사이버보안 프레임워크는 기업이 사이버공격으로부터 스스로를 보호하기 위해 참고하는 일종의 가이드라인이다. 일반적으로 이 프레임워크는 다양한 보안 위험에 대응하기 위한 단계, 잠재적 취약점 탐지 방법, 전반적인 디지털 방어력 강화 방안을 포함한다. 공격 표면에서 공백이 발견되면 즉시 보안 회복력을 재정비하고 강화하는 조치가 필요하다.
MIT 슬론경영대학원의 수석 강사이자 선임 연구과학자인 케리 펄슨은 기존 사이버보안 프레임워크에 손볼 부분이 있다는 신호는 곳곳에서 드러난다고 설명했다. 펄슨은 “최근 두 달 동안 프레임워크를 검토하지 않았거나, 관련 요소를 동적으로 업데이트하지 않았거나, 보안 전략에 AI를 반영하지 않았다면 프레임워크를 검토하고 필요하다면 재구축해야 한다”라고 말했다.
기업은 현재 자신의 조직이 기대에 뒤처진 보안 프레임워크에 의존함으로써 보안을 위험에 빠뜨리고 있다는 사실을 어떻게 알 수 있을까? 다음은 프레임워크 전면 재정비가 필요하다는 경고 신호 7가지다.
변화 인지를 위한 동적 프로세스가 부재할 때
펄슨은 가장 큰 실수는 현행 계획이 이미 시대에 뒤처졌거나 제대로 작동하지 않는다는 사실을 알아채지 못하는 것이라고 지적했다. 침해 사고가 발생했다고 해서 프레임워크 자체를 곧바로 재구축해야 한다는 의미는 아니다. 다만 현재 프레임워크를 다시 생각하고 재설계해야 한다는 신호임은 분명하다.
사이버 회복력이 뛰어난 조직을 구축하려면 기존과 다른 사고가 필요하다고 말했다. 펄슨에 따르면, 가장 효과적인 방식은 환경 변화를 지속적으로 감지하고 필요한 경우 재정비 프로세스를 자동으로 시작하는 동적 메커니즘을 도입하는 것이다.
펄슨은 “핵심은 적절한 감지·대응 메커니즘을 갖추는 것이다. 이는 기술과 사람의 역할이 결합된 형태가 될 가능성이 크다”라고 설명했다. 기술은 변화를 감지하고 이상 징후를 식별하며, 사람은 그 변화가 주의를 기울여야 할 위험인지, 투자해야 할 사안인지 판단하는 것이다.
규모와 관계없이 사이버 공격을 당했을 때
마스터카드의 CSO 스티븐 부커는 침해 사고만큼 취약한 보안 프레임워크를 드러내는 사건은 없다고 말했다. 부커는 “작은 사고라도 구식 프로토콜이나 직원 교육의 미비를 적나라하게 보여주는 경우를 여러 차례 봤다. 위협 환경이나 비즈니스 요구 변화에 맞춰 프레임워크가 업데이트되지 않았다면 재구축해야 한다”라고 말했다.
부커는 위협은 끊임없이 진화하기 때문에 정기적인 검토와 보안 인식 문화를 통해 문제를 조기에 발견할 수 있다고 강조하며 “프레임워크를 견고하고 최신 상태로 유지하는 것이 조직을 보호하고 신뢰를 유지하는 가장 효과적인 방법”이라고 덧붙였다.
지속적인 모니터링이 어려워질 때
휴즈네트워크시스템즈에서 사이버보안 영업·서비스 부사장을 맡고 있는 데이브 플로이드는 프레임워크가 지속적 모니터링과 사전적 위험 관리를 지원하지 못한다면, NIST 사이버보안 프레임워크 같은 표준과 업종별 규제 요건을 반영해 재구축해야 한다고 조언했다.
플로이드는 사이버보안 프레임워크를 재구축할 때는 NIST 프레임워크를 기반으로 삼고, 그 위에 업종별 규제 요건을 덧씌우는 방식이 가장 효과적이라고 조언했다. 이런 접근은 의료, 금융 등 다양한 산업군에서 요구되는 베스트 프랙티스와 규제 의무를 모두 충족하는 데 도움이 된다고 말했다.
공식 프레임워크 점검 주기가 ‘수년 단위’로 굳어졌을 때
줌의 CISO 산드라 맥클라우드는 지난 3년 이상 프레임워크에 의미 있는 변화가 없었다면 이미 노후화됐을 가능성이 크다고 설명했다. 맥클라우드는 “특히 생성형 AI 확산 이후 사이버보안 환경은 빠르게 변화하고 있다. 프레임워크 역시 이런 흐름을 반영해야 한다”라고 강조했다.
맥클라우드는 2년에 한 번 전체 프레임워크를 정밀 검토하고, 그 사이 해에는 간단한 점검을 병행하는 방식을 추천했다. “이런 주기가 위협 양상 변화, 비즈니스 구조 변화, 규제 요구사항 변화에 맞춰 프레임워크의 정합성을 유지하는 데 도움이 된다”라는 설명이다.
