워너크라이 사태로 확인한 것 중 하나, ‘우리 다 사정이 비슷했다’
35만명 보안 담당자의 생각 알아보고, NIST의 보안 측정 방안 마련 계획 이해하기
[보안뉴스 국제부] 워너크라이 때문에 ‘나도 패치 안 했는데 너도 그랬구나’라면서 사용자들은 ‘위아더월드’를 불렀다. 보안 담당자들은 ‘회사 시스템을 최신으로 유지하는 게 나만 힘든 줄 알았는데, 다들 그랬구나’라고 또 동질감을 맛 봤다. 물론 이미 알고 있던 것들이지만 이렇게까지 적나라하게 ‘다 같이 못하고 있었다’는 게 드러난 경우는 없었다. NSA의 해킹 툴이 공개되었으니 앞으로 워너크라이를 웃도는 사고가 더 많이 터질 것이라는 예견들이 꼬리를 물고 등장하며, 워너크라이는 커다란 위기의 예고편과 같은 사건이 되어 버렸다. 그런 때에 보안 업계 종사자들 사이에 기묘한 동병상련의 흐름이 확인된 건 ‘공동 대응’이 필수일 미래에 있어 나름의 수확이라고 볼 수 있다.
▲ 우리 사실 다 사정이 비슷했어[이미지=iclickart]
그래서 이번 주말엔 커다란 사고로 스케치된 유대감에 색을 덧대보려고 한다. 자기가 속한 단체를 지키는 보안 담당자들로서 평소 생각하고 걱정하고 고민하던 것들을 짚어보고, 다른 보안 담당자들은 어떻게 생각하고 해결해나가고 있는지 알아볼 수 있다면, 이것 또한 커다란 위기가 예견된 미래를 위한 대비책이 될 수 있을 것이다. 명실공히 세계 최고의 정보보안 교육기관인 (ISC)2가 세계 여러 곳에서 활동하고 있는 정보보안 담당자 35만 명을 만났고, 그들의 생각을 물었다. 당신이 35만 1번째 보안 담당자다. (ISC)2가 물어보는 것에 답하고, 그 답을 35만 명의 동료들과 비교할 수 있게 기사를 구성했다. 또한, 그 답변들로부터 우리는 어떤 결론이나 고민거리를 얻어낼 수 있는지도 가미했다. 여유로운 주말, 이 기사가 35만 1번째의 수많은 보안 담당자들에게 입체적인 읽을거리가 되기를 바란다.
Q1. 지금 소속된 단체의 정보보안 상태에 얼마나 자신감이 있으신가요?
a) 자신감? 하나도 없다.
b) 아주 약간의 자신감이 겨우 있다.
c) 어느 정도 자신 있긴 하다.
d) 매우 자신 있다.
e) 대단히 큰 자신감을 가지고 있다.
자신감은 매우 객관적인 지표는 아니지만, 무슨 일을 하던 중요한 심리적인 요소다. 사이버 공격이 만연한 현재 상황에서 보안 전문가의 자신감은 기업 전체의 진취성과도 연결이 되는 문제다. 아래로 이어지는 설문을 진행하기 전에 이 자신감 문제부터 들여다보도록 한 건 바로 이 점, 정보보안이 ‘사업 영역’과 점점 불가분의 관계로 변해가고 있기 때문이다.
해외의 35만 명 보안 전문가들은 자신이 속한 기업의 정보보안 상태에 대해 그다지 큰 자신감이 없는 것으로 나타났다. 4%는 ‘정말 자신 없다’고 답했고, 11%는 ‘약간의 자신감만이 있을 뿐’이라고 답했다. 47%가 ‘어느 정도는 자신 있다’고 답해, 결국 응답자의 62%가 자기 회사 보안에 대해 높아봐야 그저 그런 수준의 자신감만 가지고 있음이 나타났다. ‘매우 자신 있다’는 답을 한 전문가는 31%, ‘대단히 큰 자신감을 가지고 있다’고 답한 응답자는 7%였다.
Q2. 데이터센터, 네트워크 방어선, 엔드포인트 세 가지 부분에서 지금 소속된 단체의 실제 정보보안 능력치는 어느 정도라고 생각하나요?
a) 데이터센터 : 0점~100점
b) 네트워크 방어선 : 0점~100점
c) 엔드포인트 : 0점~100점
모바일과 사물인터넷이 만연한 현대의 네트워크 환경은 결코 간단치 않다. 안전을 강화하려고 한다면 지금 변화의 방향이 그리 달갑지만은 않다. 현대의 네트워크 환경을 크게 데이터센터, 네트워크 방어선, 엔드포인트로 나눴을 때 보안 전문가들은 어느 정도의 ‘보안 점수’를 주고 있을까? 이번 설문을 통해 나온 평균 점수는 데이터센터가 73점, 네트워크 방어선이 70점, 엔드포인트가 60점을 받았다. 결국 네트워크 중심부에서 바깥으로 갈수록 보안이 허술해진다는 걸 알 수 있다. 이는 곧 기업의 재산과 직원들의 사유 재산을 강화한다는 것의 어려움에도 차이가 있다는 걸 보여주는 지표다.
Q3. 앞으로 1년 동안 귀사가 사이버 공격에 침해당할 확률이 어느 정도라고 예상하십니까?
a) 전혀 가능하지 않다
b) 아주 약간의 가능성이 있다
c) 어느 정도의 가능성이 있다
d) 높은 가능성이 있다
e) 반드시 당할 것으로 본다
1번 질문과 연결될 수 있는 것인데, 절반 이상인 54%가 공격 가능성이 있다고 점쳤다. 더 세분화해서 보자면, 어느 정도 가능성이 있다고 답한 응답자는 31%, 높은 가능성을 본 응답자가 16%, 반드시 당할 것이라고 보는 보안 전문가가 7%였던 것이다. 아주 약간의 가능성이 있다는 응답자는 32%였고, 전혀 없다는 자신감을 표출한 응답자는 14%였다. 자신감이 적은 응답자가(1번 설문) 62%였는데, 공격 가능성을 점친 이는 54%에 그쳐 일부 전문가들 사이에 ‘막연한 희망’이 있음을 알 수 있었다. 1번 설문에서 짚어봤던 나의 자신감에 막연한 희망이 섞이지 않았나 점검해보는 것도 이 설문을 좀 더 의미있게 만들어 줄 것이다.
