요 몇 년 동안 보안 전문가들은 future-proof라는 말을 더욱 빈번하게 사용하기 시작했다. 현존하는 보안 정책이나 기술, 관습, 행태로는 미래에 벌어질 각종 사건들을 막을 수 없다는 걸 알아챘기 때문이다. 컴퓨터 바이러스를 막던 보안은 사회를 아우르더니 이제 미래에까지 닿으려 하고 있다.
[보안뉴스 문정후 기자] 디지털 기술이 생활 곳곳을 차지하고 있다. 게다가 계속해서 변하고 있기까지 하다. 그에 따라 과거와 오늘 지키던 보안 규정과 전략들은 빠르게 낡은 것으로 변모하고 있다. 보안에 대한 투자가 늘어나고 있음에도 보안 사고가 오히려 증가하는 것은 이 때문이며 사이버 보안이 좀 더 미래를 바라봐야 한다는 소리가 나오는 것도 이 때문이다. 미래를 담보하는 것, 즉 ‘future-proof’가 보안의 새로운 개념이 되어가는 중이다. 이 ‘future-proof’를 보안의 주요 테마로 집중적으로 논의되는 장이 마련된다. 오는 16~17일 대한민국 서울 코엑스에서 열리는 아시아 최대 규모 보안 콘퍼런스 ISEC 2024에서다.
[이미지 = gettyimagesbank]
보안 업체 아노말리(Anomali)는 “매일, 매분, 세계 어디선가 누군가 사이버 공격을 받고 피해자가 된다”고 강조하며 “누가 표적이 되어도 이상하지 않고, 공격의 피해는 갈수록 커져가고 있으며, 확고한 대응 체계가 반드시 있어야 한다”고 강조한다. “특히 많은 사용자나 소비자들의 데이터를 다루는 기업들에 있어 보안은 윤리적 의무이기까지 합니다.”
현재 상황은 어떤가?
다행히 기업의 리더들은 사이버 공격이 미칠 수 있는 위험성을 인지하고 있는 것으로 보인다. 아노말리가 800명 이상의 기업 수장들을 대상으로 조사했을 때 절반 이상이 “1년 만에 사이버 위협이 체감될 정도로 증가했다”고 답했다고 한다. 그 중 1/3은 “중요한 데이터가 1년 내에 유출될 수 있다”고 예상하고 있기까지 했다. 하지만 “위험하다”고 답한 응답자 중 2/3는 “우리 회사 데이터는 안전하다”고 자신하고 있었고, 30%는 완전히 자신하지는 못하더라도 “꽤 괜찮은 수준으로 데이터를 보호하고 있다”고 답했다. 위험을 인지하고 있긴 한데 기존 보안 체제에 자신감이 있다보니 실제 보안 강화를 하지 못하고 있다는 기업들의 현실이 나타나는 대목이라고 아노말리는 해석한다.
기업들의 넘치는 자신감에 비해 사이버 범죄 시장의 현황은 어떨까? “올해 사이버 범죄자들이 입힐 피해액은 전 세계적으로 약 8조 달러에 이를 것으로 예상됩니다. 이는 일본과 독일의 국가 경제 규모를 합친 것의 두 배에 해당하는 수치입니다. 미국과 중국에 이어 세 번째로 큰 규모이기도 하지요. 기업들은 방어에 자신감이 있지만, 실제로는 범죄자들이 큰 이득을 거두고 있는 게 현실이라는 뜻이죠. 뭔가 앞뒤가 맞지 않다는 걸 이런 자료만 봐도 알 수 있습니다. 피해액이 지나치게 산출되었거나, 기업들의 자신감에 근거가 빈약하거나 둘 중 하나입니다.”
기업들의 또 다른 리스크, 디지털 전환
미래를 불안하게 만드는 건 자꾸만 심각해져가는 사이버 범죄만이 아니다. 디지털 기술들의 숨가쁘게 빠른 발전 역시 지금으로서는 ‘리스크 요인’에 더 가깝다. 생성형 인공지능, 빅데이터, 사물인터넷 등과 같은 신기술을 쳐다만 보자니 경쟁에서 뒤쳐지고, 앞장서서 도입하자니 보안 구멍이 생기는 걸 예측할 수 없기 때문이다. “이런 신기술들의 가장 큰 특징은 대부분이 항상 온라인에 연결되어 있다는 것입니다. 즉 모든 요소들이 각자의 IP 주소를 보유하고 있지요. 이는 모두가 잠재적으로 공격의 통로가 될 수 있다는 뜻이 됩니다.” 아노말리의 설명이다.
[이미지 = gettyimagesbank]
“기술 분야에서 이뤄지는 혁신들이 우리의 삶을 편리하게 만드는 건 사실입니다. 하지만 동시에 공격자들의 나쁜 행위 역시 간편하게 만들어주고 있습니다. 우리에게도 좋은 건, 그들에게도 좋다는 겁니다. 특히 요즘은 생성형 인공지능을 범죄에 활용하려는 시도가 상상을 초월합니다. 그리고 그 결과 역시 과거의 그것과 비교가 안 될 정도로 정교하고 빠릅니다. 생산 향상을 위해 신기술을 연구하는 것도 벅찬데, 공격자들의 활용이라는 측면에서도 우리는 신기술을 연구해야 하는 상황입니다.”
그러면서 떠오르는 미래의 리스크, 법규
사이버 범죄는 해를 거듭하면서 더 많은 피해를 일으키고, 신기술은 오히려 공격자들에게 날개를 달아주는 결과가 나오니, 입법자들이 움직이기 시작했다. 민간 차원에서 자율적으로 기술을 연구해 해결책을 마련하지 못하니 다소 강제성이 있더라도 사회를 안전하게 지킬 수 있는 제도가 필요하다는 데에 많은 나라의 정책 입안자들이 동의하기 시작한 것이다. 그리고 이렇게 생겨나는 법규들은 기업들에 엄청난 부담감으로 다가온다. 법규를 지키는 것도 까다로운데, 어겼을 때 내야 하는 벌금도 천문학적인 수준에 이르는 게 보통이기 때문이다.
