학습 포럼 개설, 독립적인 진단 수행, 공격 대비 프로세스 우선순위 파악 필요
전문가 네트워크 활용과 함께 사고 이후 인사이트 확보해야
[보안뉴스= 류종기 EY한영 상무이사] 포브스에 따르면 대다수 기업이 보안 침해 사실을 인지하는 시점은 평균 191일이라고 한다. 최근 SK텔레콤 해킹 사태를 살펴봐도 많은 기업이 사이버 공격을 잠복 기간 동안 파악하지 못하다가 문제가 발생한 후 파악한다. 또, 침해 사실을 외부에서 보고받거나 공격자에 의해 공개된다. 이에 따른 여파로 주가 하락부터 경영진 교체, 감독 기관의 조사, 법적 책임, 고객 신뢰도 하락 등 다양한 변화도 겪는다.
[자료: gettyimagesbank]
사이버 침해사고에서 가장 중요한 것은 사후 대응이다. 신속한 대응과 함께 사고 이전의 상태로 기업을 되돌리는 것이 최우선이다. 하지만 최근 사이버 공격의 형태는 정보 유출에 그치지 않는다. 가능한 많은 시스템을 파괴하는 방향으로 설계되고 있기 때문이다.
지난 2017년 전세계를 휩쓴 랜섬웨어 낫페트야는 재정적 이익보다 데이터를 파괴하는 와이퍼 공격(wiper attack)의 성향을 띠었다. 또, 2021년 美 콜로니얼 파이프라인에서 발견된 악성코드는 미국 동부 해안 지역의 45% 규모의 연료 공급을 중단시킨 바 있다.
지난해 크라우드스트라이크는 850만대의 PC와 서버에 충돌을 일으킨 업데이트를 배포했다. 그 결과 공항과 항구가 마비되고, ATM이 멈췄으며, 의료서비스가 지연되는 등의 문제가 발생했다. 당일 추가 패치를 진행했지만, 기업들은 자사의 IT 기기를 수동으로 재부팅하고 패치를 진행하는 등의 불편을 겪었다. 이 경우, 사이버 공격은 아니다. 하지만 소프트웨어 오류만으로도 관련 가치 사슬 전반에 혼란을 일으켰다는 점을 재확인할 수 있는 계기였다.
IT는 모든 비즈니스 프로세스에 깊이 내재화됐다. 디지털 환경은 점점 복잡해지고, 모든 운영을 예측하면서 제어하는 것은 거의 불가능하다. 반면에 고도화되며 빈번해진 공격에 기업이 직면하는 문제점은 줄어들지 않고 오히려 커지고 있다.
중단 없는 ‘제로 다운타임’(Zero Downtime) 시스템의 운영을 기대하지만, 현존 시스템은 계속 이질적이고 다양한 형태로 구축되고 있다. 이를 위해 인공지능(AI) 기반 행동 모델링을 통한 시스템 자동화와 오케스트레이션을 진행해야 하는데, 이는 쉽지만은 않다.
결국 사이버 복원력은 기업의 비즈니스 성과 목표를 달성할 수 있도록 무중단 가용성을 지원하는 비즈니스의 최우선 과제 가운데 하나가 됐다. 누구나 중요성에 대해 공감하지만 구현하기 어려운 ‘사이버 복원력’을 실천할 수 있는 다섯 가지 액션플랜을 정리하면 다음과 같다.
1. 학습 포럼을 개설하라
최고경영진(CEO) 주제로 정기적인 자리를 마련하라. 사업부 리더와 보안 및 IT 운영팀과 함께 시급한 사이버 보안 이슈와 현재 비즈니스 우선순위에 대해 공개적으로 의견을 교환해야 한다. 이 포럼의 가장 중요한 목적은 비즈니스 리더와 사이버 전문가가 사이버 공격 대응할 통합된 관점을 구현하는 것이다. 빠르게 변화하는 사이버 보안 주제는 분기별 개최가 가장 적합할 수 있다.
2. 독립적인 진단을 수행하라
서비스의 연속성과 재해복구 시스템 구축, 운영의 적정성, 실행력 등에 대해 객관적인 평가를 받아야 한다. 이는 인증을 받기 위한 것이 아니라, CEO가 현 상황을 이해하고 더 많은 정보를 바탕으로 사내 사각지대를 발견하기 위함이다. 감사의 초점에 따라 기술적, 조직적, 전략적 측면에서 다양한 결과를 분석해야 한다. 이를 통해 CEO와 사이버보안 팀 간 신뢰를 쌓고, 사이버 복원력에 대해 공동의 책임감을 형성하기도 한다.
3. 공격에 대비한 중요 프로세스의 우선순위를 파악하라
종합 대응 계획이 없는 경우, 경영진과 함께 조직 운영에서 가장 중요한 비즈니스 프로세스를 파악해야 한다. 각 프로세스의 구성요소와 이를 지원하는 업무시스템(application) 및 서버 시스템과 매핑해 회사 내 조치 우선순위를 파악하고, 각 프로세스의 복원력을 높여야 한다. 이러한 우선순위 합의는 조직을 조율하고 시스템이 문제가 될 때 분산된 의사결정을 내리는 데 도움이 된다.
