다가오는 사이버 허리케인, 안전 구역은 존재하지 않는다

[보안뉴스 문정후 기자] 지난 10년 동안 보험 산업에 몸을 담가보거나, 보험에 가입하려고 이리 저리 알아본 사람은 알겠지만 시장의 상황은 꾸준히 악화되고 있다. 특히 사이버 공간에서의 위협이 문제다. 아직 이 영역에서 발생하는 사건을 보험 업계나 정부가 어떤 식으로 처리해야 하는지에 대해 뭐 하나 제대로 정립되지 않았는데 사건은 갈수록 많아지고, 다양해지며, 피해 규모도 커지고 있기 때문이다. 이른 바 ‘사이버 허리케인’이 몰려오고 있음을 모든 사람들이 직감하고 있다.

[보안뉴스 문정후 기자] 지난 10년 동안 보험 산업에 몸을 담가보거나, 보험에 가입하려고 이리 저리 알아본 사람은 알겠지만 시장의 상황은 꾸준히 악화되고 있다. 특히 사이버 공간에서의 위협이 문제다. 아직 이 영역에서 발생하는 사건을 보험 업계나 정부가 어떤 식으로 처리해야 하는지에 대해 뭐 하나 제대로 정립되지 않았는데 사건은 갈수록 많아지고, 다양해지며, 피해 규모도 커지고 있기 때문이다. 이른 바 ‘사이버 허리케인’이 몰려오고 있음을 모든 사람들이 직감하고 있다.

로그4j(Log4j) 사태나 러시아-우크라이나 전쟁 등 허리케인을 예상케 하는 사건들이 짧은 시간 안에 다수 발생하고 있다. 이 정도면 대단한 힌트다. 어느 조직이나 외부 해커들에게 고스란히 노출되었다고 해도 무방할 정도의 상태로 우리는 하루하루 살아가고 있다는 것이 명백하다. C레벨 수장들이라면 이제 이 사실을 받아들여야 한다.

물론 아직까지 실제 ‘사이버 허리케인’이라고 불릴 만한 사건이 발생한 건 아니었다. 로그4j나 러시아-우크라이나 전쟁이나 허리케인보다는 작은 태풍들 정도에 불과하다. 하지만 이런 태풍들이 압축적으로 불어닥칠 때 우리는 저 지평선 너머에 뭔가 거대한 게 있다는 걸 알 있지 않은가? 태풍에도 철퍽철퍽 쓰러질 정도면 더 큰 허리케인 앞에서 우리는 어떨까? 그야말로 아무도 안전하지 않은 세상이다.

이런 열악한 시장 상황에서 살아남으려면 각 조직들은 그 무엇보다 사이버 보안의 기본 능력 수준을 높이는 데 주력해야 한다. 서드파티의 위협까지도 관리할 수 있어야 함은 물론이고 각종 사이버 보안 사건을 약화시킬 수도 있어야 한다. 어떻게? 좋은 전략이 있어야 한다. 어떻게? 정확한 위험 수위를 평가할 방법을 먼저 정착시키고, 위험 평가 프로세스를 투명하게 가져가고, 사이버 보안 능력에 대한 조직 전반적인 자신감을 강화시켜야 한다. 위험을 정확히 파악해야 전략이 나오고, 전략이 나와야 필요한 기본 능력을 향상시킬 수 있다는 것이다. 이를 좀 더 풀어보면 아래와 같다.

서드파티 관리에 대한 이해

사이버 보안은 단 하나의 솔루션이나 전략으로 모든 걸 완벽히 할 수 있는 것이 아니다. 생각해야 할 요소들과 변수들이 정말로 많다. 특히 서드파티로부터 인입되는 위험 요인들을 관리할 때는 더 그렇다. 기술적인 측면에서도 복잡하고, 기술이 아닌 측면으로 따져봐도 마찬가지다. 기술적인 서드파티들을 생각나는 대로만 나열해도 다음과 같은 요소들이 있음을 알 수 있다.

1) 이메일 서비스 업체, 이메일 보안 도구

2) 산업 고유의 소프트웨어

3) 클라우드 서비스, 웹 호스팅 업체

4) VPN 업체/도구

5) 패치 관리와 관련된 모든 인물/조직들

한 조직이 모든 것을 스스로 만들어 자급자족할 수 없다는 건 자명한 일이다. 그러니 이메일도, 오피스 도구도, 클라우드도, 각종 VPN도 외부 회사의 것을 가져다 써야 한다. 당연히 그런 도구들의 패치 역시 시시때때로 그 외부 업체들로부터 받아야 한다. 이런 서드파티 도구들에는 나름의 장점이 존재하지만 그만큼 위험도 공존한다. 좋은 점만 쏙쏙 빼다가 쓰고 있는 게 전혀 아니라는 걸 기억해야 한다.

