.jpg)
지정학적 상황들까지 고려하여 방어 체계를 구축하라는 주문을 CISO에게 한다는 건 너무나 가혹한 짓이다. 그들은 이과 출신이 대부분이다. 대신 좀 더 다양한 질문거리를 주면서, 이것을 중심으로 기업을 강화시키라고 요청할 수는 있다.
[보안뉴스= 스티브 더빈 CEO, Information Security Forum] 최근 세계 지정학적 분위기가 심상치 않다. 아니, 그냥 심상치 않은 게 아니라 언제 전쟁이 터져도 이상하지 않을 정도로 고조되고 있다. 이 때문에 정치인이나 정부 및 공무 기관들만 위험한 게 아니라 민간 기업들까지도 위협에 노출되기 시작했다. 그렇다고 일개 민간 기업 CISO가 모든 정치 외교 상황까지 감안해 조직을 무장시켜 놓을 수도 없는 노릇이다. 그렇게 하다가 일반 기업들을 노리는 실질적인 위협들에 당하게 될 수도 있다.
[이미지 = gettyimagesbank]
그러므로 사이버전 혹은 사이버 공격으로 나타나는 지정학적 사건들과, 일반 기업들이 각사의 상황에 맞게 대비해야 하는 위협들을 고루, 균형있게 고려하여 대비할 수 있는 지혜가 현대 CISO들에게 꼭 필요하다. 말이 쉽지 어려운 임무다. 그렇다고 불가능한 일이냐고 한다면, 그건 또 아니다. 다음 다섯 가지를 위주로 방어 체계를 이룬다면 나쁘지 않게 지금의 때에 살아남을 수 있을 것이다.
1. 기업의 현재 상황
먼저는 다음 몇 가지 질문을 통해 기업의 현재 위치를 파악해보도록 하자.
* 어떤 지역에서 주로 사업을 이뤄가고 있는가?
* 해당 지역에서는 어떤 지정학적 충돌이 발생하고 있거나 발생하려 하는가?
* 그 충돌과 기업의 사업 행위에는 어떠한 연관성이 있는가?
* 여러 지역에 사업부를 두고 있다면, 그 지부들과의 소통은 원활한 편인가? 그들에게서 위급한 연락이 온다면 어떤 내용일 거라고 예상하고 있는가?
* 기업을 겨냥한 사이버 공격이 시작된다면 주로 어떤 유형이나 목적을 가지고 있을까?
* 그러한 공격이 실제 일어날 때 견딜 수 있는가? 얼마나 버틸 수 있을까?
* 사업을 벌이고 있는 지역과 적대 관계에 있는 나라는 어디이며, 그곳을 기반으로 움직이는 APT 조직이 있을까? 있다면 어떤 기업을 주로 노리고 있는가?
* 임직원들은 사이버 공격에 대응할 수준이 되는가? 지정학적 충돌과 긴장감에 대하여 어떤 인식을 가지고 있는가?
2. 공급망
지정학적인 동기로 인해 발생하는 각종 사이버 사건들을 대응하기 어려운 이유 중 하나는 보안 전문가들이 지나치게 기술 분야에만 강한 면모를 가지고 있다는 것이다. ‘지정학적’인 접근이 낯선 경우가 많다. 한 마디로 이과 출신들이 많은데, 갑자기 문과 정서를 가지고 위험에 대비하라고 요구하는 것이니 쉬울 리 없다는 뜻이다. 그런 경우라면 위의 구체적인 질문들을 하나하나 차분히 풀어가는 게 도움이 될 수 있다.
그 다음으로 고민해야 할 건 물리적 요소들이다. 특히 공급망 전체를 훑어보면 생각보다 물리적인 것들이 많이 있다는 걸 알게 된다. 지정학적인 사건이 발생할 경우 공급망에 있는 물리적 요소들은 직접적으로 위험에 노출되게 되며, 따라서 이런 요소들의 배치를 미리 파악해두는 건 CISO가 필히 해야 할 일이다.
