 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
그러나 세계 사이버 범죄 비용이 계속 증가할 것이라는 예상이 이보다 더 걱정스럽다. 향후 5년 동안 연간 15%의 증가가 예상되고, 2025년에 10조 5,000억 달러에 이를 것이다. 이는 2015년의 3조 달러에 비해 증가한 수치다.
이 비용은 전세계에 걸쳐 수천의 피해자가 부담하지만, 해킹에 타격을 받은 개별 기관과 기업은 심각하고 복합적인 손실 가능성에 직면할 것이다. 컨설팅 업체 인포시스(Infosys)의 장기적인 데이터 침해 비용에 관한 보고서에 따르면, 65%의 소비자가 데이터 침해 사건 시 기업에 대한 신뢰를 잃고, 85%는 이들과 더 이상 거래하고 싶지 않다고 응답했다.
현실을 외면하는 접근법이 이 비용에 기여한다. IT 거버넌스 단체인 ISACA의 2021년 보고서에서는 응답에 참여한 32%의 기업만이 공격에 대비가 되어 있다고 느끼는 것으로 나타났다.
그러나 대비하는 것은 그만한 가치가 있다. 전문가에 따르면, 침해 사건에 앞서 엄격한 조치들을 취하는 CISO는 더 능숙하게 공격을 방어하고 대응할 수 있을 뿐 아니라 관련 비용을 최소화할 수 있다.
이번 기사에서는 CISO가 미래의 침해 사건의 비용을 줄이는 데 도움이 될 10가지 방법을 소개한다.
1. 기업 환경의 복잡성을 이해하고, 기업에게 돈이 되는 것이 무엇인지 파악한다
복잡한 IT 시스템은 기업이 사업을 하는 방식과 장소를 크게 확장하는 것을 가능하게 한다. 그러나 이는 공격에 대한 방어, 그리고 피해를 입었들 때 복구를 현저히 어렵게 만들기도 한다.
베테랑 CISO인 앤드리어스 우츠너는 따라서 이에 앞서가야 한다고 말했다. 우츠너는 현재 세계적인 금융기관의 상임 보안 총괄이자 컨설팅 서비스업체인 사이보베이트(Cybovate)의 공동 설립자이다.
우츠너는 “사업 현황에 대한 이해, 다시 말해 기업의 최대의 수익원에 대한 이해가 높을수록 더 신속하게 정상화할 수 있고, 사업 영향을 최소화할 수 있다”면서 “사람들은 출혈을 중단시키고 사업을 즉시 시작하기를 원한다”라고 말했다.
최근의 콜로니얼 파이프라인(Colonial Pipeline) 폐쇄는 이 점을 잘 설명한다. 초기의 의혹은 이 회사의 OT 시스템이 훼손되었는가에 집중됐지만, 이후 CNN은 여러 정보원이 “회사의 대금 청구 시스템이 훼손되었기 때문에 사업을 중단했고… 소비자에게 연료 비용을 얼마나 청구해야 할지 파악할 수 없을 것임을 우려했다”라고 보도했다.
2. 문제에 대처할 사람을 파악한다
침해 사건에 대처하는 일은 혼자서 할 수 없다. 보안 팀은 여러 분야의 여러 전문가로부터 도움을 필요로 할 것이다. CISO는 실제 사건이 일어나기 전에 사건에 대처할 사람을 미리 파악해야 한다. 그리고 유사 시 모두가 정연히 자기 할 일을 할 수 있도록 계약이 되어 있어야 한다. 이는 조직의 신속한 대응을 보장해 실제적 및 평판 상의 피해 및 연관 비용을 제한할 수 있다고 우츠너는 말했다. 또한 이는 필수 전문가가 비상 시 할증료가 아니 계약 금액으로 일할 수 있도록 보장한다.
