과잉 투자와 시간 낭비라는 오해에도 효과적인 ‘사전 조치’
‘사이버 복원력’이야말로 디지털 시대의 마지막 방어선
[보안뉴스=류종기 한국기업보안협의회 이사] 재난이 주의를 끄는 건 사회에 미치는 충격과 피해 규모 때문이지만, 우리 사회와 제도의 허점을 비추는 이유도 있다. 이는 사이버 공격을 받는 기업과 조직도 마찬가지다.
[자료: gettyimagesbank]
일순간 터진 사고처럼 보이는 재난은 훨씬 전부터 이뤄진 정책과 의사결정이 축적된 결과다. 사도에서 반드시 교훈을 얻어야 하나. 어떻게 했고, 앞으로 해나갈지를 고민하고 연구해야 한다. 해킹과 정보 유출, 서비스 장애와 같은 디지털 재난이 체계의 태만을 드러내지 않았다면, 우리는 행복한 무지 속에서 계속 생활할 수 있었을지도 모른다.
항상 그렇지만 반복되는 재난에 충분히 대비하지 못하는 것일까? 대비한다면 피해는 크게 줄어들 것이다. 만반의 준비를 했는데, 아무 일도 일어나지 않았다면 사람들은 왜 그렇게 호들갑을 떨었는지 의문을 제기할 것이다.
그러나 아무 일이 없었단 것이 재난에 잘 대응했다는 뜻이다. 하버드 케네디스쿨 교수이자 오바마 행정부에서 미 국토안보부 차관보를 지낸 줄리엣 카이엠 교수는 저서 ‘악마는 잠들지 않는다: 일상화된 재난의 시대를 사는 법’에서 이러한 현상을 ‘준비의 역설’(Preparedness Paradox)이라고 강조했다. 사전 조치가 효과적이라면 오히려 과잉 투자와 시간 낭비로 보일 수 있다는 이야기다.
대비를 위한 행동과 효과는 눈에 잘 띄지 않는다. 큰 비용을 들여 대비한 것이 다른 이들에겐 과잉 투자 혹은 낭비로 보일 수 있다. 재난 발생 여부를 기준으로 따지면 준비의 역설도 일리가 있는 듯 보인다. 하지만 더 정확한 평가는 재난이 발생할 것이라고 예상하지 않았더라면 그 피해가 더 심각했을 것인지다. 모든 경우 대답은 ‘그렇다’로 귀결된다.
‘사이버 복원력’이 준비의 역설을 넘어서려면, 그 가치와 효과를 기업과 조직 내부에 인식시켜야 한다. 근본적으로 복원력은 기업이 사이버 공격으로 인한 충격과 스트레스를 흡수하고 중요한 기능을 복구하며, 사고 이후 변화한 환경에서도 역경을 극복할 능력을 말한다. 예를 들어 코로나 시국에서 어떤 기업은 수요 감소하고, 다른 기업은 공급망이나 인력 공급의 문제를 겪었다. 하지만 기업마다 회복 속도는 달랐다. 충격과 회복의 궤적에서 복원력이 큰 기업은 다음 세 가지 측면에서 하나 이상은 다른 기업보다 나은 성과를 보였다.
▲사이버 복원력의 전략적 프레임워크 [자료: 류종기 이사]
사이버 복원력을 갖춘 기업은 외부 충격에 영향을 다른 기업들에 비해 적게 받는다. 회복 속도와 정도도 훨씬 크다. 결국 사이버 사고에서 복원력을 확보한 기업이 그렇지 못한 기업에 비해 더 적은 영향과 빠른 회복 속도를 기대할 수 있다는 것이다.
이러한 가치와 효과는 지난 30년간 경제 침체, 팬데믹을 포함한 위기 상황에서 1800여개의 미국 상장기업들의 대응에서 얻은 실제 데이터를 기반으로 보스턴컨설팅그룹(BCG) 핸더슨 연구소가 분석한 내용이다. 연구소는 충격 후 신속한 성과와 기능을 회복하는 ‘사이버 복원력’이 높은 기업은 신중성·다양성·중복성·모듈화·적응성·내재성·재구상이라는 일곱 가지 설계 원칙 있다고 한다.
사이버보안 사고를 사고 전의 예상 단계와 침해 직후인 완충 단계, 적응 단계, 환경조성 단계라는 네 단계를 기준으로 정의해보자.
먼저 사고 발생 전의 ‘예상 단계’에서는 사이버 복원력은 신중성(prudence) 원칙으로 알려진 사이버 위협뿐만 아니라 아직 발견되지 않은 사이버 공격으로 시스템이 중단되면 어떻게 대응하고 중요한 비즈니스 기능을 복구할 것인지에 초점을 맞춰 예측 능력을 확장해야 한다.