예를 들어 러우 전쟁이 터졌을 때 물건의 직접 배송이라는 ‘물리적 요소’가 방해를 받는 바람에 전 세계적으로 칩셋 공급에 차질이 생겼다. 사건이 터진 후에 되돌아보면 충분히 그럴 수 있으며, 따라서 대비를 하지 않은 게 이상해 보이지만, 사건이 터지기 전에는 그 누구도 이 두 지역에서 벌어진 일 때문에 전 세계 칩셋 공급에 문제가 생길 거라고 아무도 예상하지 못했다. 이제 이러한 경우의 수들을 이전보다 더 알게 되었으니 CISO들은 보다 넓은 시야로 자사 공급망을 확인할 필요가 있다.
3. 고객과의 소통
당신이 사업을 하고 있는 어떤 지역에서 사람들이 대량으로 랜섬웨어 공격에 당했다고 가정해 보자. 그 때문에 해당 지역의 사업 자체에도 지장이 온 상황이라고 해보자. 그 지역의 보안 담당자들은 그러한 상황을 재빨리 처리할 수 있을까? 그런 상황에서도 사업을 이어갈 수 있게 해주는 백업 인프라가 마련되어 있나? 아마, CISO라면 여기까지는 쉽게 미리 생각하고 대비책을 마련할 것이다. 그런데 다른 문제도 있다. 그 지역 내 고객이나 투자자들과 소통을 이어갈 수 있는가? 피해 현황을 고객에게 알리는 방법이나 절차, 공개할 정보의 수위는 정해져 있는가? 이런 질문들에 대한 답을 찾아야 한다.
특히 당신의 회사가 상장된 회사 혹은 주식회사라면 위와 같은 긴급 상황에서 제일 먼저 고객과 투자자들이 패닉에 빠지지 않도록 하는 게 중요할 것이다. 어떤 목소리로 어떤 메시지를 전달하느냐에 따라 회사의 흥망이 갈리기도 한다. 그런데 보안 사고와 그 조치에 대한 메시지를 누가 작성해야 할까? 보안 담당자다. CISO들이다. 보안 담당자도 아닌 사람이 나서서 ‘아무 일도 없습니다’라고 해봐야 고객과 투자자들은 믿지 않는다. CISO가 나와서 상세하게 풀어 설명해준 후에 아무일도 없었다고 해야 신뢰가 간다. 지정학적 사건이 빈번해지는 때에 이런 소통의 방법을 미리 마련해두면 큰 도움이 된다.
4. 정보와 허위 정보
소셜미디어의 등장 이후 정보를 소비하는 우리의 방식은 완전히 바뀌었다. 긍정적으로 보자면 정보의 투명성이 크게 높아졌다고 볼 수 있다. 부정적으로 보자면 가짜뉴스와 허위 정보가 거름장치 없이 퍼지는 장이 마련되기도 했다. 기업 활동에 있어서 소셜미디어라는 요소를 떼어놓을 수 없는 상황에서, 그 소셜미디어가 가짜뉴스의 온상이 되어간다는 것은 좋지 않은 소식이다. 특히 사이버전에 동원되는 APT들 중 가짜뉴스를 퍼트려 여론을 조작하려는 목적으로 움직이는 조직이 많다는 걸 생각했을 때는 더 그렇다.
기업 내 누군가 가짜뉴스를 구분하지 못해 해당 정보를 퍼트리는 순간 기업이 만들어내는 각종 서비스나 제품, 메시지에 어떤 영항이 있을지 아무도 예측할 수 없다. 임직원 중 누군가 소셜미디어를 통해 그런 가짜뉴스를 잘못 언급했다가 상상치도 못한 후폭풍을 맞을 수도 있다. CISO가 미처 다 예상할 수 없는, 자연재해와 같은 일이 된다. 그렇기 때문에 CISO들은 조직 내 정보의 흐름에도 민감해져야 한다. 그리고 가짜 정보와 진짜 정보를 구분하는 방법도 꾸준히 교육해야 한다.
