기업들, 사이버 보안을 좀 더 진지하게 받아들여야 할 때
남들 다 하는 수준으로 했다는 변명, 이제 안 통해
▲ 얘가 이겼으니, 이제부터 얘말 들어!
[보안뉴스 문가용] 현재 사이버 보안 전략의 여러 가지 유형들은 하나 같이 불안정하고 미완성 단계다. 이는 반박이 불가능할 정도로 널리 받아들여지고 있는 사실이다. 아니라고 하는 사람이 있다면 그건 아마 솔루션 업체 홍보부 담당이나 전략 책임자일 것이다.
그러나 변명의 여지가 없는 건 아니다. 보안 전략을 기획하고 제대로 된 투자를 할 수 있는 조직은 상위 1% 정도뿐이기 때문이다. 사이버 보안 전략이라는 게 사실 안정적으로 완성될 토양 자체가 마련되지 않은 것.
사이버 보안 전략이 실패하고 있다는 가장 큰 증거는 그렇게 보안 사고가 떠들썩한 이슈가 된 게 수차례인데도 범죄는 버젓이 성장하고 있다는 것이다. 즉 사이버 세상의 보안 상태가 글자 그대로 ‘하나도’ 좋아진 게 없다는 것.
그러나 이런 고질적인 현상에도 드디어 변화가 보이기 시작했다. 그것도 아주 빠른 변화라고 한다면 믿어지겠는가? 2015년이 지나가는 동안 이런 변화는 밑바탕을 깔고 성장의 발판을 마련해왔다. 이제는 기업의 사이버 보안 풍토의 완전한 변화를 이야기해도 될 지도 모르겠다.
지난 8월, 9월, 10월
지난 8월, 미국 연방 고등법원은 연방거래위원회 대 윈덤 호텔 그룹 사건에 대해 하급법원의 판결을 인용했는데, 그 판결 내용은 “미국 내에서 사업을 하고 있는 기업이라면 연방거래위원회가 데이터 보안 표준을 점검할 수 있다”는 것이었다.
또한 지난 9월, 지자체 정부와 기업들의 신용평가 기관인 스탠다드앤푸어스(Standard & Poors)는 사이버 보안 가이드라인을 발표했는데 ‘금융 서비스를 해주는 업체들의 보안이 부족하거나 수준이 낮을 경우 등급을 낮게 책정할 것’이라는 내용이 있었다.
10월도 그냥 넘어가지 않는다. 미 국방성은 ‘국방성과 계약을 맺고 사업을 진행하는 업체는 부정적인 사이버 공격의 징조나 위협의 세부 사항을 자세히 공개해야 한다’는 원칙을 발표했다. 그것이 심지어 계약 취소로 이어지더라도 말이다.
기술 관련 전문 변호사인 마이클 올리버Michael Oliver)는 “미국 연방 고등법원이 연방거래위원회의 손을 들어주었다는 것은 시사하는 바가 크다”며 “기업이 자신들의 사이버 보안에 박차를 가할 수밖에 없는 흐름을 만들었다”고 평가했다.
“윈덤 호텔 그룹은 연방거래위원회의 권한에 맞서려고 총력전을 했으나 패했죠. 이는 아마 커다란 선례가 될 확률이 높습니다. 국회가 아직 이렇게까지 사이버 보안 분야에 권한을 발휘하려 한 적이 없었는데, 물꼬가 트인 것이기 때문이죠. 이제 기업들은 보안을 제대로 할 건지 아니면 연방거래위원회의 벌칙을 받을 것인지 둘 중 하나를 선택해야 하는데, 아마 벌칙이 더 비쌀 것으로 보입니다.”
올리버는 “앞으로 이와 관련해서 더 많은 사건들이 발생하고, 그중엔 대형 사건들도 적지 않게 있을 것”이라고 예측한다. “이제 고객들이 미국 내 기업에 대해 ‘보안 조치가 적절치 않았다’고 집단소송을 걸 경우 연방거래위원회의 힘을 빌려 승소할 확률이 생겼거든요. 기업으로서는 이제 보안 조치를 빨리 취하지 않는다면 법정에 자주 출두할 겁니다.”
당연한 수준에 올라서는 것일 뿐
윈덤이 패소한 걸, 그러나, ‘정부가 정부 편을 든다’, ‘권력의 힘’으로 왜곡하면 곤란한다. 기술자의 눈으로 보기에 윈덤이 패하는 건 당연했다. 윈덤의 정보보안 수준이 처참할 정도였기 때문이다. 심지어 미국에서 보안 좀 하는 사람이다 하면 다들 알고 있는 공공연한 사실이었다. 그럼에도 왜 이런 기업이 당당하게 법정싸움에 돌입할 수 있었을까? 이런 처참한 보안수준이 사실 미국 기업들의 ‘평범한 상태’였기 때문이다.