“여러 나라의 정부들이 사이버 공격과 관련된 위험을 완화하기 위해 새로운 정책을 만들고 법안을 제출하는 중입니다. 사이버 공격이 사회와 경제 전반에 지대한 영향을 미치기 시작했기 때문입니다. IT 업계 혹은 보안 업계에서 알아서 못하니 정계가 나선 것이죠.” 그러면서 아노말리는 나라와 지역마다 법규의 세세한 내용들은 다르지만 대체적으로 다음과 같은 목적을 가지고 있다고 정리하고 있다.
1) 사이버 보안 강화 및 대응 조치를 표준화 한다
2) 책임 소재를 확립하고, 투명성을 확보하며, 지식 공유를 활성화시킨다
3) 초연결 시대(사회)에 사이버 공격의 영향력을 제한시키는 방법을 마련한다
4) 사이버 사건이나 위협에 대해 신속히 공유할 수 있는 상호 경고 체제를 수립한다
5) 최신 기술을 활용하여 미래 사이버 위협을 최대한 차단한다
6) 보안 규제를 준수하지 않을 때 엄중하게 처벌한다
유럽과 미국의 주요 규제
이런 움직임에 있어서 가장 선두에 서 있는 건 유럽과 미국이다. 이 두 지역에서는 이미 수년 전부터 무거운 내용의 법안들이 제출되고 채택되고 시행되고 있다. 그 중 미래를 대비하려는 보안 전문가들이나 기업들이 반드시 알아두어야 할 것들은 다음과 같다.
[이미지 = gettyimagesbank]
1) 유럽연합 사이버 복원력 강화를 위한 규제 : 2016년 유럽연합이 채택한 네트워크 및 정보 보안 관련 규정으로, 국가 사이버 보안 역량 강화, 국가 간 협력 체제 구축, 사회기반시설을 위한 보안 감독 체제 수립 등의 기틀을 마련했다. 2021년에 최신화가 됐다. 이전 버전에 비해 공급망 공격을 좀 더 상세히 다루고 있다. 처벌이 더 엄격해지기도 했다.
2) 유럽연합 디지털 운영 복원력 법 : 금융 분야와, 금융 기관들에 IT 기술과 서비스를 제공하는 업체들 모두를 아우르는 것으로, 위험 관리 및 완화를 위해 해야 하는 일들을 표준화 하기 위해 마련됐다. 전통적인 금융 조직 외에도 대체 투자 회사, 암호 자산 서비스 업체 등 기존에 금융 규제에 포함되지 않았던 조직들까지도 지켜야 하는 법이라는 특징을 가지고 있다. 유럽연합 내에서 2025년부터 시행될 예정이다.
3) 유럽연합 디지털 시장법 및 디지털 서비스법 : 유럽연합 집행위원회가 두 가지 법안을 제출했는데, 바로 디지털 시장법과 디지털 서비스법이었다. 디지털 서비스를 사용하는 사람들을 위험으로부터 보호하기 위한 것이 디지털 서비스법이고, ‘게이트키퍼’라고 분류된 대형 기술 기업들이 공정하게 경쟁하도록 하는 것이 디지털 시장법이다. 둘 다 투명성과 데이터 프라이버시 문제를 아우르고 있어 기업들이 꼼꼼하게 이 두 법 모두를 검토해야 한다.
4) 유럽연합 일반 데이터 보호 규정 : 이제 GDPR로 더 잘 알려진 개인정보 보호법으로, 2018년 5월부터 시행되고 있다. 유럽연합 시민들의 개인정보를, 유럽연합 외부 지역으로 내보낼 때 지켜야 할 것들과, 그 문제로부터 파생되는 다른 관련 문제들을 다루고 있다. 자기의 개인정보는 기업이 아니라 자기가 스스로 제어할 수 있어야 한다는 것을 골자로 삼고 있으며, 따라서 이를 어기는 기업들에 엄중한 책임을 묻는 것으로 유명하다. 무시무시한 벌금이 특징이다.
5) 유럽연합 스위프트 고객 보안 프로그램 : 은행 간 네트워크인 스위프트(SWIFT)를 보호하기 위한 규정이다. 2016년부터 시행되기 시작했다. SWIFT라는 플랫폼(온프레미스와 클라우드 모두)에 접속할 때 보다 강화된 인증 방식을 사용하도록 명시하고 있다. 또한 SWIFT를 사용하려면 고객 보안 통제 프레임워크를 준수해야 하는데, 준수의 수준을 증명할 서류를 매년 꾸려서 제출해야 한다.
6) 미국 사이버 보안 강화법 : 2022년 3월 바이든 미국 대통령이 이 법안에 서명함으로써 제정됐다. 주요 사회 기반 시설의 운영자는 중대한 사이버 사건이 발생했을 때 72시간 이내에 미국 보안 전담 기관인 CISA에 보고해야 한다는 내용을 담고 있다. 이는 민간 부문과 유관 기관의 보고 체계와 순서를 확립시켰다는 데 의의가 있는데, 민관 협조를 통해 국가 사이버 보안 능력을 강화시키는 데 집중한다는 바이든 행정부의 특성이 고스란히 드러난다.
7) 미국 결제카드 산업 데이터 보안 표준 : PCI DSS라는 줄임말로도 잘 알려진 규정으로 신용카드 사기를 줄이기 위해 2004년 처음 도입됐다. 카드 사용자의 개인정보 및 민감 정보를 보다 안전하게 처리할 것을 카드사와 카드 정보 처리 기술 제공 업체들에 요구하는 내용이다. 지금은 신용카드 관련 업계에서 하나의 표준으로 자리를 잡은 지 오래다. 최신 버전은 2022년 3월에 발표된 것이므로, 혹여 PCI DSS를 점검해야 한다면 업데이트 날짜부터 확인하는 게 좋다.