두 번째로 침해를 인지하고 사고 영향을 최소화하는 ‘완충 단계’는 중복성과 다양성, 모듈화라는 세 가지 수단을 고려해야 한다. 중복성(redundancy) 원칙은 조직이나 기업의 중복 요소와 부족한 부분을 보충하기 위한 재고를 포함한다. 여기서 각 요소들은 기술 프로세스와 함께 직원들이 비즈니스 연속성도 포함된다. 다양성(diversity)은 사람과 프로세스, 시스템의 이질성을 확인한다. 모든 작업이 동일한 기술을 사용하고 있다면, 침해 사고 한 번에 모든 작업이 피해를 볼 수 있다. 다양성은 사이버 침해가 기업에 미치는 영향을 흡수하고 줄인다. 모듈성(modularity)은 손상된 시스템을 격리하고 침해로 마비된 시스템이 맡은 기능을 정상적인 시스템이 대체할 수 있도록 하는 기능성을 말한다.
오늘날 제로트러스트 아키텍처나 네트워크 분할, 최소권한 접근 등은 사이버보안의 공통된 핵심 사항이다. 이러한 방식은 사이버 공격자를 기업의 가장 민감하고 중요한 비즈니스 시스템에 도달하는 것을 방지한다. 그러나 많은 기업이 격리를 통한 보호에 초점을 맞추고 있다. 사이버 공격자들은 이러한 방어 체계를 공략할 새로운 공격방식을 개발하고 있다.
‘적응 단계’에서는 조직이 사이버 공격에서 복구를 얼마나 빠르게 할 수 있는지를 확인할 수 있다. 적응성(adaptation)은 기존 공격과 함께 알려지지 않은 위협에 대해 얼마나 빠르게 진화할 수 있는지다. 진화하는 상황에 대한 정보를 수집하고, 성공적인 조치를 강화해야 한다. 내재성(embeddedness)은 제품의 개발과 시스템 구축 단계에서부터 보안을 고려하는 것으로 기업뿐만 아니라 공급업체, 직원, 고객 등의 생태계 전반을 포함한다.
마지막으로 사고 대응 조치를 마무리하고 영향을 최소화하는 ‘환경조성 단계’는 앞으로의 사이버 복원력을 높이는 방안인 재구상(reimagination) 원칙을 검토하고 투자해야 한다. 침해 사고를 자극제로 활용해 전반적인 기업의 운영부터 확장된 비즈니스 생태계를 보다 효율적이고 효과적으로 만드는 방법을 고민한다.
▲한국기업보안협의회 류종기 이사 [사진=류종기 이사]
사이버 복원력을 위한 프레임워크 7가지 원칙에 더해 한 가지를 더하자면, 커뮤니케이션 계획 수립이 있다. 이번 SK텔레콤 유심 해킹 사태를 통해서도 재확인된 바 있다. 해킹 사고를 대비한 강력한 대응 계획과 실천도 중요하지만, 사고의 결과는 제각각이다. 원인 관계를 빠르게 확인할 수 있는 프로그래밍 오류나 소비재 제품 사고도 있지만, 사이버 사고의 인과는 일반적으로 천천히 드러난다. 핵심 데이터 유출처럼 우려했던 것만큼 광범위할 수도 있고, 그렇지 않을 수도 있다. 사실에 대한 확신이 없다면 기업과 조직은 잘못된 정보를 공유할 수 있다는 것이다. 이는 신뢰도와 직결된 부분이다.
특히, 사건 발생 초기에는 신뢰를 구축하는 것이 매우 중요하다. 민감 데이터 노출에 대해 호언장담하는 것은 위험하다. 훌륭한 커뮤니케이션은 순간적으로 내려지는 것이 아니다. 조직의 리더가 여러 우선순위와 주의의 목소리를 신중하게 고려한 계획의 결과다.
아쉽게도 현실에서는 사이버 복원력 계획은 가장 마지막에 고려되는 과제다. 하지만 적절한 계획과 엄격한 스트레스 테스트를 통해 조직은 사이버 위기 상황의 대응 역량을 구축하고 궁극적으로 자신감을 가질 수 있다. 어떠한 공격이든 견디고 빠르게 회복하는 능력인 ‘사이버 복원력(Cyber Resilience)’은 불확실한 기업의 비즈니스 환경에서 더욱 중요해지고 있다. 이제는 제로트러스트와 AI 기반 보안, 공급망 보안 등을 넘어 ‘사이버 복원력’이야말로 디지털 시대의 마지막 방어선이 되어야 할 것이다.
[글_류종기 한국기업보안협의회 이사]
필자 소개_
류종기 이사는 한국기업보안협의회에서 이사를 맡고 있다. IBM Security & Privacy Services의 보안 컨설턴트와 사이버 리질리언스 서비스 리더를 역임했으며, 정보보호와 IT 재해복구, 비즈니스 연속성 분야에서 기업 고객을 대상으로 컨설팅을 수행했다.