또한 보안 책임자는 늘 프레임워크를 머릿속에 두고 개선 가능성, 단순화가 필요한 부분, 명확히 정리할 부분 등을 비공식적으로라도 목록 형태로 꾸준히 기록하는 습관을 들이는 것도 좋다. 맥클라우드는 “이런 비공식적 인사이트를 간단 점검 과정에 반영하면 지속적 개선 흐름을 유지하는 데 효과적”이라고 말했다.
경고만 쫓으며 예측 기반 평가를 수행하지 못할 때
레노버에서 상용 소프트웨어·보안 솔루션 총괄 전무를 맡고 있는 니마 바이어티는 조직이 선제적 대응보다 사건 발생 후 대응에만 몰두하고 있다면 프레임워크를 재평가해야 한다고 조언했다.
경고와 사고를 뒤쫓는 데만 반복적으로 매달리고, 위협 예측 평가나 데이터 분석, 중장기 대응 계획 수립이 아니라 사후 보고에 그치는 상황이라면 변화가 필요하다는 뜻이다. 바이어티는 “물론 일부 반응적 대응은 피할 수 없지만, 일상 운영 대부분을 잠식할 정도라면 더 큰 사고가 발생하는 건 시간문제일 가능성이 크다”라고 덧붙였다.
먼저 기업의 위험 수용 범위와 전체 비즈니스 전략을 명확히 이해하는 것에서 출발해야 한다. 바이어티는 “보안을 제대로 구축하면 운영 중단을 줄이고 신뢰를 높여 경쟁력을 확보할 수 있다”라고 말했다. 금융기관을 예로 들면, 위험 수용도가 매우 낮고 데이터 무결성과 평판 보호가 핵심이기 때문에 비즈니스 전략과 보안 전략은 매우 긴밀하게 연결돼 있다.
또한 구성원의 업무 이동성이 그 어느 때보다 높아지면서 엔드포인트 보안이 네트워크 보안의 핵심 요소로 부상했다. 이 역시 사이버보안 프레임워크에 반드시 포함돼야 한다. 바이어티는 “견고한 엔드포인트 보안을 구축하려면 펌웨어, 하드웨어, 소프트웨어, 공급망 등 디지털 환경 전반을 보호하는 포괄적이고 다층적인 접근이 필요하다. 온디바이스와 클라우드 기반 AI 애플리케이션을 모두 평가해 실시간 위협 탐지와 대응이 효과적으로 이뤄지는지 확인해야 한다”라고 강조했다.
KRI와 KPI가 예상과 다른 방향으로 악화될 때
감사·리스크·컴플라이언스 컨설팅 기업 프로티비티(Protiviti)에서 데이터 프라이버시 팀을 이끄는 사미르 안사리는 핵심 위험 지표(KRI)와 핵심 성과 지표(KPI)가 예상치 못한 방향으로 악화되고 있다면 프레임워크를 재평가해야 한다고 설명했다.
안사리는 사이버보안 프레임워크를 적절한 위험 의사결정을 돕는 도구가 아니라 단순한 컴플라이언스 체크리스트로 취급하는 기업은 위험을 자초한다고 경고하며 “주요 비즈니스 목표와 직면할 수 있는 위험을 고려해 그 관점에서 프레임워크를 적용해야 한다”라고 말했다.
프레임워크를 구축하거나 업데이트하는 과정에서 많은 보안 책임자가 업계 벤치마킹이나 타사와의 비교에 지나치게 몰두한다. 안사리는 “기업에 중요한 것이 무엇인지에 집중하기보다 비교에 치중하는 것은 오히려 역효과를 낳는다”라고 지적했다. 더 큰 문제는 많은 요소를 무작정 결합하는 것이 프레임워크의 완성도를 높여준다고 착각하는 경우다. 안사리는 “여러 프레임워크를 무리하게 끌어모으면 관리와 유지가 어려운 ‘프랑켄슈타인 프레임워크’가 만들어질 수 있다”라고 말했다.
컴플라이언스 중심으로만 접근하고 있을 때
사이버 사고 대응 기업 사이퍼(CYPFER)의 CEO 다니엘 토보크는 많은 보안 책임자가 비즈니스 목표보다 ‘감사를 통과하는 것’에 초점을 맞춘 프레임워크를 설계하는 실수를 저지른다고 지적했다. 토보크는 컴플라이언스 중심 접근은 비IT 부서의 중요한 의견이 배제되는 경우가 많고, 문서상으로는 그럴듯해 보여도 실제 보호 효과는 미비한 프레임워크를 만들기 쉽다고 경고했다.
토보크는 이상적인 사이버보안 프레임워크는 고위험 영역에 우선순위를 두고 지속적으로 발전해야 한다며 “기존 프레임워크가 기업을 효과적으로 보호하지 못하거나, 부분적인 보완 조치에 드는 비용이 그로 인해 얻는 이점을 넘어설 경우 프레임워크를 전면 재구축해야 할 수 있다”라고 설명했다.
또한 토보크는 비즈니스 모델 변경, 규제 환경 변화, 위협 환경 확대 같은 대규모 조직 변화가 발생한 직후에는 기존 프레임워크가 한순간에 노후화되거나 불충분해질 수 있기 때문에 즉각적인 재정비가 필요하다고 덧붙였다.
dl-itworldkorea@foundryco.com
John Edwards editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.