Talking Cyber Security with the Board of Directors

이사회 임원과 나누는 사이버 보안 관련 대화

웹 보안 제품 담당 VP 조시 숄(Josh Shaul)과의 인터뷰

오늘날의 사이어 보안에 관해 이사회 임원이 알아야 하는 기본 사항은 무엇인가요?

이사회 임원은 사이버 보안의 증가하는 중요성을 인식하고 있습니다. 관심이 높고 걱정도 많이 합니다. 자신의 주요 안건에 사이버 보안을 포함시키는 이유가 여기에 있습니다. 그러나 일반적으로 임원들의 기술적 배경이 천차만별이기 때문에 동일한 사안을 서로 다르게 이해합니다. 따라서 CIO 또는 CSO가 임원에게 기업의 사이버 보안 체계에 관해 보고할 때는 흔히 일정 수준의 교육과 수준 설정이 선행되어야 합니다.

먼저, 이사회 임원은 현재 위협 환경과 그 위협 환경이 어떻게 계속 변화하는지 파악해야 합니다. 여기에는 공격 및 방어 유형에 관한 일부 기본 지식이 포함됩니다. 이사회 임원은 다양한 공격(DDoS, 멀웨어, 웹 공격)에 맞서는 데 필요한 최적의 방어 체계를 평가해야 합니다. 보안은 복잡한 문제입니다.

둘째, 비즈니스가 온라인으로 운영되고 세계 각지의 고객 및 파트너와 밀접히 연결되어 있는 경우 전통적인 경계 방화벽 방어 체계가 부적합하다는 점을 알아야 합니다. 이 경계에는 틈이 생기게 마련이며, 네트워크와 애플리케이션을 고객에게 개방하면 공격을 받을 위험성이 있습니다. 비즈니스는 계속 분산되고 있기 때문에 보안도 분산되어야 합니다.

셋째, 완전히 빈틈없는 방어 체계는 존재하지 않는다는 점을 인식해야 합니다. "우리 회사는 안전합니까?"라는 질문은 예 또는 아니오로 대답할 수 있는 간단한 질문이 아닙니다. 이런 질문을 던져야 합니다. "성공적인 비즈니스 운영을 지원할 정도로 충분히 안전합니까?" "어느 정도의 위험을 감당할 수 있습니까?" "위험 수준을 낮추기 위해 얼마나 투자할 용의가 있습니까?"

넷째, 성공은 국지적이라는 점을 알아야 합니다. 헤드라인을 장식하는 주요 유출 사태는 실패에 수반되는 대가가 얼마나 혹독할 수 있는지 계속 일깨워주고, 그 속에는 다른 조직에서 발생한 사례에서 배워야 할 교훈이 숨어 있습니다. 하지만 사이버 보안은 미디어에 노출되는 상황에서도 기업 고유의 잠재적인 위협 및 취약점에 초점을 맞춰야 합니다.

이상적인 상황에서 CIO 또는 CSO는 현지 보안 체계에 관해 어떤 내용을 이사회 임원에게 말하고 싶어 할까요?

방어, 고객, 대응의 3가지 주제를 논의해야 합니다.

방어: 우리는 효과적인 방어 체계를 보유하고 있습니다. 위협 환경의 변화에 잘 대처하고 있으며 디지털 자산과 네트워크에 대한 가시성을 확보하고 있습니다. 우리는 사이버 공격의 다음 희생자가 되지 않도록 모든 노력을 쏟아부었습니다. 경계 방어 외에도 위치에 상관없이 자산과 커뮤니케이션을 보호하기 위해 클라우드에 글로벌 방어막을 보유하고 있습니다. 또한 내부 커뮤니케이션을 모니터링하고 외부 위협과 마찬가지로 내부 위협도 철저히 방어하고 있습니다. 그리고 매우 중요한 점으로, 우리는 "실제 상황" 같이 방어 체계를 정기적으로 테스트 및 검증하고 있습니다. 전문 해커에 의뢰하여 자사 해킹을 시도하게 하고 해킹 가능한 것으로 밝혀진 취약점을 즉시 수정합니다.

