[보안뉴스= 페데리코 차로스키 CEO, Quorum Cyber] CISO들은 어마어마한 업무량에 시달리는 사람들이다. 회사 전체의 보안 문제를 홀로, 밤낮으로 책임져야 하며, 따라서 지역과 산업의 모든 상황들을 항시 꿰뚫고 있어야 한다. 그러면서도 회사 내부 사정도 빠삭하게 알고 있어야 하며, 작업의 진행 상황에 대한 지식도 해박해야 한다. 그래야 많은 임직원들이 안전선 안에서 최대한의 생산성을 마음껏 발휘할 수 있게 된다. 그래야 사업도 잘 진행되고, 안전도 지켜진다. 하지만 이게 말처럼 쉬운 일은 아니며, 최근에는 보안 인력도 부족한 상황이라 CISO가 느끼는 압박감은 갈수록 더해진다.
[이미지 = gettyimagesbank]
많은 수고를 했음에도 작은 틈을 허용하는 바람에 사이버 보안 사고가 일어났다면 어떻게 될까? 모든 비판을 가장 앞에서 홀로 받게 된다. 책임을 져야 하는 사람도 바로 이 CISO들이다. 그래서 CISO의 근속 기간은 평균 2년 반이라고 한다. 정당하지 않은 처사다. 예를 들어 피싱 공격의 경우, 가장 많은 공격을 허용하는 전략이지만 개개인이 무심코 한 행동(악성 링크 클릭이나 악성 첨부 파일 열기 등)에서 비롯되는 게 대부분이다. 모든 임직원의 수족을 묶어두고 관리하지 않는 이상 CISO가 모든 상황에 개입해 그들의 잘못된 행동을 뜯어 말릴 수 없기 때문이다. 문제는 CISO가 관리를 못했다는 게 아니라 한 개인의 무심한 행동 하나에 회사 전체가 흔들리게 되는 구조 그 자체가 아닐까?
누군가 악성 링크를 클릭할 가능성을 0%로 맞출 수 없다는 상황에서 모든 책임을 CISO에게 묻는 것도 문제지만, 우리에게는 더 큰 문제들이 있다. 예를 들어 2023년 10월에 발견된 시트릭스 블리드(Citrix Bleed) 취약점이 있다. 전 세계 수많은 조직들이 사용하는 SSO 서비스에서 나타난 이 취약점 때문에 수도 시스템과 금융 서비스와 주식 시장 등에서 장애가 나타났었다. 심지어 앰뷸런스 서비스가 막히는 곳도 있었던 것으로 알려져 있다. 이런 사태를 어떤 CISO가 미리 예측해 방어할 수 있을까?
최근 사이버 보안 사건이 계속해서 발생하고 다양한 매체들에서 온갖 사건들이 다뤄지며 영향력 높은 정부 기관들이 보안 권고문을 매일처럼 발표하는 통에 이제는 기업의 경영진들도 보안 사건에 대한 접근 방식을 바꿨다. ‘만약 그러한 일이 일어난다면’이 아니라 ‘그런 일이 일어났을 때’로 말이다. 보안이 100% 예방에 관한 것이 아니라는 것을 깨닫고 있다는 뜻이다.
그러한 접근 방식은 올바르다. 사이버 범죄자들은 점점 효율적으로, 또 효과적으로 움직이고 있기 때문이다. 그러므로 공격을 성공시키는 확률도 높아지고 있고, 우리의 피해량은 계속해서 늘어나고 있다. 어느 덧 사이버 범죄는 대단히 높은 수준의 수익을 자랑하는 산업으로 자리를 잡았다. 세계경제포럼(WEF)에 의하면 “2015년 사이버 범죄자들이 거둔 수익은 3조 달러, 2021년 6조 달러였다”고 한다. “2025년에는 10.5조 달러가 될 예정”이라고 한다. 만약 사이버 범죄자들로 이뤄진 국가가 있다면 미국과 중국 다음의 경제 대국이었을 것이다.
CISO들의 할 일이 갈수록 많아지는 건 이런 상황 때문이다. 할 일만 많아지는 게 아니라 져야 할 책임도 증가하고 있다. 그런데도 조직의 안전을 100% 확신할 수 없다. 누구보다 열심히 많은 일을 하는데도 찜찜한 기분이 유지된다. 그러니 이 계통으로 들어오는 인재들이 줄어들 수밖에 없다. 일은 많은데 보람도 희박하니 말이다.