8) 미국 증권거래위원회의 사이버 보안 위험 관리, 전략, 거버넌스 및 사건 공개 규정 : 대부분의 상장 기업들은 2023년 12월 15일 경에 회계 연도가 종료된다. 이 때 연차 보고서를 작성해 제출해야 하는데, 여기에 사이버 사건과 관련된 내용을 포함시키고 공개해야 한다는 게 이 규정의 내용이다. 사이버 위험을 기업들이 어떤 식으로 식별, 평가, 관리하는지를 증권거래위원회에서는 알아야 하겠다는 뜻이다.
무서워지는 법규, 기업들에 어떤 의미인가?
기술이 빠르게 변화하고, 그것이 여러 가지 의미로 리스크로서 작용하는 것을 민간 부문에서 제대로 막지 못해서 제도들이 더 엄격해진다는 이 흐름은, 결국 각 기업이 보안 기능을 강화해야 한다는 뜻으로 귀결된다. “싫든 좋든 법에 따라 각 기업들은 이전보다 더 빈번하게 사이버 보안 감사를 해야 할 것이며, 이를 통해 더 많은 취약점을 파악하고 해결해야 할 것입니다. 이런 흐름은 이미 형성되고 있으며, 시장에서는 보안 감사에 대한 수요가 높아지는 중입니다. 보안성을 보증하는 서비스도 더 필요하게 되고 있고요. 미래에는 사이버 보안 감사와 평가를 전문으로 하는 시장이 금융 감사 시장 정도로 커질 것으로 예상하고 있습니다.”
[이미지 = gettyimagesbank]
감사 횟수만 늘린다고 능사가 아닐 것이다. 기업이 해야 할 일은 그 외에도 산적해 있다. “보다 본질적으로는 사이버 보안 강화에 있어 보다 능동적인 접근 방식을 취해야 한다고 표현할 수 있습니다. 사건이 터지면 수습하는 식으로 보안을 강화하는 건 더 이상 통하지 않을 거라는 겁니다. 특히 future-proof, 즉 미래를 고려한 보안으로서는 ‘외양간 잃고 고친다’는 접근 방식을 취할 이유가 없습니다. 선제적으로 문제를 파악하고 고치는 게 새로운 놈(norm)이어야 합니다.” 그러면서 아노말리는 다음과 같은 다섯 가지 필수 조치를 제안했다.
1) 식별 : “모든 데이터의 출처, 각 데이터의 중요도, 그러한 데이터들을 보관하고 있는 시스템의 잠재적 취약점을 식별하고 매핑까지 해야 합니다. 또한 조직 내 모든 구성원들의 특성, 책임, 역할을 고려하여 위험 분석도 실행해야 합니다. 공급 업체들도 고려되어야 하는 것은 당연합니다. 규모가 큰 조직이라면 자동화 기술을 동원해야 할 겁니다만, 식별된 내용들을 서로 연결지어 통찰을 얻어내려면 사람의 검토가 필요합니다.”
2) 예방 : “보안은 위험을 사전에 차단했을 때, 즉 사건을 예방했을 때 진정한 가치를 갖게 됩니다. 그러므로 예방을 위한 노력을 게을리 해서는 안 됩니다. 무엇보다 사이버 공격이 실제로 들어오더라도 핵심 사업 기능이 금방 복구되거나 아무렇지 않게 유지되는 것을 목표로 하는 게 중요합니다. 그러려면 각 시스템을 보호하는 것은 물론 각 구성원들을 대상으로 한 보안 교육도 꼼꼼하게 해야 합니다.”
3) 탐지 : “아무리 예방을 철저히 한다해도 100% 효과를 거둘 수는 없습니다. 언젠가는 뚫리고, 한 번 정도는 공격을 허용하게 됩니다. 그러므로 예방을 하면서도 만일의 사태에 대비해 이상한 점을 재빨리 파악할 수 있도록 탐지 기능도 발달시켜야 합니다. 위협 탐지 모니터링을 실시간으로 하는 게 큰 도움이 됩니다. 뿐만 아니라 ‘공격자가 우리 회사를 공격한다면, 그 목적과 방법은 무엇이 되겠는가?’를 상상하고 방어 시나리오를 미리 갖추는 것도 중요합니다. 보안 담당자가 아니라면, 문제 발생시 누구에게 제일 먼저 보고해야 하는지를 숙지해야 합니다.”
4) 대응 : “공격이 실제로 발생하면, 해당 시스템이나 망을 신속하게 분리하고 위협을 무력화시켜야 합니다. 망을 중요도나 기능에 따라 분리시키는 것은 바로 이러한 대응의 효과를 높이기 위해서입니다. 멀웨어가 빠르게 퍼지는 걸 막고, 가능하면 격리까지 시키려는 것이죠. 또한 별도의 망들에서 일어난 일들을 담당자가 빠르게 알아야 대응도 신속해집니다. 각 담당자들 간 소통의 훈련이 있어야 하는 이유입니다.”
5) 복구 : “일반 기업들에 있어 사이버 보안의 가장 중요한 존재의의는 ‘신속한 사업 정상화’입니다. 일반 기업 입장에서 우리 보안 팀이 멀웨어 샘플을 찾았다거나, 복구 키를 만들어냈다거나 하는 성과는 그리 중요하지 않습니다. 마비된 우리 판매 채널이 몇 시간 만에 재가동되느냐가 훨씬 더 중요합니다. 그렇기 때문에 항상 데이터를 백업해두는 것이 좋습니다. 백업 데이터가 방어에 있어 만능은 아니지만, 복구의 시간을 크게 단축시켜주는 것은 사실입니다.”