그렇기 때문에 앞으로 이런 식의 법정싸움에 처할 기업이 많을 것이라는 올리버 변호사의 예측에 반박이 불가능하기도 하다. 이제 기업들은 연방거래위원회가 말하는 ‘적당한’ 수준의 보안이 정확히 무엇인지 적극 파악하고 도입해야 할 기로에 서있다. 즉 윈덤처럼 ‘남들 다 이런데 왜 우리만 잘못?’이라고 묻는 게 의미가 없어졌다는 거다. “이전엔 옆 차와 맞춘다는 이유로 일반 도로에서 130km/h로 달리지 못하게 되었다는 것과 같습니다.”
그렇다면 과연 기업들이 이 판례 하나로 달라진 상황을 어떤 식으로 대처해야 하는가, 하는 질문에 올리버는 “법적인 측면에서는 보안 시스템 마련, 적절한 모니터링 및 관리, 올바른 시기의 통보 및 복구 조치, 위탁업체 관리 등에 대한 계획을 구체적으로 현실성 있게 결정하고 시행하되, 반드시 나중을 위해 문서를 만드는 것이 중요”하다고 짚는다. “감사를 주기적으로 받고, 그것 또한 문서화시켜 입증자료를 마련하는 것도 좋은 방법입니다.”
“물론 사고를 당하지 않는 거 자체가 중요합니다. 그리고 아무리 좋은 보안 대책이라고 하더라도 모든 고객 및 사용자를 만족시킬 순 없습니다. 그렇기 때문에 오히려 이번 판결이 ‘다행’일 수도 있습니다. 모두를 만족시키지 않더라도, 연방거래위원회만 만족시키면 되거든요. 이런 꾸준한 문서화 작업을 통해 연방거래위원회를 만족시킬 수 있다면 큰 위기를 겪지는 않을 겁니다.”
기업들은 이제 사이버 보안에 대해 좀 더 비중을 둘 수밖에 없게 되었다. 방화벽을 설치했으니, SIEM을 마련했으니, IDS/IPS 시스템을 갖췄으니 걱정이 없다? 옛말이다. 판결 하나로 시대가 종종 바뀌는 게 법치사회에서는 낯선 풍경이 아니며, 그 일이 실제 일어났다. 인정하고, 옛 습관을 버릴 때다.
글 : 제이슨 폴란키치(Jason Polancich)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
남들 다 하는 수준으로 했다는 변명, 이제 안 통해
▲ 얘가 이겼으니, 이제부터 얘말 들어!
[보안뉴스 문가용] 현재 사이버 보안 전략의 여러 가지 유형들은 하나 같이 불안정하고 미완성 단계다. 이는 반박이 불가능할 정도로 널리 받아들여지고 있는 사실이다. 아니라고 하는 사람이 있다면 그건 아마 솔루션 업체 홍보부 담당이나 전략 책임자일 것이다.
그러나 변명의 여지가 없는 건 아니다. 보안 전략을 기획하고 제대로 된 투자를 할 수 있는 조직은 상위 1% 정도뿐이기 때문이다. 사이버 보안 전략이라는 게 사실 안정적으로 완성될 토양 자체가 마련되지 않은 것.
사이버 보안 전략이 실패하고 있다는 가장 큰 증거는 그렇게 보안 사고가 떠들썩한 이슈가 된 게 수차례인데도 범죄는 버젓이 성장하고 있다는 것이다. 즉 사이버 세상의 보안 상태가 글자 그대로 ‘하나도’ 좋아진 게 없다는 것.
그러나 이런 고질적인 현상에도 드디어 변화가 보이기 시작했다. 그것도 아주 빠른 변화라고 한다면 믿어지겠는가? 2015년이 지나가는 동안 이런 변화는 밑바탕을 깔고 성장의 발판을 마련해왔다. 이제는 기업의 사이버 보안 풍토의 완전한 변화를 이야기해도 될 지도 모르겠다.
지난 8월, 9월, 10월
지난 8월, 미국 연방 고등법원은 연방거래위원회 대 윈덤 호텔 그룹 사건에 대해 하급법원의 판결을 인용했는데, 그 판결 내용은 “미국 내에서 사업을 하고 있는 기업이라면 연방거래위원회가 데이터 보안 표준을 점검할 수 있다”는 것이었다.
또한 지난 9월, 지자체 정부와 기업들의 신용평가 기관인 스탠다드앤푸어스(Standard & Poors)는 사이버 보안 가이드라인을 발표했는데 ‘금융 서비스를 해주는 업체들의 보안이 부족하거나 수준이 낮을 경우 등급을 낮게 책정할 것’이라는 내용이 있었다.