Q4. 다음 세 가지 유형의 사이버 공격들 중 가장 걱정되거나 성가신 것을 순서대로 적어보세요.
a) 멀웨어 공격
b) 악성 내부자 / 부주의한 내부자
c) 피싱 공격
사이버 공격이 다양해지고 영리해진다고 하지만 현대의 기업들 대부분을 괴롭히는 가장 큰 공격 유형은 위 세 가지로 정리가 가능하다. 파일레스 공격이 유행하는 듯 하지만 아직도 대세는 멀웨어를 동반한 공격이고, 내부자의 실수나 변심에 의한 배신은 태고적부터의 불안 요소다. 게다가 ‘피싱’은 어지간한 어르신들께서도 알 정도로 대중화된 사기 수법이기도 하다. 보안 전문가들 중 피싱 공격이 가장 걱정된다고 꼽은 사람은 37%, 악성 내부자를 꼽은 사람은 33%, 멀웨어를 선택한 이는 32%였다. 다 그만그만하다.
Q5. 귀사가 사이버 공격을 당하고 나서 복구에까지 걸린 시간은 어느 정도나 되나요?
a) 몇 분 정도 걸렸다
b) 몇 시간 정도 걸렸다
c) 하루 정도 걸렸다
d) 일주일 정도 걸렸다
e) 1달 정도 걸렸다
f) 3달 정도 걸렸다
g) 3달 이상 걸렸다
현대 정보보안의 가장 큰 과제는 ‘빠르게 탐지하고 빠르게 대응해서 빠르게 복구하는 것’이다. 그러나 대응과 복구를 빠르게 하려면 빠르게 탐지하는 게 우선인데, 이 부분이 좀처럼 개선되지 않는다. 조사 결과 유출 사실을 탐지하는 데에만 평균 200일이 걸린다고 한다. 불행 중 다행은 일단 탐지만 되면 후속 조치가 나름 빨리 이루어진다는 것인데, 이번 설문에 참여한 전문가들 중 절반 가까이(44%)가 몇 시간 내에 복구 완료했다고 답했다. 보다 정확히 말하면 ‘수 분 걸렸을 뿐’이라고 답한 이가 13%, ‘수 시간 걸렸을 뿐’이라고 답한 이가 31%였다. 그밖에 하루 걸렸다는 응답자는 25%, 1주는 20%, 1달은 7%, 3개월은 3%, 3개월 이상은 1%였다. 물론 이는 철저히 보안 담당자들의 ‘응답’에 기초한 데이터라, 실제와 거리가 있을 수 있다.
Q6. 과거의 사이버 보안 사고가 귀사에 준 부정적인 영향에는 어떤 것들이 있나요? 순서대로 적어보세요.
a) 정상 사업 활동에의 지장
b) 직원들의 생산적인 활동 저해
c) IT 자원의 증대된 소비
d) 고객 대응에 소용되는 시간 증가
e) 수익 감소 / 일부 사업 폐지
f) 기밀 분실 및 도난
g) 지적 재산 손실 및 침해
h) 법정싸움
i) 벌금
사이버 공격을 막아야 하는 9가지 이유라고 볼 수 있는 항목들이다. 이중 CEO들이 가장 심각하게 느낄 부분은 수익 감소나 지적 재산 손실, 혹은 어마어마한 벌금 정도일 것이다. 하지만 보안 전문가들은 느끼는 가장 큰 손실은 a)~i)의 순서대로 집계됐다. 정상 사업 활동에 지장이 온 게 가장 큰 손실이라고 느낀 응답자는 41%였고, 나머지는 순서대로 33%, 29%, 25%, 9%, 8%, 7%, 4%, 3%였다. 이 부분에 대해서는 CEO 및 사업 운영에 직접 관여하는 사람들의 응답과 비교해보면 더 재미있을 텐데, 현장에서 운영진들이 느끼는 것과 보안 담당자로서 자신이 느끼는 것의 차이를 좁혀갈수록 ‘얘기가 통한다’는 느낌을 받을 수 있을 것이다.
Q7. 정보보안을 강화하는 데에 있어 가장 큰 장애물은 무엇인가요?
a) 직원들의 보안 인식이 낮다
b) 예산이 모자라다
c) 인재가 모자라다
d) 부서 간 협업이 잘 되지 않는다
e) 운영진들의 지원이 부족하다
f) 솔루션들 간 호환성이 부족하다
보안 담당자로서 실제 근무하는 데에 있어 애로사항을 꼽는 질문이기도 한데, 이는 근무 환경에 따라 다른 답이 나올 수밖에 없고, 답으로 나온 부분이 가장 시급한 해결과제이자 심각한 취약점이라고 볼 수 있다. 35만 명의 보안 전문가들의 답도 항목 별로 고루 분포되어 있었는데, 인재 부족과 예산 부족이 나란히 45%를 차지해 1위로 꼽혔다. 돈이 없고 사람이 없어 뭘 할 수가 없는 게 현재 정보보안 업계의 현실이다. 다음으로는 직원들의 낮은 보안 인식이 꼽혔고(40%), 부서 간 협조 부족이 뒤를 이었다(32%). 그밖에 운영진 지원 부족이 31%, 솔루션 간 낮은 호환성이 29%, 너무 많은 데이터가 24%, 맥락적인 정보 부족이 18%를 기록했다.
Q8. 예산 결정권이 주어진다면 보안 상황 개선을 위해 어디에 주로 투자하고 싶은가?
a) 사람을 추가로 고용한다
b) 더 나은 솔루션을 추가로 구매한다
c) 보안을 전문으로 하는 업체와 파트너십을 맺는다
d) 현재 보안 인력과 IT 인력을 전문가 수준으로 교육시킨다
7번 설문이 ‘현 상황의 문제점’을 묻는 것이었다면 이 질문은 보안 전문가로서 생각하는 해결책을 묻는 것이다. 위에서 인재 부족이 1위에 꼽혔으므로 그와 관련된 추가 고용이나 교육이 꼽힐 것으로 보이는데, 35만 명의 응답자들 중 절반 이상인 54%가 현재 보안 인력을 교육시키겠다고 답했다. 사람이 부족한 것이 현실인 상황에서, 실제로 예산이 있어도 사람을 구하지 못하는 현장의 어려움이 반영된 것인지 추가 고용을 해결책으로 꼽은 응답자는 32%에 그쳤다. 솔루션으로 해결하고자 하는 응답자는 47%였고, 전문가에게 맡기겠다는 응답자는 41%였다. IT 부서 근무자들에게 CISSP 등의 국제적인 자격증 공부를 시킬 계획을 가진 운영진들이 실제 적잖게 존재하고 있기도 하다. 이런 때 평소 따고 싶었던 자격증에 회사 지원을 받아 도전해보는 건 어떨까?