CISO가 해야 할 일
조직 구성원 전체가 해야 할 일들이 분명히 있지만, 아무리 그래도 보안은 보안이다. Future-proof를 위해 CISO들이 해야 할 일들이 따로 없다면, 그건 거짓말이다. “보안이 미래를 대비해야 한다고 하는 이 때 CISO의 역할은 그 어느 때보다 중요해지고 있습니다. 미래를 보호하려면 미래를 예측할 수 있어야 하고, 그러려면 현재의 흐름을 민감하게 파악해야 하는데, 그걸 보안 비전문가들에게 하라고 할 수 없습니다. 그건 CISO의 몫입니다.” 그래서 아노말리는 CISO의 할 일을 다음과 같이 정리한다.
[이미지 = gettyimagesbank]
1) 기본기 다지기 : 기본이 탄탄해야 예측할 수 없는 미래의 상황에도 최대한 빠르게 적응할 수 있다는 건 누구나 아는 상식이다. 건강에도 통용되는 말이지만, 보안이라는 분야에 입각해 말해도 틀리지 않다. 아노말리는 이것을 좀 더 구체화 하고 있는데, ‘규정 준수’, ‘위험 관리’, ‘인프라 선택’, ‘보안-IT 기능 간 협력 체계 강화’가 바로 그것이다.
“규정을 준수하는 건 설명이 필요 없지요. 모든 기업들의 가장 기본 덕목입니다. 위험을 관리하는 건 좀 더 능동적으로 구멍을 찾아 해결하는 것을 말하고, 인프라 선택은 온프레미스나 클라우드, 혹은 하이브리드 중 가장 안전하면서도 생산성을 높이는 걸 CISO가 결정해야 한다는 걸 의미합니다. 신기술을 안전의 측면에서 검토하려면 보안과 IT 부서 간 협력이 절실하고요.”
2) 능동적 대응 : 앞서 능동적으로 취약점을 찾아 미리미리 해결하는 게 능동적 보안이라고 했는데, 사실 CISO라면 그것보다 조금 더 능동성을 발휘해야 한다. 그건 공격자들이 자주 사용하는 전술과 기술을 미리 알아두는 것이다. 즉 해커들 사이의 최신 유행을 민감하게 캐치할 줄 알아야 한다는 뜻이다. 공격자들도 유행에 따라 전술과 기술을 바꾸는데, 이 흐름을 이해하면 방어에 큰 도움이 된다고 아노말리는 강조한다. “예를 들어 요즘 같은 경우 LOTL 공격에 대해 알아두면 방어가 쉽고 빨라질 수 있습니다.”
3) 인재 훈련과 도구 발굴 : 지금도 CISO들이 부지런히 하고 있는 것이 있다면, 바로 적절한 보안 솔루션을 찾는 것과, 각종 보안 사태에 대비할 수 있는 보안 인력을 확보하는 것이다. CISO에게 오랜 시간 요구되어 왔던 이 두 가지 임무는 앞으로 오히려 더 중요한 비중을 차지할 것이다. 누구를 어떻게 훈련시킬 것인가, 우리 조직에 필요한 기술은 무엇인가, 라는 질문의 답은 기업마다 다를 텐데, CISO가 가장 정답에 가까운 해결책을 내놓아야 그 조직은 더 탄탄해지고 안전해질 수 있다.
이미 하던 것들에 정답이 있다
아노말리는 “미래를 대비한다는 게 보안에 있어서 그리 거창한 게 아니”라고 강조하며 “사실 이미 우리는 뭘 해야 하는지 알고 있다”고 말한다. “그건 우리가 벌써부터 하고 있던 것을 더 확실하게, 더 꼼꼼하게 하는 것입니다. 예를 들어 늘 하는 취약점 평가를 이제 ‘정기적으로’ 해야 합니다. 위험 분석에서부터 위험 완화까지 가는 과정을 보다 ‘체계적으로’ 수립해야 합니다. ‘지속적으로’ 위협들을 파악하기 위해 움직일 수 있어야 합니다. 하던 것들을 더 잘하면 된다는 겁니다.”
그러면서 아노말리는 다음 몇 가지가 가장 중요한 ‘베스트 프랙티스’라고 짚었다.
1) 지속적인 위협 모니터링
2) 능동적인 위협 헌팅
3) 정기적인 위험성 평가
4) 보안 패치 관리 시스템 구축
5) 실시간 위협 정보 취득 및 통합
6) 사고 대응 계획 마련 및 훈련
7) 조직 구성원들을 대상으로 한 보안 교육 및 인지 제고
8) 업계 다른 전문가/기업/단체와의 정보 공유
9) 새로운 보안 기술 연구와 분석, 필요하다면 구매와 적용
10) 보안 목표와 사업적 목표를 맞추기
한편, 대한민국 대표 사이버 보안 콘퍼런스이자 아시아 최대 규모로 자리 잡은 ‘ISEC 2024(제18회 국제 시큐리티 콘퍼런스)’가 오는 10월 16일(수)부터 17일(목)까지 양일간 서울 코엑스에서 개최된다. ISEC 2024는 ‘보안이 우리의 미래를 담보한다’는 의미의 ‘Future-proof’를 주제로 코엑스 전시장(Hall D)과 오디토리움에서 지난해보다 확대된 규모로 개최된다. 특히 2024년에는 총 20여개 트랙, 100개 세션 발표와 150여개 사이버보안 솔루션 기업이 참여한 170여개의 솔루션 전시 부스도 마련될 전망이다.