이런 상황에서 회사는 어떻게 CISO들을 지원해야 할까? 어떻게 해야 그들이 자신의 일을 좀 더 수월하게, 좀 더 즐겁게 할 수 있도록 도울 수 있을까? 져야 할 책임을 지게 하되, 늘 ‘언제 해고될 지 모른다’는 불안감에 시달리지 않게 할 수 있을까? 먼저는 임원진들 중 누군가 CISO의 입장을 깊이 있게 이해할 수 있어야 한다. CISO가 어떤 위협을 마주하고 있는지, 어떤 리스크와 불안감을 짊어지고 있는지, 그들이 삐끗할 때 회사가 어떤 피해를 입을 수 있는지 등을 CISO와 같이 이야기할 수 있어야 한다.
그러려면 사이버 보안의 언어부터 알아두는 게 중요하다. 마찬가지로 CISO들 역시 임원진들의 언어로 자신들의 입장을 이야기할 수 있어야 한다. 한쪽에서는 기술적 용어들을 계속해서 섞어대고, 다른 한쪽에서는 사업과 재무와 관련된 지표들만 내세우니, 둘은 계속해서 평행선을 달릴 수밖에 없게 된다. CISO들이라면 사이버 범죄와 관련해서 다음과 같은 질문들이 임원진들로부터 날아올 수 있다는 걸 기억하면 대화에 도움이 될 것이다.
1) 회사 전체의 사이버 보안 성숙도는 어떻게 측정해야 하는가? 즉 임원진들은 ‘그래서 우리 회사가 지금 어느 정도 수준의 방어력을 갖추고 있는 것인가’가 궁금할 수밖에 없다. 사이버 범죄자들의 수준이 높아지고, 그러므로 위협이 거세지는 건 알겠는데, 우리의 대처 능력은 어느 정도냐는 것이다. 미국의 NIST나 영국의 NCSC 등이 보유하고 있는 사이버 평가와 관련된 프레임워크에 따라 성숙도를 평가하고, 이를 상호간에 이해가 가능한 언어로 표현해주는 게 중요하다.
2) 보안 통제 기술이나 솔루션을 얼마 간 구축해 활용해 왔는데, 그것에 계속해서 돈을 쓸 이유가 무엇인가? 보안 솔루션이나 기술들 중 한 번 돈을 내면 영구하게 우리 것이 되는 것도 있지만, 그렇더라도 유지나 보수, 관리에 주기적인 비용이 들어가게 된다. 보안 솔루션은 생산성 도구들이 아니므로 ‘왜 여기에 돈을 들여야 하는가?’라는 질문은 주기적으로 나온다. 그 솔루션이 없을 때 무슨 일이 일어나는지를 ‘비용적으로’ 설명해 줄 수 있어야 한다.
3) 사이버 보안 사고나 사이버 범죄와 관련된 통계 자료를 가지고 있는가? 이것은 ‘우리 회사는 얼마나 많은 공격에 노출되어 있는가?’가 궁금할 때 나오는 질문이다. 지금 우리 회사를 둘러싸고 사이버 보안 사고가 얼마나 많이 일어나고 있는지, 그러므로 우리는 어느 정도의 위험에 노출되어 있는지가 궁금한 건데, 그럴 때는 ‘어떻게 해야 효율적으로 방어가 가능하다’까지 답할 수 있어야 한다. 그저 ‘많은 일이 벌어지고 있으니 주의해야 한다’고만 답하면 예산 확보를 위해 공포심을 조장하는 것처럼 들린다.
CISO들은 회사에서 대단히 예민할 수밖에 없는 입장이다. 온갖 외적, 내적 스트레스에 시달린다. 그러면서도 너무나 중요한 임무를 맡고 있기도 하다. 이들이 어느 정도 스트레스와 염려에서 해방되어야 회사도 튼튼해진다. 먼저는 CISO들이 하는 말에 귀를 기울여주는 것만으로도 CISO들은 힘을 받을 수 있다. CISO들이 임원진의 언어를 섞어 다가오면, 임원진들도 CISO의 언어를 배우려 해야 한다. 회사 전체의 보안 강화는 그러한 상호 언어 학습부터 시작된다.
글 : 페데리코 차로스키(Federico Charosky), CEO, Quorum Cyber
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>