‘사이버 복원력’이야말로 디지털 시대의 마지막 방어선
[보안뉴스=류종기 한국기업보안협의회 이사] 재난이 주의를 끄는 건 사회에 미치는 충격과 피해 규모 때문이지만, 우리 사회와 제도의 허점을 비추는 이유도 있다. 이는 사이버 공격을 받는 기업과 조직도 마찬가지다.
[자료: gettyimagesbank]
일순간 터진 사고처럼 보이는 재난은 훨씬 전부터 이뤄진 정책과 의사결정이 축적된 결과다. 사도에서 반드시 교훈을 얻어야 하나. 어떻게 했고, 앞으로 해나갈지를 고민하고 연구해야 한다. 해킹과 정보 유출, 서비스 장애와 같은 디지털 재난이 체계의 태만을 드러내지 않았다면, 우리는 행복한 무지 속에서 계속 생활할 수 있었을지도 모른다.
항상 그렇지만 반복되는 재난에 충분히 대비하지 못하는 것일까? 대비한다면 피해는 크게 줄어들 것이다. 만반의 준비를 했는데, 아무 일도 일어나지 않았다면 사람들은 왜 그렇게 호들갑을 떨었는지 의문을 제기할 것이다.
그러나 아무 일이 없었단 것이 재난에 잘 대응했다는 뜻이다. 하버드 케네디스쿨 교수이자 오바마 행정부에서 미 국토안보부 차관보를 지낸 줄리엣 카이엠 교수는 저서 ‘악마는 잠들지 않는다: 일상화된 재난의 시대를 사는 법’에서 이러한 현상을 ‘준비의 역설’(Preparedness Paradox)이라고 강조했다. 사전 조치가 효과적이라면 오히려 과잉 투자와 시간 낭비로 보일 수 있다는 이야기다.
대비를 위한 행동과 효과는 눈에 잘 띄지 않는다. 큰 비용을 들여 대비한 것이 다른 이들에겐 과잉 투자 혹은 낭비로 보일 수 있다. 재난 발생 여부를 기준으로 따지면 준비의 역설도 일리가 있는 듯 보인다. 하지만 더 정확한 평가는 재난이 발생할 것이라고 예상하지 않았더라면 그 피해가 더 심각했을 것인지다. 모든 경우 대답은 ‘그렇다’로 귀결된다.
‘사이버 복원력’이 준비의 역설을 넘어서려면, 그 가치와 효과를 기업과 조직 내부에 인식시켜야 한다. 근본적으로 복원력은 기업이 사이버 공격으로 인한 충격과 스트레스를 흡수하고 중요한 기능을 복구하며, 사고 이후 변화한 환경에서도 역경을 극복할 능력을 말한다. 예를 들어 코로나 시국에서 어떤 기업은 수요 감소하고, 다른 기업은 공급망이나 인력 공급의 문제를 겪었다. 하지만 기업마다 회복 속도는 달랐다. 충격과 회복의 궤적에서 복원력이 큰 기업은 다음 세 가지 측면에서 하나 이상은 다른 기업보다 나은 성과를 보였다.
▲사이버 복원력의 전략적 프레임워크 [자료: 류종기 이사]
사이버 복원력을 갖춘 기업은 외부 충격에 영향을 다른 기업들에 비해 적게 받는다. 회복 속도와 정도도 훨씬 크다. 결국 사이버 사고에서 복원력을 확보한 기업이 그렇지 못한 기업에 비해 더 적은 영향과 빠른 회복 속도를 기대할 수 있다는 것이다.
이러한 가치와 효과는 지난 30년간 경제 침체, 팬데믹을 포함한 위기 상황에서 1800여개의 미국 상장기업들의 대응에서 얻은 실제 데이터를 기반으로 보스턴컨설팅그룹(BCG) 핸더슨 연구소가 분석한 내용이다. 연구소는 충격 후 신속한 성과와 기능을 회복하는 ‘사이버 복원력’이 높은 기업은 신중성·다양성·중복성·모듈화·적응성·내재성·재구상이라는 일곱 가지 설계 원칙 있다고 한다.
사이버보안 사고를 사고 전의 예상 단계와 침해 직후인 완충 단계, 적응 단계, 환경조성 단계라는 네 단계를 기준으로 정의해보자.
먼저 사고 발생 전의 ‘예상 단계’에서는 사이버 복원력은 신중성(prudence) 원칙으로 알려진 사이버 위협뿐만 아니라 아직 발견되지 않은 사이버 공격으로 시스템이 중단되면 어떻게 대응하고 중요한 비즈니스 기능을 복구할 것인지에 초점을 맞춰 예측 능력을 확장해야 한다.