아울러 행사 기간 중 보안책임자 및 보안담당자를 대상으로 선발한 강연평가단들의 현장 투표와 설문 조사, 영상 평가 등을 통해 선발한 명강연자들을 시상하는 ‘ISEC 2024 베스트 스피커 어워즈’도 개최되는 등 콘텐츠의 질적 향상 및 강연 수준 제고에 끊임없이 나설 계획이다. 이와 관련된 세부 사항은 ISEC 홈페이지를 참조하거나 ISEC 조직위원회에 문의하면 된다.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 디지털 기술이 생활 곳곳을 차지하고 있다. 게다가 계속해서 변하고 있기까지 하다. 그에 따라 과거와 오늘 지키던 보안 규정과 전략들은 빠르게 낡은 것으로 변모하고 있다. 보안에 대한 투자가 늘어나고 있음에도 보안 사고가 오히려 증가하는 것은 이 때문이며 사이버 보안이 좀 더 미래를 바라봐야 한다는 소리가 나오는 것도 이 때문이다. 미래를 담보하는 것, 즉 ‘future-proof’가 보안의 새로운 개념이 되어가는 중이다. 이 ‘future-proof’를 보안의 주요 테마로 집중적으로 논의되는 장이 마련된다. 오는 16~17일 대한민국 서울 코엑스에서 열리는 아시아 최대 규모 보안 콘퍼런스 ISEC 2024에서다.
[이미지 = gettyimagesbank]
보안 업체 아노말리(Anomali)는 “매일, 매분, 세계 어디선가 누군가 사이버 공격을 받고 피해자가 된다”고 강조하며 “누가 표적이 되어도 이상하지 않고, 공격의 피해는 갈수록 커져가고 있으며, 확고한 대응 체계가 반드시 있어야 한다”고 강조한다. “특히 많은 사용자나 소비자들의 데이터를 다루는 기업들에 있어 보안은 윤리적 의무이기까지 합니다.”
현재 상황은 어떤가?
다행히 기업의 리더들은 사이버 공격이 미칠 수 있는 위험성을 인지하고 있는 것으로 보인다. 아노말리가 800명 이상의 기업 수장들을 대상으로 조사했을 때 절반 이상이 “1년 만에 사이버 위협이 체감될 정도로 증가했다”고 답했다고 한다. 그 중 1/3은 “중요한 데이터가 1년 내에 유출될 수 있다”고 예상하고 있기까지 했다. 하지만 “위험하다”고 답한 응답자 중 2/3는 “우리 회사 데이터는 안전하다”고 자신하고 있었고, 30%는 완전히 자신하지는 못하더라도 “꽤 괜찮은 수준으로 데이터를 보호하고 있다”고 답했다. 위험을 인지하고 있긴 한데 기존 보안 체제에 자신감이 있다보니 실제 보안 강화를 하지 못하고 있다는 기업들의 현실이 나타나는 대목이라고 아노말리는 해석한다.
기업들의 넘치는 자신감에 비해 사이버 범죄 시장의 현황은 어떨까? “올해 사이버 범죄자들이 입힐 피해액은 전 세계적으로 약 8조 달러에 이를 것으로 예상됩니다. 이는 일본과 독일의 국가 경제 규모를 합친 것의 두 배에 해당하는 수치입니다. 미국과 중국에 이어 세 번째로 큰 규모이기도 하지요. 기업들은 방어에 자신감이 있지만, 실제로는 범죄자들이 큰 이득을 거두고 있는 게 현실이라는 뜻이죠. 뭔가 앞뒤가 맞지 않다는 걸 이런 자료만 봐도 알 수 있습니다. 피해액이 지나치게 산출되었거나, 기업들의 자신감에 근거가 빈약하거나 둘 중 하나입니다.”
기업들의 또 다른 리스크, 디지털 전환
미래를 불안하게 만드는 건 자꾸만 심각해져가는 사이버 범죄만이 아니다. 디지털 기술들의 숨가쁘게 빠른 발전 역시 지금으로서는 ‘리스크 요인’에 더 가깝다. 생성형 인공지능, 빅데이터, 사물인터넷 등과 같은 신기술을 쳐다만 보자니 경쟁에서 뒤쳐지고, 앞장서서 도입하자니 보안 구멍이 생기는 걸 예측할 수 없기 때문이다. “이런 신기술들의 가장 큰 특징은 대부분이 항상 온라인에 연결되어 있다는 것입니다. 즉 모든 요소들이 각자의 IP 주소를 보유하고 있지요. 이는 모두가 잠재적으로 공격의 통로가 될 수 있다는 뜻이 됩니다.” 아노말리의 설명이다.
[이미지 = gettyimagesbank]
“기술 분야에서 이뤄지는 혁신들이 우리의 삶을 편리하게 만드는 건 사실입니다. 하지만 동시에 공격자들의 나쁜 행위 역시 간편하게 만들어주고 있습니다. 우리에게도 좋은 건, 그들에게도 좋다는 겁니다. 특히 요즘은 생성형 인공지능을 범죄에 활용하려는 시도가 상상을 초월합니다. 그리고 그 결과 역시 과거의 그것과 비교가 안 될 정도로 정교하고 빠릅니다. 생산 향상을 위해 신기술을 연구하는 것도 벅찬데, 공격자들의 활용이라는 측면에서도 우리는 신기술을 연구해야 하는 상황입니다.”
그러면서 떠오르는 미래의 리스크, 법규
사이버 범죄는 해를 거듭하면서 더 많은 피해를 일으키고, 신기술은 오히려 공격자들에게 날개를 달아주는 결과가 나오니, 입법자들이 움직이기 시작했다. 민간 차원에서 자율적으로 기술을 연구해 해결책을 마련하지 못하니 다소 강제성이 있더라도 사회를 안전하게 지킬 수 있는 제도가 필요하다는 데에 많은 나라의 정책 입안자들이 동의하기 시작한 것이다. 그리고 이렇게 생겨나는 법규들은 기업들에 엄청난 부담감으로 다가온다. 법규를 지키는 것도 까다로운데, 어겼을 때 내야 하는 벌금도 천문학적인 수준에 이르는 게 보통이기 때문이다.
