 |
ⓒ Getty Images Bank |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
데이터 유출과 기타 보안 사고는 문제를 해결하려는 팀부터 주요 이해관계자까지 모두를 긴장시킨다. 관련인은 모두 초기의 부정, 순수한 공황, 분노, 불안, 죄책감 같은 다양한 감정을 경험한다. 심박수 증가, 땀, 떨림, 메스꺼움 등을 호소하는 경우도 많으며, 이런 보안 사고는 정신적 건강 문제까지 유발할 수 있다. 보안 업체 소포스(Sophos)의 사고 대응팀 책임자 피터 맥킨지에 따르면, 정신적인 스트레스에 적응하지 못하고 그만두는 관리자도 있다.
사이버 공격에 대응하는 직원의 감정적인 반응과 대응에 대한 논문을 저술한 패트릭 스테이시 박사는 “주요 이해관계자가 겪는 감정은 기업 전체로 확산할 수 있다”라고 말했다. 스트레스가 쌓이면서 신경이 날카로워진 경영진과 이사회 구성원은 문제를 신속하게 해결하도록 압박하기도 한다. 하지만 이런 압박은 전혀 도움이 되지 않는다고 지적했다.
기업의 운명은 사이버보안 사고를 처리하는 방법에 달렸다. 따라서 보안 전문가와 이해관계자는 항상 적절한 결정을 내려야 한다. 위기를 겪고 있는 상황 뿐 아니라 위기를 겪기 전에도 침착성을 유지하는 것이 중요하다. 감정의 연결고리는 사고 발생 이전부터 나타날 수 있다.
데이터 유출 이전에 나타나는 좌절감
기업을 보호하는 보안 전문가 및 관리자는 마치 그리스 신화에 나오는 코린토스의 왕 시시포스가 산꼭대기로 밀어 올린 거대한 바위가 다시 아래로 굴러 내려오는 것 같은 느낌을 받을 때가 많다. 심지어 직원에게 최신 업데이트를 설치하거나 고유 비밀번호를 설정하는 등의 기본 보안 수칙을 따르도록 교육하는 것에도 어려움을 겪는다.이사회에 보안이 필수라는 사실을 납득시키는 것도 문제다. 보안업체 라스트라인(Lastline)이 2019년 실시한 설문조사 결과, 보안 전문가의 98%는 서비스와 장비를 구매하고 필요한 정책을 구현하기 위해 필요한 자금이 부족하다고 답했다. 23%는 기업이 사이버 공격을 받아야 경영진이 충분한 재정 지원을 제공한다고 답했다.
보안 전문가와 관리자는 기업을 보호하기 위해 무엇을 해야 하는지 알고 있지만, 다른 사람을 설득하는 데 어려움을 겪는다. 스테이시는 “보안팀 직원은 항상 입막음을 당하기 때문에 좌절감과 짜증을 느낄 수 있다”라고 설명했다.
보안팀이 사고가 발생하기 전에 다양한 경고 알람을 보내더라도, 실제로 데이터 유출이 실제로 발생할 때 가장 고생하는 것은 관리자와 보안 직원이다. “경고했잖아”라고 말한 뒤에는 우려와 피로, 밤샘 작업이 뒤따른다.
보안 사고 이후에 느끼는 감정의 연결고리
보안 사고는 빠르게 진행된다. 보안 전문가는 초기에 충격을 느끼고 이후에는 부정하며, 뒤이어 죄책감과 분노, 공황, 두려움, 우려 같은 복잡한 감정을 느낀다. 랜섬웨어 협상 전문가 마이클 쇼버그는 “보안 사고에 대한 준비를 했더라도 사고가 발생하면 머리가 멈춘다. 상황이 심각해 보일수록 인간은 생각하지 않고 반응하며 행동하는 경향이 있다”라고 설명했다.사고 이후 몇 시간 동안은 혼돈에 빠진다. 맥킨지는 이것을 ‘혼돈 단계(chaos phase)’라고 부른다. 맥킨지는 “순수한 공황 상태에서 사람은 전원 케이블을 뽑고 모든 것을 끄고 인터넷을 차단한다. 모든 것을 멈추는 것 말고는 어찌할 바를 모르기 때문이다”라고 말했다.