Q9. 앞으로 1년 사이에 보안 예산에 변화가 있을 예정인가요?
a) 늘어날 계획이다
b) 작년 그대로로 유지될 예정이다
c) 오히려 줄어들 예정이다
인재 문제는 교육이나 추가 고용, 솔루션 추가 등의 방법으로 어느 정도 보완이 가능하다. 하지만 예산은 회사가 돈을 잘 벌어야만 해결이 가능해진다. 보안 담당자로서는 예산을 위에서 잘 배정해주기만을 바랄 수밖에 없는 문제이기도 하다. 이번 설문 응답자의 52%는 ‘증대 계획’이 있음을 밝혔는데, 평균 증가량은 21%였다. 반면 작년과 똑같을 것이라는 응답자는 40%였고, 오히려 줄어들 것이라고 밝힌 응답자는 8%에 그쳤다. 남의 회사 사정이라고 볼 수도 있지만 설문 참여자가 워낙 많고, 절반 이상의 기업에서 21%나 예산을 올렸다는 건 일종의 큰 흐름이라고 볼 수도 있게 해준다. 즉 지금은 남의 사정이지만 곧 나의 사정이 될 가능성이 엿보인다는 얘기다.
Q10. 현재 보안 예산은 어디에 주로 사용되고 있나요?
a) 데스크톱 PC 강화
b) 랩톱 및 모바일 강화
c) 외주 보안 서비스
d) 인력 교육
e) 클라우드 애플리케이션(SaaS)
f) 클라우드 인프라(IaaS, PaaS)
g) 데이터센터
h) 네트워크 보안
i) 모바일 기기 강화
대부분 기업들이 보안 예산을 올리고 있는 마당에, 보안 전문가들이 ‘예산 부족’을 제일 많이 꼽은 건 어떻게 이해해야 할까? 보안이라는 이름으로 쓸 곳이 많아지고 있다는 뜻이다. 다시 말해 보안이 세분화되고 있다는 뜻도 된다. 위 항목들을 보면 알겠지만 전통의 PC나 네트워크 등 과거의 보안 문제에도 돈을 투자해야 하고, 클라우드와 같은 신기술에도 신경을 쓰지 않을 수가 없다. 예산이 모자라다는 건 이 ‘균형 잡기’가 어렵다는 뜻으로도 읽을 수 있다. 35만 명의 보안 전문가들은 클라우드 인프라에 가장 많은 돈을 투자한다는 것으로 나타났다(33%). 클라우드 애플리케이션이 31%로 바로 뒤를 이어, 클라우드가 정말 대세이긴 하다는 사실도 설문을 통해 드러났다.
그밖에 외주 보안 전문업체 역시 31%를 기록했고, 인력 교육이 28%, 데이터센터가 24%, 모바일 기기가 23%를 차례로 기록했다. 네트워크 보안이 차지하는 비율은 21%였으며, 랩톱은 19%, 데스크톱은 15%를 차지했다. 기타로는 소셜미디어 관련 애플리케이션 보안에도 12%가 투자된다고 나타났다.
결론 : 수치화된 자료가 함께 일하는 밑바탕 된다 - 데이비드 다마토
당신이 큰 은행의 CISO라고 상상해보자. 당신은 이제 막 새 보안 프로그램을 시행한 참이고, 그 프로그램이 다른 경쟁업체에 비해 얼마나 더 강력한지 확인하고 싶다. 확인이 쉬울까? 그렇지 않은 게 현실이다.
안타깝게도 현재, 사이버 보안에는 누구나 이해할 수 있는 미터나 제곱미터, 달러와 같은 단위도 없고, 수치화된 자료를 구축할 수 있는 표준도 없다. 내가 얼마나 잘하고 있는가에 대한 정확한 비교가 될 수 없다는 것이다. 잘 해봐야 가늠일 뿐. 대형 컨설팅 회사를 통해 이런 조언을 구할 수도 있겠지만, 그런 곳들도 계량적인 정보 자체가 너무 없는 데다 있어도 각기 다른 형태로 있다는 사실을 발견할 수 있을 것이다.
아주 대안이 없는 건 아니다. 미국 상무부가 추진하고 기업 및 정부 기관이 광범위하게 채택한 미국표준기술연구소(NIST)의 사이버 보안 프레임워크는 이런 기준들을 정하는 데 이상적인 메커니즘이다. 올해 초, 이 프레임워크의 업데이트 버전이 나왔고 4월까지 관련 코멘트를 받기도 했는데, 여기에는 계량 및 측정에 대한 개별 섹션이 추가됐다.
그러나 미국의 ‘표준’과 ‘기술’을 연구한다는 NIST조차 이 문제를 충분한 수준에서 다루진 못했다. 이제 NIST는 소집 권한을 활용해 산업 전반을 아울러 이해관계자들을 한 자리에 모으고 공통의 계량 기준을 개발해야 한다. 또한 제3의 집단을 통해 그 결과를 감사하도록 하며, 최종 정보를 공유하는 방법도 개발해야 한다. 이는 역사상 유례없는 일로, NIST는 보안을 측정한다는 개념을 사상 최초로 정립해야 하는 역할을 맡게 되었다.
에너지 부문을 한 번 보자. 사업주는 자사 건물을 보다 효과적으로 운영하기 위한 방법들을 계속 찾아 왔다. 하지만 오랜 시간, 비슷한 규모나 지역의 건물주가 에너지를 어떻게 쌓아두고 있는지 사업주가 알 방법은 전혀 없었다. 이에 미국 에너지부가 한 가지 대책을 제시했다. 자사의 건물 포트폴리오 정보를 제출한 조직이라면 누구나 유사 규모의 건물과 공간 사용 정보를 분석 및 비교한 정보에 접근할 수 있도록 한 것이다. 이런 정보는 익명으로 나타나며, 실제 생활이 이뤄지는 건물 및 에너지 정보를 볼 수 있는 데이터베이스로 구축됐다. 이를 통해 데이터 사용자는 시장 흐름과 조건을 더 잘 이해할 수 있게 됐다. 정보가 있는 사용자는 더 잘 아는 상태에서 투자 결정을 내릴 수 있다.