“여러 나라의 정부들이 사이버 공격과 관련된 위험을 완화하기 위해 새로운 정책을 만들고 법안을 제출하는 중입니다. 사이버 공격이 사회와 경제 전반에 지대한 영향을 미치기 시작했기 때문입니다. IT 업계 혹은 보안 업계에서 알아서 못하니 정계가 나선 것이죠.” 그러면서 아노말리는 나라와 지역마다 법규의 세세한 내용들은 다르지만 대체적으로 다음과 같은 목적을 가지고 있다고 정리하고 있다.
1) 사이버 보안 강화 및 대응 조치를 표준화 한다
2) 책임 소재를 확립하고, 투명성을 확보하며, 지식 공유를 활성화시킨다
3) 초연결 시대(사회)에 사이버 공격의 영향력을 제한시키는 방법을 마련한다
4) 사이버 사건이나 위협에 대해 신속히 공유할 수 있는 상호 경고 체제를 수립한다
5) 최신 기술을 활용하여 미래 사이버 위협을 최대한 차단한다
6) 보안 규제를 준수하지 않을 때 엄중하게 처벌한다
유럽과 미국의 주요 규제
이런 움직임에 있어서 가장 선두에 서 있는 건 유럽과 미국이다. 이 두 지역에서는 이미 수년 전부터 무거운 내용의 법안들이 제출되고 채택되고 시행되고 있다. 그 중 미래를 대비하려는 보안 전문가들이나 기업들이 반드시 알아두어야 할 것들은 다음과 같다.
[이미지 = gettyimagesbank]
1) 유럽연합 사이버 복원력 강화를 위한 규제 : 2016년 유럽연합이 채택한 네트워크 및 정보 보안 관련 규정으로, 국가 사이버 보안 역량 강화, 국가 간 협력 체제 구축, 사회기반시설을 위한 보안 감독 체제 수립 등의 기틀을 마련했다. 2021년에 최신화가 됐다. 이전 버전에 비해 공급망 공격을 좀 더 상세히 다루고 있다. 처벌이 더 엄격해지기도 했다.
2) 유럽연합 디지털 운영 복원력 법 : 금융 분야와, 금융 기관들에 IT 기술과 서비스를 제공하는 업체들 모두를 아우르는 것으로, 위험 관리 및 완화를 위해 해야 하는 일들을 표준화 하기 위해 마련됐다. 전통적인 금융 조직 외에도 대체 투자 회사, 암호 자산 서비스 업체 등 기존에 금융 규제에 포함되지 않았던 조직들까지도 지켜야 하는 법이라는 특징을 가지고 있다. 유럽연합 내에서 2025년부터 시행될 예정이다.
3) 유럽연합 디지털 시장법 및 디지털 서비스법 : 유럽연합 집행위원회가 두 가지 법안을 제출했는데, 바로 디지털 시장법과 디지털 서비스법이었다. 디지털 서비스를 사용하는 사람들을 위험으로부터 보호하기 위한 것이 디지털 서비스법이고, ‘게이트키퍼’라고 분류된 대형 기술 기업들이 공정하게 경쟁하도록 하는 것이 디지털 시장법이다. 둘 다 투명성과 데이터 프라이버시 문제를 아우르고 있어 기업들이 꼼꼼하게 이 두 법 모두를 검토해야 한다.
4) 유럽연합 일반 데이터 보호 규정 : 이제 GDPR로 더 잘 알려진 개인정보 보호법으로, 2018년 5월부터 시행되고 있다. 유럽연합 시민들의 개인정보를, 유럽연합 외부 지역으로 내보낼 때 지켜야 할 것들과, 그 문제로부터 파생되는 다른 관련 문제들을 다루고 있다. 자기의 개인정보는 기업이 아니라 자기가 스스로 제어할 수 있어야 한다는 것을 골자로 삼고 있으며, 따라서 이를 어기는 기업들에 엄중한 책임을 묻는 것으로 유명하다. 무시무시한 벌금이 특징이다.
5) 유럽연합 스위프트 고객 보안 프로그램 : 은행 간 네트워크인 스위프트(SWIFT)를 보호하기 위한 규정이다. 2016년부터 시행되기 시작했다. SWIFT라는 플랫폼(온프레미스와 클라우드 모두)에 접속할 때 보다 강화된 인증 방식을 사용하도록 명시하고 있다. 또한 SWIFT를 사용하려면 고객 보안 통제 프레임워크를 준수해야 하는데, 준수의 수준을 증명할 서류를 매년 꾸려서 제출해야 한다.
6) 미국 사이버 보안 강화법 : 2022년 3월 바이든 미국 대통령이 이 법안에 서명함으로써 제정됐다. 주요 사회 기반 시설의 운영자는 중대한 사이버 사건이 발생했을 때 72시간 이내에 미국 보안 전담 기관인 CISA에 보고해야 한다는 내용을 담고 있다. 이는 민간 부문과 유관 기관의 보고 체계와 순서를 확립시켰다는 데 의의가 있는데, 민관 협조를 통해 국가 사이버 보안 능력을 강화시키는 데 집중한다는 바이든 행정부의 특성이 고스란히 드러난다.
7) 미국 결제카드 산업 데이터 보안 표준 : PCI DSS라는 줄임말로도 잘 알려진 규정으로 신용카드 사기를 줄이기 위해 2004년 처음 도입됐다. 카드 사용자의 개인정보 및 민감 정보를 보다 안전하게 처리할 것을 카드사와 카드 정보 처리 기술 제공 업체들에 요구하는 내용이다. 지금은 신용카드 관련 업계에서 하나의 표준으로 자리를 잡은 지 오래다. 최신 버전은 2022년 3월에 발표된 것이므로, 혹여 PCI DSS를 점검해야 한다면 업데이트 날짜부터 확인하는 게 좋다.