5. 투명성, 대비도, 연습
사이버전이나 사이버 범죄나, 한 기업이 독자적으로 대응하기 힘들다. 원래 그렇다. 공격자들은 보다 전문화 되고 산업화 되어 있기 때문에 서로 뭉쳐서 움직일 때가 많다. 기업들이 여러 서드파티 업체들을 두고 사업하는 것과 비슷하다. 그러니 결국에는 여러 범죄 전문가들이 힘을 합해 움직이게 되는 결과를 낳게 되는데, 이걸 기업이 단독으로 전부 막아내는 게 가능할까? 단순 산술식으로 계산만 해봐도 어렵다는 걸 알 수 있다.
그렇기 때문에 CISO들은 해커들이 집단으로 움직인다는 걸 감안하여, 스스로도 집단 방어 체계를 구축해야 한다. 기업들끼리 위협과 관련된 정보를 투명하게 나누면 나눌수록 공격 성공률은 낮아지게 된다. 각자 대비를 하면서 알아낸 것들도 공유하면 집단 전체의 방어 능력은 강화된다. 미리 정보를 공유할 동료 CISO들과 친분을 쌓거나, 첩보 공유 채널들을 알아내 가입하는 것이 CISO들의 평소 할 일 중 하나로 자리를 잡으면 사회 전체적인 보안 문제 역시 적잖이 해결될 것이다.
그래서...
다행히 사이버전을 대비해야 한다는 데에 동의하는 임원들이 최근 몇 년 동안 꾸준히 늘어나고 있다. 사이버 보안에 대한 이해도도 조금씩 높아지는 중이다. 그렇기 때문에 조직 전체의 보안을 강화하는 일 중에서 ‘보안의 중요성을 설명하고 설득한다’는 단계가 점점 생략되는 추세다. CISO가 바른 방향만 설정하면 된다.
글 : 스티브 더빈(Steve Durbin), CEO, Information Security Forum
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스= 스티브 더빈 CEO, Information Security Forum] 최근 세계 지정학적 분위기가 심상치 않다. 아니, 그냥 심상치 않은 게 아니라 언제 전쟁이 터져도 이상하지 않을 정도로 고조되고 있다. 이 때문에 정치인이나 정부 및 공무 기관들만 위험한 게 아니라 민간 기업들까지도 위협에 노출되기 시작했다. 그렇다고 일개 민간 기업 CISO가 모든 정치 외교 상황까지 감안해 조직을 무장시켜 놓을 수도 없는 노릇이다. 그렇게 하다가 일반 기업들을 노리는 실질적인 위협들에 당하게 될 수도 있다.
[이미지 = gettyimagesbank]
그러므로 사이버전 혹은 사이버 공격으로 나타나는 지정학적 사건들과, 일반 기업들이 각사의 상황에 맞게 대비해야 하는 위협들을 고루, 균형있게 고려하여 대비할 수 있는 지혜가 현대 CISO들에게 꼭 필요하다. 말이 쉽지 어려운 임무다. 그렇다고 불가능한 일이냐고 한다면, 그건 또 아니다. 다음 다섯 가지를 위주로 방어 체계를 이룬다면 나쁘지 않게 지금의 때에 살아남을 수 있을 것이다.
1. 기업의 현재 상황
먼저는 다음 몇 가지 질문을 통해 기업의 현재 위치를 파악해보도록 하자.
* 어떤 지역에서 주로 사업을 이뤄가고 있는가?
* 해당 지역에서는 어떤 지정학적 충돌이 발생하고 있거나 발생하려 하는가?
* 그 충돌과 기업의 사업 행위에는 어떠한 연관성이 있는가?