혼돈 단계에서는 심리의 변화가 신체적인 증상으로 표출되기도 한다. 맥킨지는 미국의 한 작은 마을이 콘티(Conti) 랜섬웨어 공격을 당했던 사건을 예로 들었다. 맥킨지는 “통화 중이던 관리자가 백업을 확인하러 갔는데, 한 동안 침묵이 흐른 뒤 관리자가 토하는 소리를 들었다. 백업이 없었고, 법원 시스템에 있던 데이터와 기타 경찰 기록까지 모든 것이 사라진 것이다”라고 설명했다.
급박한 상황에서 전원 케이블을 뽑고 신체적인 증상을 경험하는 것은 스트레스에 대한 인간의 자연스러운 반응이다. 맥킨지는 “해커가 네트워크를 사용했을 뿐 아니라 네트워크에서 비즈니스와 고객 데이터, 경찰 기록, 병원 기록 같은 데이터를 가져가고, 파괴했다는 사실을 알게 되면 충격을 받을 수 있다”라고 말했다.
사고 발생 시 모든 것을 즉시 해결해야 한다는 압박을 느낄 수 있는데, 이는 잘못된 생각이다. 쇼버그는 “대부분 경우 보안 담당자에게 잘못이 없다. 다른 중요한 원인이 있기 마련이다”라고 덧붙였다. 따라서 보안 담당자는 행동을 취하기 전에 우선 위기 관리 담당자에게 연락해는 것이 좋다.
사이버 공격 초기에 느끼는 복잡한 감정 속에는 분노가 있을 수 있다. 분노는 사고를 예방해야 했던 보안 도구를 제공한 업체를 향하기도 한다. 피해자가 병원, 지방자치단체, 제과점, 꽃집 등 소규모 기업이라면 분노는 공격자를 향하기도 한다.
부주의와 관련한 죄책감도 나타난다. 기업에는 항상 최신 상태로 업데이트하거나 더욱 잘 관리해야 하는 툴이 있는데, 중요 툴에 대한 경고를 제대로 살피지 못했다는 사실을 깨달은 것이다.
일부 관리자와 보안 전문가는 스트레스를 견딜 수 없어 잠적기도 한다. 예컨대 맥킨지가 사고 수습을 지원했던 한 병원 관리자는 사고 발행 후 3일 동안 잠적한 후에 돌아와서 수습했다. 해당 병원은 보안 사고 대비가 전혀 되지 않은 곳이었다.
보안 사고로 인한 스트레스를 올바르게 관리하지 않으면 정신적 건강에 장기적인 영향을 미친다. 다행히도 많은 심리학자가 심각한 상황을 헤쳐 나갈 방법을 오랫동안 연구했다. 미국 육군에서 사용하는 대표적인 방법을 소개한다.
전략적 호흡과 느린 호흡
위기 관리 전문가로 일하면서 심각한 상황을 많이 경험한 쇼버그는 ‘전략적 호흡(전투 호흡)’이 도움이 된다고 말했다. 전략적 호흡은 군인이나 소방관, 법률 집행 직원이 위험한 상황에서 스트레스를 줄이기 위해 사용하는 방법이다. 4초 동안 숨을 들이쉬고, 4초 동안 숨을 참으며, 4초 동안 숨을 내쉰 후에 4초 동안 기다리는 것으로, 횡격막을 사용해 심호흡하는 것이 중요하다.독일 연방방위국의 군사심리연구부가 공개한 최근 연구에 따르면, 어렵거나 위협적인 상황이 예상되나 직면하는 것 외에는 다른 선택지가 없을 때 전략적 호흡이 수동적으로 대응하는 가장 효과적인 방법이다.
능동적인 대응을 하는 도중에는 더욱 단순한 호흡법이 효과가 있을 수 있다. 숨을 들이마신 후 천천히 내쉬는 방법이다. 일반적인 호흡은 분당 12~14회지만, 느린 호흡은 분당 약 6회다.