NIST는 사이버 보안 계량에 대해서도 같은 방법을 쓸 수 있다. 해당 분야에서 미국 국토안보부가 준비 작업을 했었기 때문에 NIST는 이들과도 협업해야 한다. 결코 쉽지 않은 일인 것은 맞다. 사이버 보안 정보가 민감한 만큼 수없이 많은 복잡한 문제들이 함께 해결돼야 하겠지만, 사이버 보안 계량이 향후 제공할 가치가 엄청나므로 이를 시도해볼 만한 가치는 충분하다. 사이버 보안에 대한 계량 체계를 구축하는 것은 CISO나 정책 입안자부터 사이버 보험 회사까지 모든 사람들이 실제 세상의 정보를 접하고, 이를 바탕으로 결정하고, 또 외부에 알리는 걸 가능케 한다. 이에 NIST는 다음과 같은 노력을 할 것으로 보인다(혹은 희망한다).
첫째, NIST는 모든 조직이 자사의 IT 및 사이버 보안 역량 파악에 힘쓸 수 있도록 핵심적인 공통 계량 기준을 제시해야 한다. 힘에 부치는 일이나 의무적인 일을 부과할 필요는 없다. 다만 조직이 사이버 보안의 가장 기초적이고 의미 있는 요소들은 반드시 다루도록 해야 한다. 관리되거나 관리되지 않는 자산의 비율은 얼마나 되는지, 사고 발생 시 회복 속도는 얼마나 되는지, 조직 네트워크 전체를 패치하는 데는 시간이 얼마나 걸리는지와 같은 문제들 말이다. NIST는 보안 계량 문제를 개발하고 합의하는 데 산업계와 정부를 함께 개입시켜야 한다.
둘째, NIST는 조직의 사이버 보안 계량이 정확한지 확인하는 제3의 감사단을 구축해야 하며, 이 감사단이 사용할 표준들을 개발해야 한다. NIST가 감사단 역할을 자체적으로 담당하는 것보다, 제3의 감사자들에게 미 연방정부의 승인 도장을 배포할 자격을 부여해 전국 규모로 시스템이 돌아갈 수 있도록 만드는 것이 더 나은 방법이다.
셋째, 국회 및 산업계와 협업하는 기관으로서 NIST는 조직들이 관련 계량 정보를 공유할 수 있도록 시장 및 법률 부문에 각각 필요한 인센티브들을 개발하고 이에 상응하는 인프라도 구축해야 한다. 예컨대, NIST나 비영리단체가 관리하는 공개 데이터베이스라든지 산업계 관련 정보라든지 하는 것을 말한다. 민간 조직이 데이터베이스에 제출하기로 선택한 모든 데이터는 반드시 자발적인 결과여야 하며, 정제되고 익명으로 처리돼야 한다. 기업들은 데이터를 제출하는 것과 관련해 어떤 법적인 처벌도 받지 않을 것이라고 100% 확신할 수 있어야 한다.
이런 노력들이 제대로 시행되면, 사이버 보안 영역에 완전히 새로운 접근법이 생기고, 박차를 가하게 될 것이다. 시장이 주도하고 데이터가 받쳐주는 그런 새로운 접근법이 힘을 받는 것이다.
CISO는 기업의 수행 정도를 측정하는 데 일관된 계량 기준을 갖게 될뿐더러 향후 발전을 위한 산업적 기준까지도 갖게 될 것이다. 요즘 나오는 관리비 청구서를 보면 옆집 에너지 사용량이 포함돼 있듯이, CISO 역시 유사한 규모나 분야의 조직 정보에 기초해서 자사 시스템 패치에 평균 시간이 얼마나 걸리는지 알게 될 것이다.
정책 입안자들은 사이버 보안 정책을 입안할 때 더 확실한 정보들을 갖게 될 것이다. 지금으로서 정책 입안자는 각기 다른 지표를 가진 개별 업체들과의 미팅에 의존할 수밖에 없다. 필자가 제시한 해결책으로 이런 문제를 해결할 수 있다. 업계 최고들이 구축하고, 오늘날 위협 환경에서 무엇이 더는 허용되면 안 되는지 보여주는, 실제 세상에서 나온 증거들이 뒷받침돼주는 그런 정책들을 만들 수 있을 것이다.
빠르게 성장 중인 사이버 보험 시장도 혜택이 크다. 사이버 보안을 측정하는 표준 프레임워크와 계량 기준이 있으면, 보험업자는 조직 위험을 더 잘 평가할 수 있고 표준화한 보고 절차를 개발할 수 있다. 기업들이 미국 증권거래위원회(SEC)에 연차보고서를 제출하는 것처럼 말이다.
이런 접근법이 성공하려면 당연히 조직들부터 자사 네트워크에 대한 핵심 계량 정보에 접근할 수 있고, 그걸 제 시간에 정확한 방법으로 수행할 수 있어야만 한다. 많은 조직이 이와 관련해 분명히 발전하고 있긴 하지만, 그래도 여전히 많은 조직들이 이런 정보를 수집하기 위해 소프트웨어 솔루션을 도입해야만 할 때가 올 것이다.
침해 사건이 매우 많이 발생하는 것에서 알 수 있듯, 현재 사이버 보안에 대한 접근법은 실패하고 있음이 분명하다. 우리에게 필요한 건 더 많은 규제를 만드는 것이 아니라, 더 많은 정보와 그런 정보에 더 잘 접근할 수 있는 방법을 확보하는 것이고, 기업과 산업 전반에서 정보를 수집하고 비교할 수 있는 프레임워크를 만드는 것이다. 그걸 해낸다면 우리는, 우리 경제가 믿고 의지할 만한 네트워크와 기기를 확보하는 먼 길을 함께 걸어 나갈 수 있을 것이다.