* 여러 지역에 사업부를 두고 있다면, 그 지부들과의 소통은 원활한 편인가? 그들에게서 위급한 연락이 온다면 어떤 내용일 거라고 예상하고 있는가?
* 기업을 겨냥한 사이버 공격이 시작된다면 주로 어떤 유형이나 목적을 가지고 있을까?
* 그러한 공격이 실제 일어날 때 견딜 수 있는가? 얼마나 버틸 수 있을까?
* 사업을 벌이고 있는 지역과 적대 관계에 있는 나라는 어디이며, 그곳을 기반으로 움직이는 APT 조직이 있을까? 있다면 어떤 기업을 주로 노리고 있는가?
* 임직원들은 사이버 공격에 대응할 수준이 되는가? 지정학적 충돌과 긴장감에 대하여 어떤 인식을 가지고 있는가?
2. 공급망
지정학적인 동기로 인해 발생하는 각종 사이버 사건들을 대응하기 어려운 이유 중 하나는 보안 전문가들이 지나치게 기술 분야에만 강한 면모를 가지고 있다는 것이다. ‘지정학적’인 접근이 낯선 경우가 많다. 한 마디로 이과 출신들이 많은데, 갑자기 문과 정서를 가지고 위험에 대비하라고 요구하는 것이니 쉬울 리 없다는 뜻이다. 그런 경우라면 위의 구체적인 질문들을 하나하나 차분히 풀어가는 게 도움이 될 수 있다.
그 다음으로 고민해야 할 건 물리적 요소들이다. 특히 공급망 전체를 훑어보면 생각보다 물리적인 것들이 많이 있다는 걸 알게 된다. 지정학적인 사건이 발생할 경우 공급망에 있는 물리적 요소들은 직접적으로 위험에 노출되게 되며, 따라서 이런 요소들의 배치를 미리 파악해두는 건 CISO가 필히 해야 할 일이다.
예를 들어 러우 전쟁이 터졌을 때 물건의 직접 배송이라는 ‘물리적 요소’가 방해를 받는 바람에 전 세계적으로 칩셋 공급에 차질이 생겼다. 사건이 터진 후에 되돌아보면 충분히 그럴 수 있으며, 따라서 대비를 하지 않은 게 이상해 보이지만, 사건이 터지기 전에는 그 누구도 이 두 지역에서 벌어진 일 때문에 전 세계 칩셋 공급에 문제가 생길 거라고 아무도 예상하지 못했다. 이제 이러한 경우의 수들을 이전보다 더 알게 되었으니 CISO들은 보다 넓은 시야로 자사 공급망을 확인할 필요가 있다.
3. 고객과의 소통
당신이 사업을 하고 있는 어떤 지역에서 사람들이 대량으로 랜섬웨어 공격에 당했다고 가정해 보자. 그 때문에 해당 지역의 사업 자체에도 지장이 온 상황이라고 해보자. 그 지역의 보안 담당자들은 그러한 상황을 재빨리 처리할 수 있을까? 그런 상황에서도 사업을 이어갈 수 있게 해주는 백업 인프라가 마련되어 있나? 아마, CISO라면 여기까지는 쉽게 미리 생각하고 대비책을 마련할 것이다. 그런데 다른 문제도 있다. 그 지역 내 고객이나 투자자들과 소통을 이어갈 수 있는가? 피해 현황을 고객에게 알리는 방법이나 절차, 공개할 정보의 수위는 정해져 있는가? 이런 질문들에 대한 답을 찾아야 한다.
특히 당신의 회사가 상장된 회사 혹은 주식회사라면 위와 같은 긴급 상황에서 제일 먼저 고객과 투자자들이 패닉에 빠지지 않도록 하는 게 중요할 것이다. 어떤 목소리로 어떤 메시지를 전달하느냐에 따라 회사의 흥망이 갈리기도 한다. 그런데 보안 사고와 그 조치에 대한 메시지를 누가 작성해야 할까? 보안 담당자다. CISO들이다. 보안 담당자도 아닌 사람이 나서서 ‘아무 일도 없습니다’라고 해봐야 고객과 투자자들은 믿지 않는다. CISO가 나와서 상세하게 풀어 설명해준 후에 아무일도 없었다고 해야 신뢰가 간다. 지정학적 사건이 빈번해지는 때에 이런 소통의 방법을 미리 마련해두면 큰 도움이 된다.