고객: 우리는 비즈니스에 대한 고객의 접속을 지속적으로 모니터링하고, 고객이 자사와의 상호 작용 시 탁월하고 안전한 경험을 얻기를 바랍니다. 우리는 고객의 정상적인 온라인 행동을 파악하고, 모든 비정상적인 접속을 유심히 관찰합니다. 자사 시스템과 상호 작용하는 당사자가 고객을 가장한 봇이 아닌 실제 고객임을 확인합니다. 그리고 해커가 고객의 인증정보나 신원 정보를 탈취했을 가능성이 있다고 파악되는 즉시 고객에게 이를 알립니다. 따라서 우리는 자사 고객, 고객의 개인 정보, 고객의 데이터를 보호함으로써 고객의 신뢰를 유지하고 있습니다.

대응: 우리는 최악의 상황에도 대응할 준비를 갖추고 있습니다. 우리 팀은 훈련이 잘 되어 있습니다. 모든 팀원은 공격이나 데이터 유출이 발생할 때 대응하는 방법을 알고 있습니다. 우리는 관리 경영진, 법무 부서, 커뮤니케이션 담당자 등 정보를 알리고 개입을 요청할 당사자를 포함한 대응 계획을 수립해 놓았습니다. 우리는 증거를 수집하고 포렌식 조사를 수행하는 방법을 알고 있습니다. 우리는 실제와 같은 사고 대응 연습을 실시합니다. 사고 대응 절차의 기밀을 유지하고 지속적으로 연습을 계속해 왔기 때문에 스스로 위험에 빠지는 일은 일어나지 않습니다.

요약하자면, 우리는 최선을 다해 회사와 고객을 보호하고, 예기치 않은 상황에서도 적절히 대응할 만반의 준비를 갖추고 있습니다. "이상적인 상황"이라고 언급하셨듯이 요즘엔 이렇게 말할 수 있는 기업들이 많지 않습니다.

그렇게 되지 않는 이유는 무엇일까요? 어떤 장애물이 있는 걸까요?

간단한 답은 일반적으로 더욱 완벽한 보안 프로그램에 자금을 투여할 여력이 없기 때문입니다. 하지만 이는 표면적인 징후일 뿐입니다. 조금 더 안을 들여다보면 전후 사정과 방향성의 부족이 문제입니다. 대다수 기업은 어느 수준의 보안이 필요한지, 얼마나 많은 위험을 기꺼이 감당할 수 있는지, 위험을 감당할 수 있는 수준으로 만들려면 얼마나 많이 지출해야 하는지를 결정하는 데 어려움을 겪고 있습니다.

이러한 장애물의 극복을 돕기 위해 우리는 기업의 위험 성향에 관한 공식 지침을 개발할 것을 제안합니다. 예를 들어, 재무부에 소속된 한 정부 기관은 기술 측면에서 전반적으로 상당히 낮은 위험 성향을 보이고 있으며, 자세한 내용은 다음과 같습니다.
  • 시스템의 미승인 접속과 관련된 위험 성향이 없으므로 제어가 매우 철저해야 합니다.
  • 비즈니스 안정성과 관련된 위험 성향이 낮으므로 시스템이 다운되면 바로 복원해야 합니다.
  • 사용자 요구를 충족하기 위한 혁신적인 기술 솔루션 사용 측면의 위험 성향이 중간이므로 범위 내에서 실험을 진행해도 괜찮습니다.
연중무휴 24시간 비즈니스를 운영하고 전 세계로 시장을 확대하려는 영리 기업은 매우 다양한 위험 성향을 갖고 있을 수 있습니다. 요점은 현재 위치의 명확한 파악, 몇몇 유용한 경계 설정, 이에 따른 적절한 조율입니다. 사이버 보안처럼 중요한 영역의 경우 위험 성향의 조율 및 완료 승인은 경영진 전반으로 확대되어야 하며, 경영진은 이사회에서 자신들의 의사결정을 납득시켜야 합니다.

이러한 기준 원칙은 강력한 관리 방법으로서 경계를 명확히 규정하고, 목적 및 조치의 우선순위 결정을 지원하고, 의사결정의 토대를 제공합니다. 원칙에 명시된 개괄적인 내용에 동의함으로써 이해 당사자들은 세부 실천 방안에 더 적극적으로 동의하고 기꺼이 합의하는 경향을 보입니다. 그리고 활동 관리에 책임이 있고 전략적인 의사결정을 내리는 경영진, 이 경우 CIO 및 CSO는 지지 기반이 더 탄탄할 뿐 아니라 훨씬 설득력 있는 방법으로 자신의 행동을 설명하고 납득시킬 수 있습니다.

위험 성향을 어떻게 판별하는지 더 자세히 알려주실 수 있나요?