그러니 기업의 수장들이라면 회사 내에 어떤 서드파티들이 존재하고, 어떤 취약점들이 있거나 있을 수 있는지 이해하고 있어야 한다. 특히 그런 취약점들을 통해 회사의 민감한 정보들이 새나갈 수 있다고 한다면 눈에 불을 키고 찾아내 고쳐야 한다. 예를 들어 다른 회사가 만든 문서 작성 솔루션을 사용하고 있다면, 그리고 그 문서를 통해 사내 기밀 문건들이 작성된다면, 그 회사 제품의 취약점 소식에 민감해져야 한다는 것이다.

데이터 투명성

수익을 높이는 데에도 데이터가 반드시 필요하지만 위험을 줄이고 관리하는 데에도 데이터가 반드시 필요하다. 이런 사실을 잘 이해하고 있다면 조직 내 돌아다니는 모든 데이터가 정확하게 보고 싶어지는 게 당연하다. 실제로 데이터 보안, 클라우드 보안에 있어 가장 강조되는 것 중 하나가 데이터 가시성이기도 하다.

하지만 이 가시성 문제는 아직도 온전한 해결책이 존재하지 않을 정도로 높은 난이도를 자랑한다. 일단 현대의 기업들이 생성하고 보유하고 처리하는 데이터의 양이 너무나 많고, 갈수록 많아지고 있어서다. 아무리 좋은 기술이 나와도 확보해야 할 데이터 자체가 많다 보니 다 아우를 수가 없다. 그래서 조직들은 데이터 가시성 솔루션들을 주기적으로 확인하고, 업데이트 해야 한다. 더 획기적인 솔루션이 시장에 나왔다면 경우에 따라 과감한 투자를 할 수도 있어야 한다. 데이터의 가시성을 확보하지 못해 특정 소프트웨어의 패치를 못하거나, 낡은 솔루션을 지우지도 않고 방치하거나, 클라우드 설정을 잘못했을 때의 손해를 생각하면 그리 아까운 투자는 아닐 것이다.

또 하나 중요하게 고려해야 할 것은 실시간 데이터 접근성이다. 기업이 셀 수도 없이 많이 만들어 내고 처리하고 유통하는 데이터를 실시간으로 확인할 수 있어야 현재 네트워크에 돌아다니고 있는 위협들을 찾아낼 수 있게 된다. 그리고 이런 위협들을 찾아내는 경험이 누적되면 조직의 리스크를 보다 명확히 규정할 수 있게 되고, 이를 통해 보다 정확한 리스크 평가와 관리가 가능하게 된다. 그것이 전체적인 보안 향상을 이룬다.

사이버 보안 능력에 대한 자신감 향상

위의 두 가지를 성공적으로 수행하려면 조직 전체적인 사이버 보안 자신감부터 강화되어야 한다. 잘 하지도 못하는 걸 위에서 자꾸 시킨다는 마음이 조직원들 사이에 생기면 좋은 효과를 기대하기 힘들다. 사이버 보안 자신감이라는 것은 교육과 인지 제고를 기본 바탕으로 하는 개념이다. 자꾸 교육하고, 효과적인 훈련 코스를 마련한다면 보안에 대한 인식을 서서히라도 높일 수 있으며, 이를 통해 각종 보안 프로그램에 실질적인 효과가 생겨날 수 있다.

필자는 보안 교육이나 훈련을 실시할 때 보안 그 자체나 규정, 표준 등만 주구장창 주입식으로 가르치는 것을 그리 선호하지 않는다. 필요하긴 하지만 매번 반복해서는 교육 효과를 기대하기 어렵다. 가끔은 여러 IT 시스템들의 내부 구조를 같이 들여다보는 것도 좋은 방법이다. 흥미를 유발하고 보안을 보다 깊이 있기 이해하는 데 도움이 되기 때문이다. 각종 IT 시스템과 기술에 대한 이해도가 쌓이면 보안 규정을 다른 시각으로 볼 수 있게 되며, 예상치 못한 일이 발생했을 때 보다 정확한 행동을 취할 가능성이 높아진다.

사이버 보안 사건은 하나하나가 고유하다. 그 어떤 사건도 동일한 방식으로 두 번 일어나지 않는다. 그러니 과거의 사건 사례들을 가지고 보안 교육을 하는 것에는 한계가 있다. 과거 사례나 최근 일어난 사건들이 교육 대상자들의 흥미를 유발할 수는 있지만, 그것만으로 큰 교육 효과를 기대하기는 어렵다. 과거의 사례를 들고 교육하는 건 좋은데, 그걸 가지고 미래의 사건까지 예상하고 가상의 공격 시나리오를 만들어 방어법까지 마련하지 않는다면 흥미 유발에서 그치는 시간이 될 것이다. 과거 사례를 보다 현실감 있게 이용하는 것을 권한다.

글 : 로리 베일리(Lori Bailey), CIO, Corvus Insurance

[국제부 문정후 기자(globoan@boannews.com)]