[보안뉴스=잭슨 쇼 CSO, Clear Skye] 사이버 보안 분야에서 늘 나오는 단어가 하나 있다. 바로 ‘예방’이다. 데이터 침해는 무슨 일이 있어도 막아야 한다는 주장이 수도 없이 나오고 있고, 실제로 많은 돈을 예방에 쏟아붓고 있기도 하다. 뿐만 아니라 모든 전략도 그 방향에서 구성하고, 모든 에너지를 예방에 투자한다. 하지만 그럼에도 침해 사고가 일어났을 때 해야 할 일들에 대해서는 이야기가 나눠지지 않는다. 그 빈도는 현저히 낮다.
[이미지 = gettyimagesbank]
보안과 관련된 전문성과 예산과 에너지가 예방에 많이 할애되는 건 옳은 일이다. 하지만 매 순간 100%로 유지되는 보안이라는 건 있을 수 없다. IBM이 조사한 바에 의하면 전 세계 침해 사고의 95%가 인간의 실수에서부터 비롯된다고 하는데, 역사상 그 누구도 실수라는 걸 100% 정복해본 적이 없다. 예방을 목표로 삼되, 그것에 과도히 얽매이는 건 지양해야 한다는 것이다. 어려운 주문이다. 매우 미묘한 균형을 맞춰야 하는데, 이 부분에서도 당연히 실수가 있을 것이다. 그렇기 때문에 예방을 위한 시간과 자원과 에너지와 예산과 전문성을 조금은 뒤로 빼돌려 일어난 실수들에 대한 대비책을 마련하는 게 현명하다. 일상에서도 우리는 스스로의 실수를 위해 각종 형태의 보험을 들어두지 않는가.
그러면 침해 사고가 실제로 발생한 이후 우리는 무엇을 해야 하는가? 당연하지만 ‘피해를 최소화 한다’는 데에 집중해야 한다. 이를 위해 할 일들이 몇 가지 있어 정리하자면 다음과 같다.
1. 올바른 정보를 수집하라
첫 번째로 기억해야 할 것은 ‘피해 반경을 파악한다’이다. 마치 구조대원들이 재난 현장에 나가 피해 범위를 확인해 생존자들을 재빨리 찾아내는 것과 같다. 이를 효과적으로, 그리고 시급하게 실행하려면 조직 내의 ‘아이덴티티 정보’에 접근해야 한다. 왜냐하면 정보 침해 사고의 거의 대부분이 임직원들의 실수에서 시작되기 때문이다. 거의 모든 침해 사고를 거슬러 올라가다보면 임직원들의 계정이 연루되어 있는 것이 현재로서는 사실이다. 그러니 사고가 터지면 계정들을 살펴서 수상한 것들을 파악하고 접속 권한을 얼른 끊어버려야 한다. 사고가 터지기 전, 평상시부터 임직원들의 계정의 활동 내역을 살피고 차단시킬 수 있도록 필요한 조치를 취해두는 게 좋다.
2. 질문에 답하는 것만으로는 부족하다
침해 사고란 것이 의외로 갑자기, 마른 하늘에 날벼락처럼 아무런 징조 없이 터지지는 않는다. 그럴 때도 있긴 하지만 대부분은 작은 신호들이 먼저 감지된다. 평소 잘 돌아가던 애플리케이션이 느려진다거나, 사내 포털이 열리지 않는다거나, 전에 보지 못했던 경고 팝업이 뜬다는 식이다. 대부분의 사람들이 이러한 경고들을 무시하고 하던 일을 계속하는데, 이런 무관심이 쌓이고 쌓였을 때 터지는 게 침해 사고다. 그러므로 보안 담당자들과 IT 담당자들은 사소한 질문이라도 받아들이고 답할 준비를 갖춰야 한다. 그래서 임직원들이 사소한 것이라도 제보할 수 있을 만한 환경을 조성하는 게 중요하다.