보안 사례에 대한 업계 벤치마크나 더 일반적인 사이버 보안 숙성도 모델 등 몇 가지 외부 참조 자료를 활용하는 것이 도움이 됩니다. 신뢰할 수 있는 써드파티는 기업의 보안 역량, 때로는 대략적인 예산을 동종 업계의 다른 회사나 경쟁사와 비교 평가할 수 있습니다. 결과적으로 필요한 조치, 특히 업계에서 공격에 가장 취약한 부류에 속하지 않도록 하는 방안을 식별하고 그 타당성을 증명할 수 있습니다.

숙성도 모델은 보통 5단계로 나뉘는 역량 수준에 따라 방어, 운영, 관리 프로세스를 통합시킵니다. 조직은 평가를 실시한 후 "우리는 2단계에 속하는데 너무 낮은 수준입니다. 즉, 비즈니스 노출 위험성이 현저히 높습니다"라는 결론을 내릴 수 있습니다. 숙성도 모델은 3단계에 도달하는 데 필요한 추가적인 역량이 무엇인지 알려줍니다. 기업의 위험 성향 관리 방안에는 성숙도 수준 목표 달성이 포함되어야 합니다.

유용한 기법은 로컬 시나리오와 실제 확인을 통해 위험 성향 관리 방안을 테스트하는 것입니다. 예를 들어, 기업은 예외 없이 모든 온라인 고객에게 연중무휴 24시간 서비스를 제공해야 한다고 얼핏 생각할 수 있습니다. 하지만 심각한 공격이 발생하는 경우 주요 시스템의 운영을 중지하고 고객 중 30%의 접속을 차단하여 나머지 고객의 접속을 유지하려고 할까요?

다른 예로, 기업은 자사 네트워크에 대한 미승인 접속을 절대로 허용하지 않는 방식을 원할 수 있습니다. 그러나 이는 가장 안전하다고 평가를 받는 정부 보안 기관에서도 실현 불가능한 목표입니다. 대부분의 조직에서 미승인 접속은 이미 발생했으며 지금 이 순간에도 일어나고 있습니다. 이들에게 시급한 현안은 침입자를 찾아서 무력화시키는 것입니다. 따라서 현실적인 위험 성향 질문은 "어떤 종류의 침입을 우선적으로 인식하고 포함시켜야 하는가?"입니다.

이러한 시나리오는 미리 고려해야 하며, 대응 방안의 일부가 되어야 합니다. 시나리오 계획에는 자신을 공격자라고 가정하고 가장 취약한 자산이 무엇인지 예측하는 과정이 포함되어야 합니다. 공격이 발생하고 전운이 감도는 상황에서 주요 의사결정을 내리고 싶은 사람은 없을 것입니다.

위험 성향 관리 방안의 개발 및 테스트 프로세스는 반복적이며, 보안 목적 달성에 필요한 요소(주로 비용)의 영향을 받습니다. "우리에게는 X단계 수준의 보안이 필요합니다." "예상 비용은 3천만 달러입니다." "그렇다면 X단계보다 낮은 수준을 고려해보죠." 이와 같은 사례는 기업에서 흔히 일어납니다. 위험 성향 관리 방안은 공격의 여파, 즉 강화된 보안의 필요성 인식이나 조직이 위험 프로필을 따를 수 없다는 현실 인식으로 인해 수정이 필요할 수 있습니다.

마지막이자 매우 중요한 점으로, 위험 성향 관리 방안은 일반적이거나 이론적이어서는 안 됩니다. 가장 어려운 의사 결정과 협의 절차에서도 올바른 방향을 알려줄 수 있도록 기업이 처한 상황에 맞게 수립되어야 합니다.

컴퓨팅 환경에 대한 가시성을 언급하셨는데요. 이 가시성은 효과적인 사이버 보안의 토대가 되겠군요.

물론입니다. 자산, 연결, 네트워크 활동, 취약점에 대한 가시성이 완벽해질수록 전체 환경을 더 견고하게 보호할 수 있습니다. 하지만 그렇게 간단한 일이 아닙니다.

포괄적 보안을 구축하려면 기업의 네트워크, 시스템, 시작할 데이터에 대해 정확한 내역이 필요한데, 이는 특정 측면에서 어려운 과제일 수 있습니다. 일반적인 예는 민감한 데이터의 위치입니다. 대다수 조직은 이런 데이터가 보관된 위치를 알지 못합니다. 다른 예는 조직의 네트워크 표면 영역으로, 컴퓨팅 환경으로 유입될 수 있는 모든 연결, 파트너, URL을 말합니다. 오랫동안 온라인 환경을 유지한 대기업에서 전체 내역을 파악하는 일은 쉽지 않습니다.