[국제부 문가용 기자(globoan@boannews.com)]
[국제부 오다인 기자(boan2@boannews.com)]
35만명 보안 담당자의 생각 알아보고, NIST의 보안 측정 방안 마련 계획 이해하기
[보안뉴스 국제부] 워너크라이 때문에 ‘나도 패치 안 했는데 너도 그랬구나’라면서 사용자들은 ‘위아더월드’를 불렀다. 보안 담당자들은 ‘회사 시스템을 최신으로 유지하는 게 나만 힘든 줄 알았는데, 다들 그랬구나’라고 또 동질감을 맛 봤다. 물론 이미 알고 있던 것들이지만 이렇게까지 적나라하게 ‘다 같이 못하고 있었다’는 게 드러난 경우는 없었다. NSA의 해킹 툴이 공개되었으니 앞으로 워너크라이를 웃도는 사고가 더 많이 터질 것이라는 예견들이 꼬리를 물고 등장하며, 워너크라이는 커다란 위기의 예고편과 같은 사건이 되어 버렸다. 그런 때에 보안 업계 종사자들 사이에 기묘한 동병상련의 흐름이 확인된 건 ‘공동 대응’이 필수일 미래에 있어 나름의 수확이라고 볼 수 있다.
▲ 우리 사실 다 사정이 비슷했어[이미지=iclickart]
그래서 이번 주말엔 커다란 사고로 스케치된 유대감에 색을 덧대보려고 한다. 자기가 속한 단체를 지키는 보안 담당자들로서 평소 생각하고 걱정하고 고민하던 것들을 짚어보고, 다른 보안 담당자들은 어떻게 생각하고 해결해나가고 있는지 알아볼 수 있다면, 이것 또한 커다란 위기가 예견된 미래를 위한 대비책이 될 수 있을 것이다. 명실공히 세계 최고의 정보보안 교육기관인 (ISC)2가 세계 여러 곳에서 활동하고 있는 정보보안 담당자 35만 명을 만났고, 그들의 생각을 물었다. 당신이 35만 1번째 보안 담당자다. (ISC)2가 물어보는 것에 답하고, 그 답을 35만 명의 동료들과 비교할 수 있게 기사를 구성했다. 또한, 그 답변들로부터 우리는 어떤 결론이나 고민거리를 얻어낼 수 있는지도 가미했다. 여유로운 주말, 이 기사가 35만 1번째의 수많은 보안 담당자들에게 입체적인 읽을거리가 되기를 바란다.
Q1. 지금 소속된 단체의 정보보안 상태에 얼마나 자신감이 있으신가요?
a) 자신감? 하나도 없다.
b) 아주 약간의 자신감이 겨우 있다.
c) 어느 정도 자신 있긴 하다.
d) 매우 자신 있다.
e) 대단히 큰 자신감을 가지고 있다.
자신감은 매우 객관적인 지표는 아니지만, 무슨 일을 하던 중요한 심리적인 요소다. 사이버 공격이 만연한 현재 상황에서 보안 전문가의 자신감은 기업 전체의 진취성과도 연결이 되는 문제다. 아래로 이어지는 설문을 진행하기 전에 이 자신감 문제부터 들여다보도록 한 건 바로 이 점, 정보보안이 ‘사업 영역’과 점점 불가분의 관계로 변해가고 있기 때문이다.
해외의 35만 명 보안 전문가들은 자신이 속한 기업의 정보보안 상태에 대해 그다지 큰 자신감이 없는 것으로 나타났다. 4%는 ‘정말 자신 없다’고 답했고, 11%는 ‘약간의 자신감만이 있을 뿐’이라고 답했다. 47%가 ‘어느 정도는 자신 있다’고 답해, 결국 응답자의 62%가 자기 회사 보안에 대해 높아봐야 그저 그런 수준의 자신감만 가지고 있음이 나타났다. ‘매우 자신 있다’는 답을 한 전문가는 31%, ‘대단히 큰 자신감을 가지고 있다’고 답한 응답자는 7%였다.
Q2. 데이터센터, 네트워크 방어선, 엔드포인트 세 가지 부분에서 지금 소속된 단체의 실제 정보보안 능력치는 어느 정도라고 생각하나요?
a) 데이터센터 : 0점~100점
b) 네트워크 방어선 : 0점~100점
c) 엔드포인트 : 0점~100점
모바일과 사물인터넷이 만연한 현대의 네트워크 환경은 결코 간단치 않다. 안전을 강화하려고 한다면 지금 변화의 방향이 그리 달갑지만은 않다. 현대의 네트워크 환경을 크게 데이터센터, 네트워크 방어선, 엔드포인트로 나눴을 때 보안 전문가들은 어느 정도의 ‘보안 점수’를 주고 있을까? 이번 설문을 통해 나온 평균 점수는 데이터센터가 73점, 네트워크 방어선이 70점, 엔드포인트가 60점을 받았다. 결국 네트워크 중심부에서 바깥으로 갈수록 보안이 허술해진다는 걸 알 수 있다. 이는 곧 기업의 재산과 직원들의 사유 재산을 강화한다는 것의 어려움에도 차이가 있다는 걸 보여주는 지표다.
Q3. 앞으로 1년 동안 귀사가 사이버 공격에 침해당할 확률이 어느 정도라고 예상하십니까?
a) 전혀 가능하지 않다
b) 아주 약간의 가능성이 있다
c) 어느 정도의 가능성이 있다
d) 높은 가능성이 있다
e) 반드시 당할 것으로 본다
1번 질문과 연결될 수 있는 것인데, 절반 이상인 54%가 공격 가능성이 있다고 점쳤다. 더 세분화해서 보자면, 어느 정도 가능성이 있다고 답한 응답자는 31%, 높은 가능성을 본 응답자가 16%, 반드시 당할 것이라고 보는 보안 전문가가 7%였던 것이다. 아주 약간의 가능성이 있다는 응답자는 32%였고, 전혀 없다는 자신감을 표출한 응답자는 14%였다. 자신감이 적은 응답자가(1번 설문) 62%였는데, 공격 가능성을 점친 이는 54%에 그쳐 일부 전문가들 사이에 ‘막연한 희망’이 있음을 알 수 있었다. 1번 설문에서 짚어봤던 나의 자신감에 막연한 희망이 섞이지 않았나 점검해보는 것도 이 설문을 좀 더 의미있게 만들어 줄 것이다.