하지만 ‘들어오는 질문에만 답해주겠어’라는 태도로는 질문과 제보를 권장할 수는 없다. 그것 이상을 해야 한다. 그들이 뭔가 이상함을 감지해 질문을 했을 때 그 문제의 뿌리에까지 궁금해 하고 조사하는 모습을 보여야 한다. 또한 문제를 해결하는 동안 제보자가 다른 방법으로 업무를 이어갈 수 있도록 방안을 마련하는 것도 중요하다. ‘컴퓨터 껐다 켜면 다 해결됩니다’라는 식으로만 답을 하고, 그것이 실제 표면에 드러나는 문제를 해결했다면 된 걸까? 그런 일이 반복되면 어느 순간 모든 임직원이 문제가 생길 때마다 컴퓨터를 재부팅하고 말지 보안 담당자들과 이야기를 하지 않을 것이다. 이런 분위기가 고착된다면 더 큰 사고에 대응하기가 힘들어진다.
3. 적절한 인물이 책임을 지도록 한다
사건이 터진 후에는 반드시 그 사건에 대한 책임을 누군가가 져야 한다. 그래야 사건이 마무리 된다. 아무도 책임지지 않으면 그 사건은 다시 터지기 마련이다. 하지만 책임을 너무나 강조하면 사건이 터졌을 때 다들 쉬쉬하기에 바쁘지, 시기적절하게 제보하여 다같이 해결책을 모색하는 건강한 문화는 만들어지지 않는다.
사건이 터졌을 때 책임은 상급자 선에서 먼저 지도록 하는 게 맞다. 그들이 조직 내 구성원들이 취하는 행동들을 대부분 결정하기 때문이다. 다만 결정권이 없는 일반 직원들이라고 해서 100% 면책이 보장되는 것도 옳지 않다. 그렇기 때문에 정말로 책임을 져야 하는 사람을 찾아내고, 그 사람이 올바른 강도로 책임을 지도록 하는 게 중요하다.
어려운 문제다. 어느 조직에나 어려운 문제일 수밖에 없는데, 이를 잘 수행하려면 소통이 잘 되어야 한다. 보안 사고가 발생하기 전에 왜 어떠한 실수라도 제보해야 하는지, 사고가 터진 후 왜 책임자를 찾는지, 어떤 벌을 받게 되며 왜 그런 과정이 필요한지, 그런 상황에까지 가지 않도록 모두가 어떤 노력을 해야 하는지를 계속해서 알려주고 또 알려줘야 한다. 보안 교육 과정에 이런 내용을 포함시키는 게 좋다.
4. 복구한다
마지막이 핵심이다. 피해 범위를 파악해 더 퍼지지 않도록 하는 것도 중요하고, 책임자를 찾아내는 것도 중요하고, 질문에 답을 해서 필요한 대처를 서둘러 하는 것도 중요하지만, 결국 그 모든 게 피해로부터 시스템을 정상화시킬 수 있어야만 의미를 갖게 된다. 그렇기에 사건에 대한 대응 전략을 짜두고, 데이터를 백업시켜두고, 언론 대응 계획을 갖추는 등의 작업이 미리 되어 있어야 한다. 그리고 이 모든 사전작업의 핵심은 ‘가시성’이다.
흔히들 ‘봐야 지킬 수 있다’는 논리로 가시성을 강조하는데, 그것이 틀린 말은 아니지만 가시성 확보의 진정한 가치는 빠른 피해 복구에 있다. 평소 내가 지켜야 할 것들을 볼 수 있어야 그것들이 어떤 피해를 입었고 어떤 상태이며 어떤 순서로 복구해야 할지가 보인다. 가시성 확보에 대한 노력이 있어야 피해 범위도 빠르게 파악되고, 가시성 확보에 대한 노력이 있어야 임직원들의 질문에 ‘뿌리 깊은’ 답을 해줄 수 있으며, 책임자도 짚어낼 수 있다.
다시 이야기를 처음으로 돌려 이 글을 맺고자 한다. 사이버 보안 사고는 반드시 예방되어야 한다. 하지만 언젠가 사고는 터질 수밖에 없다. 그것까지 부정하지는 말아야 한다. 사건이 터졌을 때 중요해지는 건 피해를 축소시키는 것이다. 피해를 축소시키는 데 성공하는 경험도 귀하다. 그리고 미래 사건에 대한 방비가 될 수 있다. 그러므로 예방과 후속 조치가 어우러졌을 때 우리는 진짜 보안을 이야기할 수 있게 된다. 큰 틀에서는 예방이 곧 피해 축소고, 피해 축소가 곧 예방이기도 하다.
글 : 잭슨 쇼(Jackson Shaw), CSO, Clear Skye
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>