두 번째로 침해를 인지하고 사고 영향을 최소화하는 ‘완충 단계’는 중복성과 다양성, 모듈화라는 세 가지 수단을 고려해야 한다. 중복성(redundancy) 원칙은 조직이나 기업의 중복 요소와 부족한 부분을 보충하기 위한 재고를 포함한다. 여기서 각 요소들은 기술 프로세스와 함께 직원들이 비즈니스 연속성도 포함된다. 다양성(diversity)은 사람과 프로세스, 시스템의 이질성을 확인한다. 모든 작업이 동일한 기술을 사용하고 있다면, 침해 사고 한 번에 모든 작업이 피해를 볼 수 있다. 다양성은 사이버 침해가 기업에 미치는 영향을 흡수하고 줄인다. 모듈성(modularity)은 손상된 시스템을 격리하고 침해로 마비된 시스템이 맡은 기능을 정상적인 시스템이 대체할 수 있도록 하는 기능성을 말한다.
오늘날 제로트러스트 아키텍처나 네트워크 분할, 최소권한 접근 등은 사이버보안의 공통된 핵심 사항이다. 이러한 방식은 사이버 공격자를 기업의 가장 민감하고 중요한 비즈니스 시스템에 도달하는 것을 방지한다. 그러나 많은 기업이 격리를 통한 보호에 초점을 맞추고 있다. 사이버 공격자들은 이러한 방어 체계를 공략할 새로운 공격방식을 개발하고 있다.
‘적응 단계’에서는 조직이 사이버 공격에서 복구를 얼마나 빠르게 할 수 있는지를 확인할 수 있다. 적응성(adaptation)은 기존 공격과 함께 알려지지 않은 위협에 대해 얼마나 빠르게 진화할 수 있는지다. 진화하는 상황에 대한 정보를 수집하고, 성공적인 조치를 강화해야 한다. 내재성(embeddedness)은 제품의 개발과 시스템 구축 단계에서부터 보안을 고려하는 것으로 기업뿐만 아니라 공급업체, 직원, 고객 등의 생태계 전반을 포함한다.
마지막으로 사고 대응 조치를 마무리하고 영향을 최소화하는 ‘환경조성 단계’는 앞으로의 사이버 복원력을 높이는 방안인 재구상(reimagination) 원칙을 검토하고 투자해야 한다. 침해 사고를 자극제로 활용해 전반적인 기업의 운영부터 확장된 비즈니스 생태계를 보다 효율적이고 효과적으로 만드는 방법을 고민한다.
▲한국기업보안협의회 류종기 이사 [사진=류종기 이사]
사이버 복원력을 위한 프레임워크 7가지 원칙에 더해 한 가지를 더하자면, 커뮤니케이션 계획 수립이 있다. 이번 SK텔레콤 유심 해킹 사태를 통해서도 재확인된 바 있다. 해킹 사고를 대비한 강력한 대응 계획과 실천도 중요하지만, 사고의 결과는 제각각이다. 원인 관계를 빠르게 확인할 수 있는 프로그래밍 오류나 소비재 제품 사고도 있지만, 사이버 사고의 인과는 일반적으로 천천히 드러난다. 핵심 데이터 유출처럼 우려했던 것만큼 광범위할 수도 있고, 그렇지 않을 수도 있다. 사실에 대한 확신이 없다면 기업과 조직은 잘못된 정보를 공유할 수 있다는 것이다. 이는 신뢰도와 직결된 부분이다.
특히, 사건 발생 초기에는 신뢰를 구축하는 것이 매우 중요하다. 민감 데이터 노출에 대해 호언장담하는 것은 위험하다. 훌륭한 커뮤니케이션은 순간적으로 내려지는 것이 아니다. 조직의 리더가 여러 우선순위와 주의의 목소리를 신중하게 고려한 계획의 결과다.
아쉽게도 현실에서는 사이버 복원력 계획은 가장 마지막에 고려되는 과제다. 하지만 적절한 계획과 엄격한 스트레스 테스트를 통해 조직은 사이버 위기 상황의 대응 역량을 구축하고 궁극적으로 자신감을 가질 수 있다. 어떠한 공격이든 견디고 빠르게 회복하는 능력인 ‘사이버 복원력(Cyber Resilience)’은 불확실한 기업의 비즈니스 환경에서 더욱 중요해지고 있다. 이제는 제로트러스트와 AI 기반 보안, 공급망 보안 등을 넘어 ‘사이버 복원력’이야말로 디지털 시대의 마지막 방어선이 되어야 할 것이다.
[글_류종기 한국기업보안협의회 이사]
필자 소개_
류종기 이사는 한국기업보안협의회에서 이사를 맡고 있다. IBM Security & Privacy Services의 보안 컨설턴트와 사이버 리질리언스 서비스 리더를 역임했으며, 정보보호와 IT 재해복구, 비즈니스 연속성 분야에서 기업 고객을 대상으로 컨설팅을 수행했다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