나아가 이는 대응 시 모든 핵심 기술이 동원되는 것을 보장한다. 홀드 시큐리티(Hold Security LLC)의 CISO이자 ISACA 이머징 트렌드 워킹 그룹(ISACA Emerging Trends Working Group)의 구성원인 알렉스 홀든은 랜섬웨어 피해자가 공격자가 요구한 몸값 전액을 지급하기로 한 것을 목격한 적이 있다고 말했다. 이들을 위한 협상 전문가가 없었기 때문이다. 이 실수로 인해 피해 금액은 수백만 달러가 늘어났다.
3. 누가 무엇을 하는지 분명히 한다
마찬가지로 CISO는 이들의 기술과 권한의 한계를 미리 알아둬야 하고, 데이터 침해가 발생할 때 누가 어떤 단계 또는 행위를 담당할 것인지 상세히 문서화해야 한다.
타타 컨설턴시 서비스(Tata Consultancy Services)의 위험 및 사이버 전략 담당 글로벌 경영 파트너인 시오반 맥더멋은 “모두가 정확한 역할이 있어야 하고, 누가 환자를 안정시킬 것인지를 따질 때가 아니다”라고 말했다.
4. 침해 대응을 연습한다
실제 사건이 발생할 때 공포와 공황을 줄이려면 대응 프로세스를 연습해야 한다. 홀든은 “소방 훈련은 그럴만한 이유가 있다. 그러나 사이버보안에서 충분한 연습을 하지 않는다. 연습을 하더라도 대부분의 경우 제대로 하지 못한다”라고 지적했다.
정밀하게 구성된 모의 훈련을 정기적으로 실시하는 기업은 실제 사건을 신속히 처리하고 전략적으로 대응하는 데 필요한 근육 신경망을 발달시킨다. 따라서 사업 손실, 평판 손상, 높은 비용을 심화시킬 수 있는 지연과 실수를 피할 수 있다.
5. 침해 사건을 체험한 적이 있는 보안 전문가를 고용한다
초기의 대서 특필된 침해 사건들 이후 보안 전문가들은 해킹 당한 회사에서 일했던 보안 전문가는 취업에 어려움을 겪을 것이라고 생각했다. 이는 사실이 아니었고, 거기에는 그럴만한 이유가 있었다. 이들은 귀중한 경험을 한 것이다.
CISO는 이런 전문가를 고용해 대비 태세를 향상시켜야 한다. 멕더멋은 “사람들은 수술을 해본적이 있는 있는 경력자를 원한다”라고 말했다.
6. 규제 요건을 간략히 정리하고 준비한다
침해 사건에 대한 법규를 시행하는 주 및 연방정부들이 늘고 있다. 이들 법규는 기업이 침해를 어떻게 처리해야 하는지, 예를 들어 개인 정보가 침해됐을 때 개인에게 얼마나 빨리 통지해야 하는지, 이들 개인에게 제공해야 할 서비스는 어떻게 되는지, 어떤 상황에서 어떤 조치를 취해야 하는 지 등을 명시한다.
EU의 개인정보보호규정(GDPR)은 예컨대 데이터 침해에 대한 적시 보고 의무를 포함하고, 이를 위반한 기업은 연 매출의 최대 4%에 해당하는 벌금을 내야 한다고 규정한다.
맥더멋은 CIOS가 기업 경영진 내의 다른 사람들과 협력하며 어떤 상황에서 어떤 법이 적용되는지를 미리 이해하고, 여러 시나리오에서 유효한 통용 언어를 준비해야 한다고 말했다. "각 데이터 침해를 개별 사건으로 취급한다. 80%의 언어가 반복적으로 사용될 수 있고, 불과 20%의 언어만 각 사건에 따라 수정하면 된다"라고 말했다.
이는 막대한 시간 낭비이고, 시간은 돈이다.
7. 공급망에 유의한다
VM웨어의 사이버보안 전략 책임자이자 윌슨 센터(Wilson Center)의 사이버 정책 글로벌 펠로우인 탐 켈러먼은 공격자가 해킹 당한 기업을 이용해 다른 기업을 공격하는 사례가 늘고 있기 때문에 이러한 시나리오에 대비해야 한다고 말했다. 솔라윈즈 해킹이 최근에 일어난 대표적 사례다.