10월도 그냥 넘어가지 않는다. 미 국방성은 ‘국방성과 계약을 맺고 사업을 진행하는 업체는 부정적인 사이버 공격의 징조나 위협의 세부 사항을 자세히 공개해야 한다’는 원칙을 발표했다. 그것이 심지어 계약 취소로 이어지더라도 말이다.
기술 관련 전문 변호사인 마이클 올리버Michael Oliver)는 “미국 연방 고등법원이 연방거래위원회의 손을 들어주었다는 것은 시사하는 바가 크다”며 “기업이 자신들의 사이버 보안에 박차를 가할 수밖에 없는 흐름을 만들었다”고 평가했다.
“윈덤 호텔 그룹은 연방거래위원회의 권한에 맞서려고 총력전을 했으나 패했죠. 이는 아마 커다란 선례가 될 확률이 높습니다. 국회가 아직 이렇게까지 사이버 보안 분야에 권한을 발휘하려 한 적이 없었는데, 물꼬가 트인 것이기 때문이죠. 이제 기업들은 보안을 제대로 할 건지 아니면 연방거래위원회의 벌칙을 받을 것인지 둘 중 하나를 선택해야 하는데, 아마 벌칙이 더 비쌀 것으로 보입니다.”
올리버는 “앞으로 이와 관련해서 더 많은 사건들이 발생하고, 그중엔 대형 사건들도 적지 않게 있을 것”이라고 예측한다. “이제 고객들이 미국 내 기업에 대해 ‘보안 조치가 적절치 않았다’고 집단소송을 걸 경우 연방거래위원회의 힘을 빌려 승소할 확률이 생겼거든요. 기업으로서는 이제 보안 조치를 빨리 취하지 않는다면 법정에 자주 출두할 겁니다.”
당연한 수준에 올라서는 것일 뿐
윈덤이 패소한 걸, 그러나, ‘정부가 정부 편을 든다’, ‘권력의 힘’으로 왜곡하면 곤란한다. 기술자의 눈으로 보기에 윈덤이 패하는 건 당연했다. 윈덤의 정보보안 수준이 처참할 정도였기 때문이다. 심지어 미국에서 보안 좀 하는 사람이다 하면 다들 알고 있는 공공연한 사실이었다. 그럼에도 왜 이런 기업이 당당하게 법정싸움에 돌입할 수 있었을까? 이런 처참한 보안수준이 사실 미국 기업들의 ‘평범한 상태’였기 때문이다.
그렇기 때문에 앞으로 이런 식의 법정싸움에 처할 기업이 많을 것이라는 올리버 변호사의 예측에 반박이 불가능하기도 하다. 이제 기업들은 연방거래위원회가 말하는 ‘적당한’ 수준의 보안이 정확히 무엇인지 적극 파악하고 도입해야 할 기로에 서있다. 즉 윈덤처럼 ‘남들 다 이런데 왜 우리만 잘못?’이라고 묻는 게 의미가 없어졌다는 거다. “이전엔 옆 차와 맞춘다는 이유로 일반 도로에서 130km/h로 달리지 못하게 되었다는 것과 같습니다.”
그렇다면 과연 기업들이 이 판례 하나로 달라진 상황을 어떤 식으로 대처해야 하는가, 하는 질문에 올리버는 “법적인 측면에서는 보안 시스템 마련, 적절한 모니터링 및 관리, 올바른 시기의 통보 및 복구 조치, 위탁업체 관리 등에 대한 계획을 구체적으로 현실성 있게 결정하고 시행하되, 반드시 나중을 위해 문서를 만드는 것이 중요”하다고 짚는다. “감사를 주기적으로 받고, 그것 또한 문서화시켜 입증자료를 마련하는 것도 좋은 방법입니다.”
“물론 사고를 당하지 않는 거 자체가 중요합니다. 그리고 아무리 좋은 보안 대책이라고 하더라도 모든 고객 및 사용자를 만족시킬 순 없습니다. 그렇기 때문에 오히려 이번 판결이 ‘다행’일 수도 있습니다. 모두를 만족시키지 않더라도, 연방거래위원회만 만족시키면 되거든요. 이런 꾸준한 문서화 작업을 통해 연방거래위원회를 만족시킬 수 있다면 큰 위기를 겪지는 않을 겁니다.”
기업들은 이제 사이버 보안에 대해 좀 더 비중을 둘 수밖에 없게 되었다. 방화벽을 설치했으니, SIEM을 마련했으니, IDS/IPS 시스템을 갖췄으니 걱정이 없다? 옛말이다. 판결 하나로 시대가 종종 바뀌는 게 법치사회에서는 낯선 풍경이 아니며, 그 일이 실제 일어났다. 인정하고, 옛 습관을 버릴 때다.
글 : 제이슨 폴란키치(Jason Polancich)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 th.jpg)
 TH.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