8) 미국 증권거래위원회의 사이버 보안 위험 관리, 전략, 거버넌스 및 사건 공개 규정 : 대부분의 상장 기업들은 2023년 12월 15일 경에 회계 연도가 종료된다. 이 때 연차 보고서를 작성해 제출해야 하는데, 여기에 사이버 사건과 관련된 내용을 포함시키고 공개해야 한다는 게 이 규정의 내용이다. 사이버 위험을 기업들이 어떤 식으로 식별, 평가, 관리하는지를 증권거래위원회에서는 알아야 하겠다는 뜻이다.
무서워지는 법규, 기업들에 어떤 의미인가?
기술이 빠르게 변화하고, 그것이 여러 가지 의미로 리스크로서 작용하는 것을 민간 부문에서 제대로 막지 못해서 제도들이 더 엄격해진다는 이 흐름은, 결국 각 기업이 보안 기능을 강화해야 한다는 뜻으로 귀결된다. “싫든 좋든 법에 따라 각 기업들은 이전보다 더 빈번하게 사이버 보안 감사를 해야 할 것이며, 이를 통해 더 많은 취약점을 파악하고 해결해야 할 것입니다. 이런 흐름은 이미 형성되고 있으며, 시장에서는 보안 감사에 대한 수요가 높아지는 중입니다. 보안성을 보증하는 서비스도 더 필요하게 되고 있고요. 미래에는 사이버 보안 감사와 평가를 전문으로 하는 시장이 금융 감사 시장 정도로 커질 것으로 예상하고 있습니다.”
[이미지 = gettyimagesbank]
감사 횟수만 늘린다고 능사가 아닐 것이다. 기업이 해야 할 일은 그 외에도 산적해 있다. “보다 본질적으로는 사이버 보안 강화에 있어 보다 능동적인 접근 방식을 취해야 한다고 표현할 수 있습니다. 사건이 터지면 수습하는 식으로 보안을 강화하는 건 더 이상 통하지 않을 거라는 겁니다. 특히 future-proof, 즉 미래를 고려한 보안으로서는 ‘외양간 잃고 고친다’는 접근 방식을 취할 이유가 없습니다. 선제적으로 문제를 파악하고 고치는 게 새로운 놈(norm)이어야 합니다.” 그러면서 아노말리는 다음과 같은 다섯 가지 필수 조치를 제안했다.
1) 식별 : “모든 데이터의 출처, 각 데이터의 중요도, 그러한 데이터들을 보관하고 있는 시스템의 잠재적 취약점을 식별하고 매핑까지 해야 합니다. 또한 조직 내 모든 구성원들의 특성, 책임, 역할을 고려하여 위험 분석도 실행해야 합니다. 공급 업체들도 고려되어야 하는 것은 당연합니다. 규모가 큰 조직이라면 자동화 기술을 동원해야 할 겁니다만, 식별된 내용들을 서로 연결지어 통찰을 얻어내려면 사람의 검토가 필요합니다.”
2) 예방 : “보안은 위험을 사전에 차단했을 때, 즉 사건을 예방했을 때 진정한 가치를 갖게 됩니다. 그러므로 예방을 위한 노력을 게을리 해서는 안 됩니다. 무엇보다 사이버 공격이 실제로 들어오더라도 핵심 사업 기능이 금방 복구되거나 아무렇지 않게 유지되는 것을 목표로 하는 게 중요합니다. 그러려면 각 시스템을 보호하는 것은 물론 각 구성원들을 대상으로 한 보안 교육도 꼼꼼하게 해야 합니다.”
3) 탐지 : “아무리 예방을 철저히 한다해도 100% 효과를 거둘 수는 없습니다. 언젠가는 뚫리고, 한 번 정도는 공격을 허용하게 됩니다. 그러므로 예방을 하면서도 만일의 사태에 대비해 이상한 점을 재빨리 파악할 수 있도록 탐지 기능도 발달시켜야 합니다. 위협 탐지 모니터링을 실시간으로 하는 게 큰 도움이 됩니다. 뿐만 아니라 ‘공격자가 우리 회사를 공격한다면, 그 목적과 방법은 무엇이 되겠는가?’를 상상하고 방어 시나리오를 미리 갖추는 것도 중요합니다. 보안 담당자가 아니라면, 문제 발생시 누구에게 제일 먼저 보고해야 하는지를 숙지해야 합니다.”
4) 대응 : “공격이 실제로 발생하면, 해당 시스템이나 망을 신속하게 분리하고 위협을 무력화시켜야 합니다. 망을 중요도나 기능에 따라 분리시키는 것은 바로 이러한 대응의 효과를 높이기 위해서입니다. 멀웨어가 빠르게 퍼지는 걸 막고, 가능하면 격리까지 시키려는 것이죠. 또한 별도의 망들에서 일어난 일들을 담당자가 빠르게 알아야 대응도 신속해집니다. 각 담당자들 간 소통의 훈련이 있어야 하는 이유입니다.”
5) 복구 : “일반 기업들에 있어 사이버 보안의 가장 중요한 존재의의는 ‘신속한 사업 정상화’입니다. 일반 기업 입장에서 우리 보안 팀이 멀웨어 샘플을 찾았다거나, 복구 키를 만들어냈다거나 하는 성과는 그리 중요하지 않습니다. 마비된 우리 판매 채널이 몇 시간 만에 재가동되느냐가 훨씬 더 중요합니다. 그렇기 때문에 항상 데이터를 백업해두는 것이 좋습니다. 백업 데이터가 방어에 있어 만능은 아니지만, 복구의 시간을 크게 단축시켜주는 것은 사실입니다.”