Q4. 다음 세 가지 유형의 사이버 공격들 중 가장 걱정되거나 성가신 것을 순서대로 적어보세요.
a) 멀웨어 공격
b) 악성 내부자 / 부주의한 내부자
c) 피싱 공격
사이버 공격이 다양해지고 영리해진다고 하지만 현대의 기업들 대부분을 괴롭히는 가장 큰 공격 유형은 위 세 가지로 정리가 가능하다. 파일레스 공격이 유행하는 듯 하지만 아직도 대세는 멀웨어를 동반한 공격이고, 내부자의 실수나 변심에 의한 배신은 태고적부터의 불안 요소다. 게다가 ‘피싱’은 어지간한 어르신들께서도 알 정도로 대중화된 사기 수법이기도 하다. 보안 전문가들 중 피싱 공격이 가장 걱정된다고 꼽은 사람은 37%, 악성 내부자를 꼽은 사람은 33%, 멀웨어를 선택한 이는 32%였다. 다 그만그만하다.
Q5. 귀사가 사이버 공격을 당하고 나서 복구에까지 걸린 시간은 어느 정도나 되나요?
a) 몇 분 정도 걸렸다
b) 몇 시간 정도 걸렸다
c) 하루 정도 걸렸다
d) 일주일 정도 걸렸다
e) 1달 정도 걸렸다
f) 3달 정도 걸렸다
g) 3달 이상 걸렸다
현대 정보보안의 가장 큰 과제는 ‘빠르게 탐지하고 빠르게 대응해서 빠르게 복구하는 것’이다. 그러나 대응과 복구를 빠르게 하려면 빠르게 탐지하는 게 우선인데, 이 부분이 좀처럼 개선되지 않는다. 조사 결과 유출 사실을 탐지하는 데에만 평균 200일이 걸린다고 한다. 불행 중 다행은 일단 탐지만 되면 후속 조치가 나름 빨리 이루어진다는 것인데, 이번 설문에 참여한 전문가들 중 절반 가까이(44%)가 몇 시간 내에 복구 완료했다고 답했다. 보다 정확히 말하면 ‘수 분 걸렸을 뿐’이라고 답한 이가 13%, ‘수 시간 걸렸을 뿐’이라고 답한 이가 31%였다. 그밖에 하루 걸렸다는 응답자는 25%, 1주는 20%, 1달은 7%, 3개월은 3%, 3개월 이상은 1%였다. 물론 이는 철저히 보안 담당자들의 ‘응답’에 기초한 데이터라, 실제와 거리가 있을 수 있다.
Q6. 과거의 사이버 보안 사고가 귀사에 준 부정적인 영향에는 어떤 것들이 있나요? 순서대로 적어보세요.
a) 정상 사업 활동에의 지장
b) 직원들의 생산적인 활동 저해
c) IT 자원의 증대된 소비
d) 고객 대응에 소용되는 시간 증가
e) 수익 감소 / 일부 사업 폐지
f) 기밀 분실 및 도난
g) 지적 재산 손실 및 침해
h) 법정싸움
i) 벌금
사이버 공격을 막아야 하는 9가지 이유라고 볼 수 있는 항목들이다. 이중 CEO들이 가장 심각하게 느낄 부분은 수익 감소나 지적 재산 손실, 혹은 어마어마한 벌금 정도일 것이다. 하지만 보안 전문가들은 느끼는 가장 큰 손실은 a)~i)의 순서대로 집계됐다. 정상 사업 활동에 지장이 온 게 가장 큰 손실이라고 느낀 응답자는 41%였고, 나머지는 순서대로 33%, 29%, 25%, 9%, 8%, 7%, 4%, 3%였다. 이 부분에 대해서는 CEO 및 사업 운영에 직접 관여하는 사람들의 응답과 비교해보면 더 재미있을 텐데, 현장에서 운영진들이 느끼는 것과 보안 담당자로서 자신이 느끼는 것의 차이를 좁혀갈수록 ‘얘기가 통한다’는 느낌을 받을 수 있을 것이다.
Q7. 정보보안을 강화하는 데에 있어 가장 큰 장애물은 무엇인가요?
a) 직원들의 보안 인식이 낮다
b) 예산이 모자라다
c) 인재가 모자라다
d) 부서 간 협업이 잘 되지 않는다
e) 운영진들의 지원이 부족하다
f) 솔루션들 간 호환성이 부족하다
보안 담당자로서 실제 근무하는 데에 있어 애로사항을 꼽는 질문이기도 한데, 이는 근무 환경에 따라 다른 답이 나올 수밖에 없고, 답으로 나온 부분이 가장 시급한 해결과제이자 심각한 취약점이라고 볼 수 있다. 35만 명의 보안 전문가들의 답도 항목 별로 고루 분포되어 있었는데, 인재 부족과 예산 부족이 나란히 45%를 차지해 1위로 꼽혔다. 돈이 없고 사람이 없어 뭘 할 수가 없는 게 현재 정보보안 업계의 현실이다. 다음으로는 직원들의 낮은 보안 인식이 꼽혔고(40%), 부서 간 협조 부족이 뒤를 이었다(32%). 그밖에 운영진 지원 부족이 31%, 솔루션 간 낮은 호환성이 29%, 너무 많은 데이터가 24%, 맥락적인 정보 부족이 18%를 기록했다.
Q8. 예산 결정권이 주어진다면 보안 상황 개선을 위해 어디에 주로 투자하고 싶은가?
a) 사람을 추가로 고용한다
b) 더 나은 솔루션을 추가로 구매한다
c) 보안을 전문으로 하는 업체와 파트너십을 맺는다
d) 현재 보안 인력과 IT 인력을 전문가 수준으로 교육시킨다
7번 설문이 ‘현 상황의 문제점’을 묻는 것이었다면 이 질문은 보안 전문가로서 생각하는 해결책을 묻는 것이다. 위에서 인재 부족이 1위에 꼽혔으므로 그와 관련된 추가 고용이나 교육이 꼽힐 것으로 보이는데, 35만 명의 응답자들 중 절반 이상인 54%가 현재 보안 인력을 교육시키겠다고 답했다. 사람이 부족한 것이 현실인 상황에서, 실제로 예산이 있어도 사람을 구하지 못하는 현장의 어려움이 반영된 것인지 추가 고용을 해결책으로 꼽은 응답자는 32%에 그쳤다. 솔루션으로 해결하고자 하는 응답자는 47%였고, 전문가에게 맡기겠다는 응답자는 41%였다. IT 부서 근무자들에게 CISSP 등의 국제적인 자격증 공부를 시킬 계획을 가진 운영진들이 실제 적잖게 존재하고 있기도 하다. 이런 때 평소 따고 싶었던 자격증에 회사 지원을 받아 도전해보는 건 어떨까?