아울러 켈러먼은 기업들이 해커의 베이스캠프로 이용된 기업을 고소하기 시작할 것으로 예상했다. 그는 이런 사건에 대해 “올해부터 주주 소송과 규제적 처벌이 있을 것이다”라고 예측했다.
값비싼 법적 분쟁을 경계하기 위해 CISO는 회사가 이와 같은 상황에 처하지 않도록 대처해야 하고, 피치 못할 경우 신속히 움직일 수 있도록 보장해야 한다. 나아가, CISO는 정당한 기업들을 공격 발판으로 삼는 공격을 좀 더 부지런히 주시해야 한다. 심지어 이들이 공식 공급업체나 파트너 관계가 아니더라도 그렇게 해야 한다.
8. 은밀하게 탐지하고, 행동하는 능력을 강화한다
값비싼 해킹에 대처하는 가장 효과적인 방법 가운데 하나는 적들이 네트워크에 있는 시간을 줄이는 것이다. 켈러먼은 "이를 위해 CISO는 통합 네트워크 및 엔드포인트 탐지, 실시간 텔레메트리 및 애널리틱스 역량, 위협 탐지 및 여타 최고의 보안 모범 관행에 투자해야 한다"라고 말했다.
악의적 행위자를 조기에 탐지하는 일은 이들의 활동을 무력화시키고, 피해를 제한하거나 심지어 예방하는 데 유익하다. 이는 물론 중요하지만, 공격자가 정체가 발각됐음을 모르게 대처하는 것이 결정적이다. 켈러먼은 일부 공격자, 특히 적대 국가가 지원하는 공격자는 고의적으로 방해를 받을 때 응징하려 들기 때문이라고 설명했다. 그는 “사건 대응 및 위협을 수색할 때 좀 더 은밀해질 필요가 있다”라고 덧붙였다.
9. 정치 상황에 적응한다
CISO가 침해에 신속히 대응하고 싶다면 지정학적 뉴스에 대한 이해를 높여야 한다. 전문가들이 지적하는 것처럼 다수의 악의적 행위자가 국가의 지원을 받고, 이들의 명령에 따라 행동한다. 이들은 조직 내에 존재하는 기술적 취약점으로 돈을 벌뿐 아니라 회사가 국제적 긴장에 취약함을 인지하지 못하는 경영진의 약점을 파고든다.
맥더멋은 “침해에 앞서가기 위해서는 지정학적 환경을 이해하는 것이 중요하다”면서 “세계에서 무슨 일이 벌어지고 있는지, 국가 간에 무슨 일이 일어나고 있는지에 관해 생각하고, 이게 자신의 입장과 무슨 상관이 있는지 파악해야 한다. 이는 주로 최고위험임원이 생각하는 것이다. 그러나 CISO 역시 이에 관해 생각해야 한다. 지정학적인 게임에 말려들 것임을 안다면 좀 더 신속하게 대응할 수 있고, 파트너들을 준비시킬 수 있을 것이다”라고 조언했다.
10. 손실을 줄여야 할 필요성에 입각해 임원들을 대비시킨다
SANS의 학장이자 최고 커리큘럼 책임자인 롭 T. 리는 CISO는 공격 발생 시 이사회 및 임원진이 선택해야 할 어려운 선택지들을 미리 제시해야 한다고 말했다. 리는 “공격이 발생하면 어려운 선택을 해야 할 것이다. 데이터 침해 사건에서 승리란 없다”라고 말했다.
리는 “기업의 붕괴를 막기 위해 어떻게 피해를 제한할 것인가?”라고 질문하면서 "데이터 침해의 여파 속에서 걱정을 하거나 남을 비난하거나 이의를 제기할 시간은 없을 것이다. 분초가 시급하다. 며칠 내에 기업은 돌이킬 수 없는 피해를 입을 수 있기 때문이다”라고 덧붙였다. editor@itworld.co.kr
Mary K. Pratt editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