CISO가 해야 할 일
조직 구성원 전체가 해야 할 일들이 분명히 있지만, 아무리 그래도 보안은 보안이다. Future-proof를 위해 CISO들이 해야 할 일들이 따로 없다면, 그건 거짓말이다. “보안이 미래를 대비해야 한다고 하는 이 때 CISO의 역할은 그 어느 때보다 중요해지고 있습니다. 미래를 보호하려면 미래를 예측할 수 있어야 하고, 그러려면 현재의 흐름을 민감하게 파악해야 하는데, 그걸 보안 비전문가들에게 하라고 할 수 없습니다. 그건 CISO의 몫입니다.” 그래서 아노말리는 CISO의 할 일을 다음과 같이 정리한다.
[이미지 = gettyimagesbank]
1) 기본기 다지기 : 기본이 탄탄해야 예측할 수 없는 미래의 상황에도 최대한 빠르게 적응할 수 있다는 건 누구나 아는 상식이다. 건강에도 통용되는 말이지만, 보안이라는 분야에 입각해 말해도 틀리지 않다. 아노말리는 이것을 좀 더 구체화 하고 있는데, ‘규정 준수’, ‘위험 관리’, ‘인프라 선택’, ‘보안-IT 기능 간 협력 체계 강화’가 바로 그것이다.
“규정을 준수하는 건 설명이 필요 없지요. 모든 기업들의 가장 기본 덕목입니다. 위험을 관리하는 건 좀 더 능동적으로 구멍을 찾아 해결하는 것을 말하고, 인프라 선택은 온프레미스나 클라우드, 혹은 하이브리드 중 가장 안전하면서도 생산성을 높이는 걸 CISO가 결정해야 한다는 걸 의미합니다. 신기술을 안전의 측면에서 검토하려면 보안과 IT 부서 간 협력이 절실하고요.”
2) 능동적 대응 : 앞서 능동적으로 취약점을 찾아 미리미리 해결하는 게 능동적 보안이라고 했는데, 사실 CISO라면 그것보다 조금 더 능동성을 발휘해야 한다. 그건 공격자들이 자주 사용하는 전술과 기술을 미리 알아두는 것이다. 즉 해커들 사이의 최신 유행을 민감하게 캐치할 줄 알아야 한다는 뜻이다. 공격자들도 유행에 따라 전술과 기술을 바꾸는데, 이 흐름을 이해하면 방어에 큰 도움이 된다고 아노말리는 강조한다. “예를 들어 요즘 같은 경우 LOTL 공격에 대해 알아두면 방어가 쉽고 빨라질 수 있습니다.”
3) 인재 훈련과 도구 발굴 : 지금도 CISO들이 부지런히 하고 있는 것이 있다면, 바로 적절한 보안 솔루션을 찾는 것과, 각종 보안 사태에 대비할 수 있는 보안 인력을 확보하는 것이다. CISO에게 오랜 시간 요구되어 왔던 이 두 가지 임무는 앞으로 오히려 더 중요한 비중을 차지할 것이다. 누구를 어떻게 훈련시킬 것인가, 우리 조직에 필요한 기술은 무엇인가, 라는 질문의 답은 기업마다 다를 텐데, CISO가 가장 정답에 가까운 해결책을 내놓아야 그 조직은 더 탄탄해지고 안전해질 수 있다.
이미 하던 것들에 정답이 있다
아노말리는 “미래를 대비한다는 게 보안에 있어서 그리 거창한 게 아니”라고 강조하며 “사실 이미 우리는 뭘 해야 하는지 알고 있다”고 말한다. “그건 우리가 벌써부터 하고 있던 것을 더 확실하게, 더 꼼꼼하게 하는 것입니다. 예를 들어 늘 하는 취약점 평가를 이제 ‘정기적으로’ 해야 합니다. 위험 분석에서부터 위험 완화까지 가는 과정을 보다 ‘체계적으로’ 수립해야 합니다. ‘지속적으로’ 위협들을 파악하기 위해 움직일 수 있어야 합니다. 하던 것들을 더 잘하면 된다는 겁니다.”
그러면서 아노말리는 다음 몇 가지가 가장 중요한 ‘베스트 프랙티스’라고 짚었다.
1) 지속적인 위협 모니터링
2) 능동적인 위협 헌팅
3) 정기적인 위험성 평가
4) 보안 패치 관리 시스템 구축
5) 실시간 위협 정보 취득 및 통합
6) 사고 대응 계획 마련 및 훈련
7) 조직 구성원들을 대상으로 한 보안 교육 및 인지 제고
8) 업계 다른 전문가/기업/단체와의 정보 공유
9) 새로운 보안 기술 연구와 분석, 필요하다면 구매와 적용
10) 보안 목표와 사업적 목표를 맞추기
한편, 대한민국 대표 사이버 보안 콘퍼런스이자 아시아 최대 규모로 자리 잡은 ‘ISEC 2024(제18회 국제 시큐리티 콘퍼런스)’가 오는 10월 16일(수)부터 17일(목)까지 양일간 서울 코엑스에서 개최된다. ISEC 2024는 ‘보안이 우리의 미래를 담보한다’는 의미의 ‘Future-proof’를 주제로 코엑스 전시장(Hall D)과 오디토리움에서 지난해보다 확대된 규모로 개최된다. 특히 2024년에는 총 20여개 트랙, 100개 세션 발표와 150여개 사이버보안 솔루션 기업이 참여한 170여개의 솔루션 전시 부스도 마련될 전망이다.
아울러 행사 기간 중 보안책임자 및 보안담당자를 대상으로 선발한 강연평가단들의 현장 투표와 설문 조사, 영상 평가 등을 통해 선발한 명강연자들을 시상하는 ‘ISEC 2024 베스트 스피커 어워즈’도 개최되는 등 콘텐츠의 질적 향상 및 강연 수준 제고에 끊임없이 나설 계획이다. 이와 관련된 세부 사항은 ISEC 홈페이지를 참조하거나 ISEC 조직위원회에 문의하면 된다.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