천천히 숨을 쉬는 활동은 우리의 신체에 모든 것이 괜찮을 것이라고 말하는 것과 같다. 신체의 무의식적인 운동을 관장하는 부교감 신경계를 조절하는 것으로, 느린 호흡을 통해 심박수가 느려지면 근육이 이완되고 혈압이 낮아진다.
뇌는 인체에서 가장 복잡한 기관이며, 실제 작동 원리도 아직 제대로 밝혀지지 않았다. 하지만 2017년 공개된 연구에 따르면, 쥐의 뇌에는 여러 기능을 가진 작은 뉴론 클러스터가 있는데, 이 뉴론 클러스터는 호흡 리듬을 조절하며 스트레스 및 공황과 관련된 뇌간 부분인 청반(locus coeruleus)과 상호작용한다. 연구원들이 뉴론 클러스터에서 일부 뉴론을 제거했을 때, 쥐는 이전보다 더욱 침착한 반응을 보였지만, 새로운 환경 탐험에 대한 관심은 감소했다.
또 다른 연구에 따르면, 호흡 방식을 바꾸는 것은 스트레스와 부정적인 감정을 관리하는 배내측 전전두엽(dorsomedial prefrontal cortex)과 편도체에 영향을 미친다. 또한 호흡을 통제하면 코르티솔 수치가 낮아진다.
사이버 공격에 대한 교육과 대응 계획
호흡 기법으로는 압도적인 감정에 대응하기 부족하다면, 사이버 공격에 대비하는 것도 방법이다. 이런 활동은 기업의 외부인이 수행하는 것이 이상적이며 보안 전문가뿐 아니라 직원 모두가 참여해야 한다. 쇼버그는 “보통 CEO와 CFO는 위기 관리 교육에 어려움을 느껴 참여를 피하는 경우가 많고 교육 중에 집중하지 못하는 경향이 있지만, 적어도 연례 위기 관리 워크샵에는 참여해야 한다”라고 말했다. 위기 관리 교육은 기업의 위기 관리 계획을 테스트하는 시간이 아니라, 관련 툴 사용법을 교육하는 시간으로 활용해야 한다. 쇼버그는 “직원에게 사전에 정답을 제공하지 않고 교육하면 안 된다”라고 조언했다.관리자와 보안 연구원, 이해관계자는 위기 관리 교육을 통해 사고 방지를 위해 가능한 모든 일을 했다고 느끼고, 죄책감을 덜 수 있다. 죄책감에 대응하는 또 다른 전략은 사과하고, 문제를 수정하며, 부정적인 자기 대화를 경쟁으로 대체하고, 과거의 실수로부터 배우는 것이다. 이런 활동을 통해 개인과 기업은 보안 사고에 더욱 잘 대응하고 감정을 더욱 효율적으로 걸러낼 수 있다. 미래의 사이버 공격에 대한 계획을 세울 때도 도움이 된다.
사이버 레인저스(Cyber Rangers)의 CEO 알메린도 그레지아노는 “문서화된 보안 사고 대응법과 성숙한 프로세스가 있으면 주관적으로 행동할 필요가 없기 때문에 감정을 배제할 수 있다. 이런 규칙은 반드시 따라야 하는 모범 사례다”라고 말했다. 감정을 배제하는 전략으로 관리자와 보안 전문가, 그리고 이해관계자는 스트레스에 잘 대처할 수 있다.
사고 수습에 영향을 미치는 이해관계자의 태도
기업 경영진과 이사회 구성원은 사이버보안 사건 해결에 압박을 받는다. 기업이 수십 억 달러의 손해를 입을 수 있으며, 명성도 손상될 수 있기 때문이다. 이런 이해관계자는 사고로 인해 자신의 개인적인 데이터가 온라인으로 게시돼 화난 고객과 공격에 영향을 받은 비즈니스 파트너와 마주해야 한다.일반적으로 2가지 유형의 이해관계자가 있다. 중요한 시기에 화를 내고 보안 전문가에게 문제를 해결하라고 압박하는 사람과, 공감과 연민을 보여주며 복구를 위해 노력하는 사람에게 지원을 제공하는 사람이다.