Q9. 앞으로 1년 사이에 보안 예산에 변화가 있을 예정인가요?
a) 늘어날 계획이다
b) 작년 그대로로 유지될 예정이다
c) 오히려 줄어들 예정이다
인재 문제는 교육이나 추가 고용, 솔루션 추가 등의 방법으로 어느 정도 보완이 가능하다. 하지만 예산은 회사가 돈을 잘 벌어야만 해결이 가능해진다. 보안 담당자로서는 예산을 위에서 잘 배정해주기만을 바랄 수밖에 없는 문제이기도 하다. 이번 설문 응답자의 52%는 ‘증대 계획’이 있음을 밝혔는데, 평균 증가량은 21%였다. 반면 작년과 똑같을 것이라는 응답자는 40%였고, 오히려 줄어들 것이라고 밝힌 응답자는 8%에 그쳤다. 남의 회사 사정이라고 볼 수도 있지만 설문 참여자가 워낙 많고, 절반 이상의 기업에서 21%나 예산을 올렸다는 건 일종의 큰 흐름이라고 볼 수도 있게 해준다. 즉 지금은 남의 사정이지만 곧 나의 사정이 될 가능성이 엿보인다는 얘기다.
Q10. 현재 보안 예산은 어디에 주로 사용되고 있나요?
a) 데스크톱 PC 강화
b) 랩톱 및 모바일 강화
c) 외주 보안 서비스
d) 인력 교육
e) 클라우드 애플리케이션(SaaS)
f) 클라우드 인프라(IaaS, PaaS)
g) 데이터센터
h) 네트워크 보안
i) 모바일 기기 강화
대부분 기업들이 보안 예산을 올리고 있는 마당에, 보안 전문가들이 ‘예산 부족’을 제일 많이 꼽은 건 어떻게 이해해야 할까? 보안이라는 이름으로 쓸 곳이 많아지고 있다는 뜻이다. 다시 말해 보안이 세분화되고 있다는 뜻도 된다. 위 항목들을 보면 알겠지만 전통의 PC나 네트워크 등 과거의 보안 문제에도 돈을 투자해야 하고, 클라우드와 같은 신기술에도 신경을 쓰지 않을 수가 없다. 예산이 모자라다는 건 이 ‘균형 잡기’가 어렵다는 뜻으로도 읽을 수 있다. 35만 명의 보안 전문가들은 클라우드 인프라에 가장 많은 돈을 투자한다는 것으로 나타났다(33%). 클라우드 애플리케이션이 31%로 바로 뒤를 이어, 클라우드가 정말 대세이긴 하다는 사실도 설문을 통해 드러났다.
그밖에 외주 보안 전문업체 역시 31%를 기록했고, 인력 교육이 28%, 데이터센터가 24%, 모바일 기기가 23%를 차례로 기록했다. 네트워크 보안이 차지하는 비율은 21%였으며, 랩톱은 19%, 데스크톱은 15%를 차지했다. 기타로는 소셜미디어 관련 애플리케이션 보안에도 12%가 투자된다고 나타났다.
결론 : 수치화된 자료가 함께 일하는 밑바탕 된다 - 데이비드 다마토
당신이 큰 은행의 CISO라고 상상해보자. 당신은 이제 막 새 보안 프로그램을 시행한 참이고, 그 프로그램이 다른 경쟁업체에 비해 얼마나 더 강력한지 확인하고 싶다. 확인이 쉬울까? 그렇지 않은 게 현실이다.
안타깝게도 현재, 사이버 보안에는 누구나 이해할 수 있는 미터나 제곱미터, 달러와 같은 단위도 없고, 수치화된 자료를 구축할 수 있는 표준도 없다. 내가 얼마나 잘하고 있는가에 대한 정확한 비교가 될 수 없다는 것이다. 잘 해봐야 가늠일 뿐. 대형 컨설팅 회사를 통해 이런 조언을 구할 수도 있겠지만, 그런 곳들도 계량적인 정보 자체가 너무 없는 데다 있어도 각기 다른 형태로 있다는 사실을 발견할 수 있을 것이다.
아주 대안이 없는 건 아니다. 미국 상무부가 추진하고 기업 및 정부 기관이 광범위하게 채택한 미국표준기술연구소(NIST)의 사이버 보안 프레임워크는 이런 기준들을 정하는 데 이상적인 메커니즘이다. 올해 초, 이 프레임워크의 업데이트 버전이 나왔고 4월까지 관련 코멘트를 받기도 했는데, 여기에는 계량 및 측정에 대한 개별 섹션이 추가됐다.
그러나 미국의 ‘표준’과 ‘기술’을 연구한다는 NIST조차 이 문제를 충분한 수준에서 다루진 못했다. 이제 NIST는 소집 권한을 활용해 산업 전반을 아울러 이해관계자들을 한 자리에 모으고 공통의 계량 기준을 개발해야 한다. 또한 제3의 집단을 통해 그 결과를 감사하도록 하며, 최종 정보를 공유하는 방법도 개발해야 한다. 이는 역사상 유례없는 일로, NIST는 보안을 측정한다는 개념을 사상 최초로 정립해야 하는 역할을 맡게 되었다.
에너지 부문을 한 번 보자. 사업주는 자사 건물을 보다 효과적으로 운영하기 위한 방법들을 계속 찾아 왔다. 하지만 오랜 시간, 비슷한 규모나 지역의 건물주가 에너지를 어떻게 쌓아두고 있는지 사업주가 알 방법은 전혀 없었다. 이에 미국 에너지부가 한 가지 대책을 제시했다. 자사의 건물 포트폴리오 정보를 제출한 조직이라면 누구나 유사 규모의 건물과 공간 사용 정보를 분석 및 비교한 정보에 접근할 수 있도록 한 것이다. 이런 정보는 익명으로 나타나며, 실제 생활이 이뤄지는 건물 및 에너지 정보를 볼 수 있는 데이터베이스로 구축됐다. 이를 통해 데이터 사용자는 시장 흐름과 조건을 더 잘 이해할 수 있게 됐다. 정보가 있는 사용자는 더 잘 아는 상태에서 투자 결정을 내릴 수 있다.