다만, 모든 사전 계획은 예외 상황이 발생할 수 있어 유연한 대응과 실행 역량을 갖추는 것이 더 중요할 수 있다. 비즈니스 리더는 절박한 상황에서도 과감한 결정을 내릴 준비가 되어 있어야 한다.
4. 전문가 네트워크를 확보하라.
기업이나 조직이 심각한 사이버 공격을 당했을 때, 필요한 모든 최신 역량을 갖춘 경우는 드물다. 공격이 발생했을 때, 도움을 요청할 수 있는 전문가 그룹을 유지해야 한다. 여기에는 정부 기관과 커뮤니케이션을 지원하는 법무법인, 회사의 평판 관리와 위기 커뮤니케이션 계획 수립과 실행을 조언할 전문가, 공격 경위를 파악할 포렌식 전문가, 협상 전문가 등이 포함될 수 있다.
5. 사후 조사를 하고 앞으로의 기회로 삼아라
▲EY한영 류종기 상무이사 [사진=EY한영]
사고 이후 인사이트를 확보해야 한다. 이 논의는 공격의 기술적 측면과 향후 유사한 공격을 방지하기 위해 무엇을 할 수 있는지에 초점을 맞춰야 한다. 커뮤니케이션과 위기관리, 비즈니스 연속성, 재해복구 프로세스 등 개선할 수 있는 복원력 요소도 고려해야 한다. 또, 사후 워크샵을 통해 당시 복원력을 저해했던 요소들을 발견하고 개선해야 한다.
사이버 복원력은 단순히 사이버 공격이나 심각한 시스템 중단으로 인한 손실을 방지하는데 그치지 않고 기업의 가치 창출로 이어질 수 있다. 침해 사고 이후 정보 시스템을 통합해 복원력을 강화하고 기업 전반의 효율성을 제고한 기업의 사례도 있다.
[글_ 류종기 EY한영 상무이사]
필자 소개_
류종기 상무는 EY한영에서 리스크 컨설팅 서비스를 담당하고 있다. IBM Security & Privacy Services의 보안 컨설턴트와 사이버 리질리언스 서비스 리더를 역임했으며, 정보보호와 IT 재해복구, 비즈니스 연속성 분야에서 기업 고객을 대상으로 컨설팅을 수행했다.
전문가 네트워크 활용과 함께 사고 이후 인사이트 확보해야
[보안뉴스= 류종기 EY한영 상무이사] 포브스에 따르면 대다수 기업이 보안 침해 사실을 인지하는 시점은 평균 191일이라고 한다. 최근 SK텔레콤 해킹 사태를 살펴봐도 많은 기업이 사이버 공격을 잠복 기간 동안 파악하지 못하다가 문제가 발생한 후 파악한다. 또, 침해 사실을 외부에서 보고받거나 공격자에 의해 공개된다. 이에 따른 여파로 주가 하락부터 경영진 교체, 감독 기관의 조사, 법적 책임, 고객 신뢰도 하락 등 다양한 변화도 겪는다.
[자료: gettyimagesbank]
사이버 침해사고에서 가장 중요한 것은 사후 대응이다. 신속한 대응과 함께 사고 이전의 상태로 기업을 되돌리는 것이 최우선이다. 하지만 최근 사이버 공격의 형태는 정보 유출에 그치지 않는다. 가능한 많은 시스템을 파괴하는 방향으로 설계되고 있기 때문이다.
지난 2017년 전세계를 휩쓴 랜섬웨어 낫페트야는 재정적 이익보다 데이터를 파괴하는 와이퍼 공격(wiper attack)의 성향을 띠었다. 또, 2021년 美 콜로니얼 파이프라인에서 발견된 악성코드는 미국 동부 해안 지역의 45% 규모의 연료 공급을 중단시킨 바 있다.
지난해 크라우드스트라이크는 850만대의 PC와 서버에 충돌을 일으킨 업데이트를 배포했다. 그 결과 공항과 항구가 마비되고, ATM이 멈췄으며, 의료서비스가 지연되는 등의 문제가 발생했다. 당일 추가 패치를 진행했지만, 기업들은 자사의 IT 기기를 수동으로 재부팅하고 패치를 진행하는 등의 불편을 겪었다. 이 경우, 사이버 공격은 아니다. 하지만 소프트웨어 오류만으로도 관련 가치 사슬 전반에 혼란을 일으켰다는 점을 재확인할 수 있는 계기였다.
IT는 모든 비즈니스 프로세스에 깊이 내재화됐다. 디지털 환경은 점점 복잡해지고, 모든 운영을 예측하면서 제어하는 것은 거의 불가능하다. 반면에 고도화되며 빈번해진 공격에 기업이 직면하는 문제점은 줄어들지 않고 오히려 커지고 있다.