잘 정리된 내역이 있는 경우에도 환경에 대한 기업의 가시성은 다음과 같은 몇 가지 이유로 불완전할 수 있습니다.
  • 어디서 무엇을 찾아야 하는지 모를 수 있습니다. 이 경우에는 전문가의 안내를 받으면 됩니다.
  • 어떻게 찾는지 모를 수 있습니다. 이 경우에는 인프라 모니터링용 기술 툴의 지원을 받으면 됩니다.
  • 부담 때문에 찾고 싶지 않을 수 있습니다.
이 부분은 민감한 영역으로, 아마도 보안 커뮤니티의 "불편한 진실"일 것입니다. 무언가를 찾았을 때 수정할 의무가 주어지고 이 과정에서 어려움을 겪거나 비용이 많이 지출될 수 있기 때문에 조직에서 밝히고 싶지 않은 어두운 구석이 존재할 수 있습니다. 가끔은 문제를 모르는 편이 더 나을 수 있습니다. 하지만 현실은 그렇지 않습니다.

문제를 찾지 않고 그대로 두면 더 큰 문제가 발생할 수 있습니다. 유출 사태가 발생하면 무시와 방치는 변명이 될 수 없습니다. 그러나 문제를 찾고 수정하지 않은 상태로 두는 것도 괜찮을 때가 있습니다. 이 경우는 우선순위와 관련된 일입니다. 모든 문제를 수정하기에 충분한 자금, 인력, 기타 리소스를 보유한 기업은 없습니다. 그리고 방어 능력, 비용, 비즈니스 위험 사이에는 어쩔 수 없이 마찰이 생깁니다. 따라서 다시 위험 성향으로 돌아가게 됩니다. 포괄적인 가시성과 지식을 갖추면 가장 큰 위험을 몰고 오는 취약점을 수정하는 데 전념할 수 있습니다. 그러면 기업은 위험 성향 내에서 편안히 비즈니스를 운영할 수 있습니다.

마지막으로 CIO 및 CSO가 숙지해야 하는 주요 내용을 정리해서 말씀해 주실수 있나요?

첫째, 이사회 임원과 협력할 때 기술적 방어 상태와 공격 위험 가능성 외에 더 많은 주제를 다룹니다. 또한 고객 보호, 보안 부서의 준비성, 공격 발생 시 사고 대응 절차를 논의합니다. 이러한 모든 주제는 철저한 대응과 실사를 의미합니다.

둘째, 이사회 임원은 기업의 보안이 완벽할 수는 없다는 점을 이해해야 합니다. 그러나 기업은 의도적으로 결정되고 수용 가능한 위험 성향 내에서 비즈니스를 운영할 수 있습니다. 일반적으로 말하면, CEO와 이사회 임원은 보안 전략과 위험 성향을 이해 당사자인 고객, 직원, 규제 기관, 주주와 공유해야 합니다.

셋째, 보안 책임자는 주로 책임을 이행하는 데 필요한 리소스 확보에 애를 먹습니다. 대다수는 보안 프로그램의 비즈니스 가치와 그 필요성에 관해 재무 책임자와 소통하기가 어렵다고 말합니다. 사이버 보안과 위험 성향에 관해 경영진 및 이사회 임원과 정기적으로 반복해서 소통할 기회를 갖는 것이 도움이 됩니다. 리소스 확보는 동종 업계 다른 기업과의 비교가 좋은 방법일 수 있습니다. 하지만 현실적으로 위험 조정 보안 요구 사항에는 보안 책임자가 수행하려고 하는 모든 사안이 포함되지 않을 수 있다는 점을 유념해야 합니다.

그리고 넷째, 보안 역량과 위험 성향이 모두 명확할 때 사이버 보안 프로그램 및 프로세스는 기업에서 실천을 위한 범위를 설정하는 데 도움이 될 수 있습니다. 보안을 단순히 "금지"하거나 "온라인 운영 및 혁신을 위해 마음대로 하는 영역"이라는 관점으로 인식하면 안 됩니다. 새로운 비즈니스 이니셔티브를 구상하고 개발할 때는 사이버 보안 담당자를 처음부터 참여시켜야 합니다. 사이버 보안은 공격자의 발전을 막으면서 비즈니스 성장을 지원해야 합니다.

Related CIO Content