화난 이해관계자는 상황을 악화시키기만 할 뿐이다. 쇼버그는 “이해관계자는 한 걸음 물러서서 자신이 ‘방 안에서 가장 무능한 사람일 수 있음’을 이해해야 한다”라고 말했다. 서두르면 무엇인가를 빠뜨리기 쉽다. 맥킨지는 “압박을 받는 보안 전문가는 포렌식보다는 복구에 집중하는 경향이 있기 때문에 실수를 하게 된다. 보안을 개선하는 것도 중요하지만, 네트워크에서 공격자를 완전히 몰아내기 위해 공격 방식을 파악하는 것도 중요하다”라고 조언했다.
반면 공감과 연민을 보여주고 지지하는 경영진은 위기 해결에 도움이 된다. 경영진이 팀에 지원 방법을 물어보는 것도 좋은 방법이다. 스테이시는 “감정은 사람을 무너뜨리기 때문에 경영진의 공감이 중요하다. 공감으로 직원의 사기를 북돋을 수도 있다. 시스템과 사람을 긍정적인 방향으로 관리하려는 노력인 셈이다”라고 말했다.
박사 과정을 밟고 있는 스테이시의 제자 오모톨라니 올로우슐에 따르면, 보안 사고는 경영진이 ‘비난 게임’이 아니라 팀을 지원할 때 중요한 국면을 맞이한다. 관리자와 보안 전문가가 자신의 평판을 보호해야 할 필요가 없음을 깨닫고 어떤 상황에서도 혼자가 아니라는 자신감을 얻으면 문제를 해결하는 혁신적인 방법을 찾게 된다.
올로우슐은 “감정은 저절로 회복되지 않는다. 자신의 의견이 존중받는 매우 편안한 환경에서는 감정이 긍정적으로 반응할 것이다. 직원이 잘못을 하고 회사에 손해를 끼쳤더라도 해당 직원 혼자만 비난받을 일이 아니라고 생각한다”라고 설명했다.
하지만 화난 경영진을 달래는 것은 보안 전문가의 긴장을 푸는 것보다 더욱 복잡하다.
화난 경영진 달래기
데이터 유출이라는 긴급한 상황 속에서 외부 컨설턴트는 불안해하는 경영진을 달래는 데 많은 시간을 투입한다. 보안업체 맨디언트(Mandiant)의 사고 대응 컨설턴트 존 프리에토는 “컨설턴트의 역할은 경영진이 보안 사고와 관련한 모든 감정을 이겨낼 수 있도록 버팀목이 되어 주는 것”이라고 말했다.보안 사고와 관련한 모든 사람이 조사 진행 상황을 알고 싶어 하기 때문에 의사소통과 투명성이 중요하다. 프리에토는 “증거를 발견한 부분과 발견하지 못한 부분을 명백하게 밝히자. 증거를 통해 모든 것을 밝히는 것이 좋다”라고 설명했다.
의사소통은 정보를 소화하는 방식에 따라 다르다. 직접 경험하기를 원하는 사람도 있고 서면 혹은 구두 보고를 원하는 사람도 있다. 프리에토는 모든 종류의 의사소통을 통합하려고 노력하고 있지만, 구두로 설명하는 방법을 많이 사용하다 보면 실제 문제 해결에 투입하는 시간이 부족해진다고 설명했다.
적절한 의사소통 방법을 숙지하는 컨설턴트는 화난 관리자를 더욱 효율적으로 달랠 수 있다. 쇼버그는 경영진을 회의실 밖으로 데리고 나간 뒤 스트레스를 받지 않도록 간략하게 상황 설명과 회복 방안을 설명하는 방법을 주로 사용한다.
스테이시는 “필요한 모든 도구를 갖추고 있지만, 이를 민첩하게 적용할 사람이 없다면, 원하는 결과를 얻기 어려울 것이다”라고 말했다. 보안 사고라는 위험한 상황에서는 모두가 침착하는 것이 중요하다.
editor@itworld.co.kr
Andrada Fiscutean editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