NIST는 사이버 보안 계량에 대해서도 같은 방법을 쓸 수 있다. 해당 분야에서 미국 국토안보부가 준비 작업을 했었기 때문에 NIST는 이들과도 협업해야 한다. 결코 쉽지 않은 일인 것은 맞다. 사이버 보안 정보가 민감한 만큼 수없이 많은 복잡한 문제들이 함께 해결돼야 하겠지만, 사이버 보안 계량이 향후 제공할 가치가 엄청나므로 이를 시도해볼 만한 가치는 충분하다. 사이버 보안에 대한 계량 체계를 구축하는 것은 CISO나 정책 입안자부터 사이버 보험 회사까지 모든 사람들이 실제 세상의 정보를 접하고, 이를 바탕으로 결정하고, 또 외부에 알리는 걸 가능케 한다. 이에 NIST는 다음과 같은 노력을 할 것으로 보인다(혹은 희망한다).
첫째, NIST는 모든 조직이 자사의 IT 및 사이버 보안 역량 파악에 힘쓸 수 있도록 핵심적인 공통 계량 기준을 제시해야 한다. 힘에 부치는 일이나 의무적인 일을 부과할 필요는 없다. 다만 조직이 사이버 보안의 가장 기초적이고 의미 있는 요소들은 반드시 다루도록 해야 한다. 관리되거나 관리되지 않는 자산의 비율은 얼마나 되는지, 사고 발생 시 회복 속도는 얼마나 되는지, 조직 네트워크 전체를 패치하는 데는 시간이 얼마나 걸리는지와 같은 문제들 말이다. NIST는 보안 계량 문제를 개발하고 합의하는 데 산업계와 정부를 함께 개입시켜야 한다.
둘째, NIST는 조직의 사이버 보안 계량이 정확한지 확인하는 제3의 감사단을 구축해야 하며, 이 감사단이 사용할 표준들을 개발해야 한다. NIST가 감사단 역할을 자체적으로 담당하는 것보다, 제3의 감사자들에게 미 연방정부의 승인 도장을 배포할 자격을 부여해 전국 규모로 시스템이 돌아갈 수 있도록 만드는 것이 더 나은 방법이다.
셋째, 국회 및 산업계와 협업하는 기관으로서 NIST는 조직들이 관련 계량 정보를 공유할 수 있도록 시장 및 법률 부문에 각각 필요한 인센티브들을 개발하고 이에 상응하는 인프라도 구축해야 한다. 예컨대, NIST나 비영리단체가 관리하는 공개 데이터베이스라든지 산업계 관련 정보라든지 하는 것을 말한다. 민간 조직이 데이터베이스에 제출하기로 선택한 모든 데이터는 반드시 자발적인 결과여야 하며, 정제되고 익명으로 처리돼야 한다. 기업들은 데이터를 제출하는 것과 관련해 어떤 법적인 처벌도 받지 않을 것이라고 100% 확신할 수 있어야 한다.
이런 노력들이 제대로 시행되면, 사이버 보안 영역에 완전히 새로운 접근법이 생기고, 박차를 가하게 될 것이다. 시장이 주도하고 데이터가 받쳐주는 그런 새로운 접근법이 힘을 받는 것이다.
CISO는 기업의 수행 정도를 측정하는 데 일관된 계량 기준을 갖게 될뿐더러 향후 발전을 위한 산업적 기준까지도 갖게 될 것이다. 요즘 나오는 관리비 청구서를 보면 옆집 에너지 사용량이 포함돼 있듯이, CISO 역시 유사한 규모나 분야의 조직 정보에 기초해서 자사 시스템 패치에 평균 시간이 얼마나 걸리는지 알게 될 것이다.
정책 입안자들은 사이버 보안 정책을 입안할 때 더 확실한 정보들을 갖게 될 것이다. 지금으로서 정책 입안자는 각기 다른 지표를 가진 개별 업체들과의 미팅에 의존할 수밖에 없다. 필자가 제시한 해결책으로 이런 문제를 해결할 수 있다. 업계 최고들이 구축하고, 오늘날 위협 환경에서 무엇이 더는 허용되면 안 되는지 보여주는, 실제 세상에서 나온 증거들이 뒷받침돼주는 그런 정책들을 만들 수 있을 것이다.
빠르게 성장 중인 사이버 보험 시장도 혜택이 크다. 사이버 보안을 측정하는 표준 프레임워크와 계량 기준이 있으면, 보험업자는 조직 위험을 더 잘 평가할 수 있고 표준화한 보고 절차를 개발할 수 있다. 기업들이 미국 증권거래위원회(SEC)에 연차보고서를 제출하는 것처럼 말이다.
이런 접근법이 성공하려면 당연히 조직들부터 자사 네트워크에 대한 핵심 계량 정보에 접근할 수 있고, 그걸 제 시간에 정확한 방법으로 수행할 수 있어야만 한다. 많은 조직이 이와 관련해 분명히 발전하고 있긴 하지만, 그래도 여전히 많은 조직들이 이런 정보를 수집하기 위해 소프트웨어 솔루션을 도입해야만 할 때가 올 것이다.
침해 사건이 매우 많이 발생하는 것에서 알 수 있듯, 현재 사이버 보안에 대한 접근법은 실패하고 있음이 분명하다. 우리에게 필요한 건 더 많은 규제를 만드는 것이 아니라, 더 많은 정보와 그런 정보에 더 잘 접근할 수 있는 방법을 확보하는 것이고, 기업과 산업 전반에서 정보를 수집하고 비교할 수 있는 프레임워크를 만드는 것이다. 그걸 해낸다면 우리는, 우리 경제가 믿고 의지할 만한 네트워크와 기기를 확보하는 먼 길을 함께 걸어 나갈 수 있을 것이다.
[국제부 문가용 기자(globoan@boannews.com)]
[국제부 오다인 기자(boan2@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