4. 정보와 허위 정보
소셜미디어의 등장 이후 정보를 소비하는 우리의 방식은 완전히 바뀌었다. 긍정적으로 보자면 정보의 투명성이 크게 높아졌다고 볼 수 있다. 부정적으로 보자면 가짜뉴스와 허위 정보가 거름장치 없이 퍼지는 장이 마련되기도 했다. 기업 활동에 있어서 소셜미디어라는 요소를 떼어놓을 수 없는 상황에서, 그 소셜미디어가 가짜뉴스의 온상이 되어간다는 것은 좋지 않은 소식이다. 특히 사이버전에 동원되는 APT들 중 가짜뉴스를 퍼트려 여론을 조작하려는 목적으로 움직이는 조직이 많다는 걸 생각했을 때는 더 그렇다.
기업 내 누군가 가짜뉴스를 구분하지 못해 해당 정보를 퍼트리는 순간 기업이 만들어내는 각종 서비스나 제품, 메시지에 어떤 영항이 있을지 아무도 예측할 수 없다. 임직원 중 누군가 소셜미디어를 통해 그런 가짜뉴스를 잘못 언급했다가 상상치도 못한 후폭풍을 맞을 수도 있다. CISO가 미처 다 예상할 수 없는, 자연재해와 같은 일이 된다. 그렇기 때문에 CISO들은 조직 내 정보의 흐름에도 민감해져야 한다. 그리고 가짜 정보와 진짜 정보를 구분하는 방법도 꾸준히 교육해야 한다.
5. 투명성, 대비도, 연습
사이버전이나 사이버 범죄나, 한 기업이 독자적으로 대응하기 힘들다. 원래 그렇다. 공격자들은 보다 전문화 되고 산업화 되어 있기 때문에 서로 뭉쳐서 움직일 때가 많다. 기업들이 여러 서드파티 업체들을 두고 사업하는 것과 비슷하다. 그러니 결국에는 여러 범죄 전문가들이 힘을 합해 움직이게 되는 결과를 낳게 되는데, 이걸 기업이 단독으로 전부 막아내는 게 가능할까? 단순 산술식으로 계산만 해봐도 어렵다는 걸 알 수 있다.
그렇기 때문에 CISO들은 해커들이 집단으로 움직인다는 걸 감안하여, 스스로도 집단 방어 체계를 구축해야 한다. 기업들끼리 위협과 관련된 정보를 투명하게 나누면 나눌수록 공격 성공률은 낮아지게 된다. 각자 대비를 하면서 알아낸 것들도 공유하면 집단 전체의 방어 능력은 강화된다. 미리 정보를 공유할 동료 CISO들과 친분을 쌓거나, 첩보 공유 채널들을 알아내 가입하는 것이 CISO들의 평소 할 일 중 하나로 자리를 잡으면 사회 전체적인 보안 문제 역시 적잖이 해결될 것이다.
그래서...
다행히 사이버전을 대비해야 한다는 데에 동의하는 임원들이 최근 몇 년 동안 꾸준히 늘어나고 있다. 사이버 보안에 대한 이해도도 조금씩 높아지는 중이다. 그렇기 때문에 조직 전체의 보안을 강화하는 일 중에서 ‘보안의 중요성을 설명하고 설득한다’는 단계가 점점 생략되는 추세다. CISO가 바른 방향만 설정하면 된다.
글 : 스티브 더빈(Steve Durbin), CEO, Information Security Forum
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
(0).jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
