할 때도 있는 문제다. 사이버보안 팀이 우선순위가 높거나 긴급한 문제를 해결하는 데 대부분 시간을 보내느라 전략과 프로세스를 개선하지 못한다는 것이다. 이 문제는 필자가 무감각해질 정도로 자주 언급된다. 그러나 ESG(Enterprise Strategy Group)의 최근 조사 결과를 검토하며 데이터 포인트가 주는 다음과 같은 시사점을 고려했을 때, 필자는 엄청난 충격을 받았다.
 
  • 미국 드라마 미스터 로봇(Mr. Robot)의 주인공 엘리엇 앨더슨처럼 보안 전문가는 사이버 공격자와 공격 행위가 야기할 손해에서 세상을 구하고 싶어 한다. 이런 목표를 추구하는 과정에서 보안 전문가의 일상은 비상 대응 조치로 혼란스러워질 때가 많다. 우선 모든 보안 전문가는 이런 마음 가짐만으로도 사람들의 존경과 감사를 받아야 마땅하다. 
  • 지름길 : 용감한 마음가짐에도 불구하고, 비상사태 진압에는 상당한 역효과가 따른다. 반응하고, 할 수 있는 일을 하고, 다음 위험 지점으로 이동하는 것이다. 때로는 생각할 시간도 없이 이런 일을 해야 한다. 지속적인 비상사태에 직면할 때는 보안운영팀이 어느 정도 타협하고 있다고 생각해야 한다. 대처해야 할 또 다른 비상사태가 발생한 경우에는 특히 그렇다. 비상사태 대응 시에는 유효성이 입증된 프로세스보다는 개인 혹은 조직 내 지식(tribal knowledge)을 따르는 경향이 있다. 아이러니하게도 지름길을 택하는 것은 비상 상황에 복잡성과 불확실성, 해결 시간을 더한다.
  • 번아웃 : 자원이 부족한 보안운영팀을 가엾게 여겨야 한다. 이들은 대개 일손이 부족하고 과로하며, 우선순위가 높은 비상사태에 끊임없이 직면한다. 극기심이 강한 보안 전문가도 스트레스를 받을 수밖에 없는, 건강하지 못한 업무 환경이다. ESG와 ISSA(Information Systems Security Association)의 조사 결과 보안 전문가의 71%가 업무와 관련된 건강하지 못한 수준의 스트레스가 존재한다는 데 동의한 것은 어찌 보면 당연하다. 업무 스트레스는 정신 건강 문제, 좋지 않은 업무 환경, 직원 감소로 이어진다. 그 결과 사이버보안은 비효율적으로 운영될 수밖에 없다. 
  • 준비 미흡 : 계속되는 비상사태에 대응하면 교육이나 테스트, 프로세스 개선과 같은 다른 필수 요소에 투입할 시간이 부족해진다. 이들 필수 요소의 부재로 인해 보안팀은 ‘이미 알고 있는 것’에만 의존한다. 하지만 사이버 공격은 끊임없이 발전하며, 최신 지식과 기술은 시간이 지날수록 효과적이지 못한 것으로 변한다. 곧 보안팀은 총싸움에서 칼을 들이대는 것과 같은 보안 업무를 수행하게 될 것이다. 


보안 비상사태를 줄이는 5가지 베스트 프렉티스

CISO는 보안팀이 지속적인 비상사태 때문에 어려움을 겪고 있는지 평가해야 한다. 만약 비상사태가 끊임없이 발생하는 상황이라면, 이를 줄이는 것을 긴급한 과제로 삼아야 한다. CISO가 할 수 있는 5가지 베스트 프랙티스는 다음과 같다.
 
  • 보안 위생 및 태세 관리 개선
  • 공격 표면 감소를 위한 네트워크 분할
  • 숙련된 보안 전문가가 취한 조치를 자동화 보안 프로세스에 정식으로 포함
  • 보안 엔지니어링, 테스트, 경보 분류 같은 활동의 지표가 되는 마이터 어택(MITRE ATT&CK) 프레임워크 운용
  • 보안 서비스 제공업체의 도움을 받아 직원 과로 해소

그렇다. 이런 베스트 프랙티스는 모두 당연하게 수행해야 하는 것들이다. 그러나 매년 수많은 보안 전문가가 비상사태 대응이 가장 큰 당면 과제라고 입을 모은다. 필자는 그 이유가 기업이 올바른 결정을 내리지 않았거나 시도조차 하지 않기 때문이라고 결론지을 수밖에 없다.

알버트 아인슈타인은 ‘같은 일을 반복하면서 다른 결과를 기대하는 것’을 ‘광기’라고 정의했다. 보안팀에 도움을 줄 수 있음에도 그렇게 하지 않는다면, 해킹을 당해야 마땅하다. 

*Jon Oltsik은 ESG의 대표 애널리스트다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.