중단 없는 ‘제로 다운타임’(Zero Downtime) 시스템의 운영을 기대하지만, 현존 시스템은 계속 이질적이고 다양한 형태로 구축되고 있다. 이를 위해 인공지능(AI) 기반 행동 모델링을 통한 시스템 자동화와 오케스트레이션을 진행해야 하는데, 이는 쉽지만은 않다.
결국 사이버 복원력은 기업의 비즈니스 성과 목표를 달성할 수 있도록 무중단 가용성을 지원하는 비즈니스의 최우선 과제 가운데 하나가 됐다. 누구나 중요성에 대해 공감하지만 구현하기 어려운 ‘사이버 복원력’을 실천할 수 있는 다섯 가지 액션플랜을 정리하면 다음과 같다.
1. 학습 포럼을 개설하라
최고경영진(CEO) 주제로 정기적인 자리를 마련하라. 사업부 리더와 보안 및 IT 운영팀과 함께 시급한 사이버 보안 이슈와 현재 비즈니스 우선순위에 대해 공개적으로 의견을 교환해야 한다. 이 포럼의 가장 중요한 목적은 비즈니스 리더와 사이버 전문가가 사이버 공격 대응할 통합된 관점을 구현하는 것이다. 빠르게 변화하는 사이버 보안 주제는 분기별 개최가 가장 적합할 수 있다.
2. 독립적인 진단을 수행하라
서비스의 연속성과 재해복구 시스템 구축, 운영의 적정성, 실행력 등에 대해 객관적인 평가를 받아야 한다. 이는 인증을 받기 위한 것이 아니라, CEO가 현 상황을 이해하고 더 많은 정보를 바탕으로 사내 사각지대를 발견하기 위함이다. 감사의 초점에 따라 기술적, 조직적, 전략적 측면에서 다양한 결과를 분석해야 한다. 이를 통해 CEO와 사이버보안 팀 간 신뢰를 쌓고, 사이버 복원력에 대해 공동의 책임감을 형성하기도 한다.
3. 공격에 대비한 중요 프로세스의 우선순위를 파악하라
종합 대응 계획이 없는 경우, 경영진과 함께 조직 운영에서 가장 중요한 비즈니스 프로세스를 파악해야 한다. 각 프로세스의 구성요소와 이를 지원하는 업무시스템(application) 및 서버 시스템과 매핑해 회사 내 조치 우선순위를 파악하고, 각 프로세스의 복원력을 높여야 한다. 이러한 우선순위 합의는 조직을 조율하고 시스템이 문제가 될 때 분산된 의사결정을 내리는 데 도움이 된다.
다만, 모든 사전 계획은 예외 상황이 발생할 수 있어 유연한 대응과 실행 역량을 갖추는 것이 더 중요할 수 있다. 비즈니스 리더는 절박한 상황에서도 과감한 결정을 내릴 준비가 되어 있어야 한다.
4. 전문가 네트워크를 확보하라.
기업이나 조직이 심각한 사이버 공격을 당했을 때, 필요한 모든 최신 역량을 갖춘 경우는 드물다. 공격이 발생했을 때, 도움을 요청할 수 있는 전문가 그룹을 유지해야 한다. 여기에는 정부 기관과 커뮤니케이션을 지원하는 법무법인, 회사의 평판 관리와 위기 커뮤니케이션 계획 수립과 실행을 조언할 전문가, 공격 경위를 파악할 포렌식 전문가, 협상 전문가 등이 포함될 수 있다.
5. 사후 조사를 하고 앞으로의 기회로 삼아라
▲EY한영 류종기 상무이사 [사진=EY한영]
사고 이후 인사이트를 확보해야 한다. 이 논의는 공격의 기술적 측면과 향후 유사한 공격을 방지하기 위해 무엇을 할 수 있는지에 초점을 맞춰야 한다. 커뮤니케이션과 위기관리, 비즈니스 연속성, 재해복구 프로세스 등 개선할 수 있는 복원력 요소도 고려해야 한다. 또, 사후 워크샵을 통해 당시 복원력을 저해했던 요소들을 발견하고 개선해야 한다.
사이버 복원력은 단순히 사이버 공격이나 심각한 시스템 중단으로 인한 손실을 방지하는데 그치지 않고 기업의 가치 창출로 이어질 수 있다. 침해 사고 이후 정보 시스템을 통합해 복원력을 강화하고 기업 전반의 효율성을 제고한 기업의 사례도 있다.
[글_ 류종기 EY한영 상무이사]
필자 소개_
류종기 상무는 EY한영에서 리스크 컨설팅 서비스를 담당하고 있다. IBM Security & Privacy Services의 보안 컨설턴트와 사이버 리질리언스 서비스 리더를 역임했으며, 정보보호와 IT 재해복구, 비즈니스 연속성 분야에서 기업 고객을 대상으로 컨설팅을 수행했다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
