Identifying Hazards to Better Prepare for Cyberattacks

사이버 공격에 더욱 확실히 대비하기 위한 위험 식별

- 밥 비오리노(Bob Violino)

최고정보책임자(CIO)는 광범위한 방어 전략, 즉 상당한 비용 손실을 유발할 수 있는 내부 위험에 집중하는 보다 효과적인 보안 접근 방식을 찾고 도입을 서둘러야 합니다.

비용 손실은 어느 정도일까요? Kaspersky Lab의 2017년 보고서에 따르면, 금융 기관에서 DDoS(Distributed-Denial-of-Service) 사고를 복구하는 데 평균 120만 달러가 소요된다고 합니다. 이는 다른 업계의 액수가 95만 2천 달러인 것에 비하면 훨씬 높은 수준입니다.

Identifying Hazards to Better
광범위한 접근 방식은 조직에서 기존 위험을 고려하고 분석하여 갑작스러운 위협도 손쉽게 방어하도록 지원합니다.

글로벌 클라우드 전송 플랫폼 사업자 Akamai Technologies를 비롯한 일부 기업들은 광범위한 방어를 사이버 보안 프로그램의 핵심 요소로 만들었습니다.

전통적으로 사이버 방어는 규정 준수안이나 산업 표준에 명시된 요건을 기반으로 구축되어 왔습니다. 그 결과 대다수 방어 체계는 기업의 실제 보안 위협 및 취약점에 적절히 대응하지 못하고 그 효용성이 낮을 수 밖에 없었습니다.

"기존의 접근 방식에서는 보안 환경의 변화를 예상하지 못합니다"라고 Akamai CSO 앤디 엘리스(Andy Ellis)는 설명합니다.

중요한 점은 전통적인 전략으로는 최신 랜섬웨어 또는 DDoS 위협을 막아낼 수 없다는 것입니다. 이러한 위협은 방어 준비가 되어 있지 않은 기업에 심각한 손해를 입힐 수 있습니다.

방어 확대

광범위한 접근 방식은 조직에서 기존 위험을 고려하고 분석하여 갑작스러운 위협도 손쉽게 방어하도록 지원합니다. 주로 이러한 위험은 비즈니스 유형, 온라인 운영 방식, 배치 장소, 직원·비즈니스 파트너·고객에게 제공하는 접속 등 다양한 변수를 기반으로 형성됩니다.

광범위한 방어 체계 하에서는 새로운 애플리케이션을 웹에서 선보이기 전에 기업이 앞으로 겪을 수 있는 위험 목록을 미리 생성할 수 있습니다.

엘리스는 이렇게 말합니다. "위험의 예로는 온라인 상의 애플리케이션 데이터베이스를 들 수 있습니다. 한 걸음 물러서서 '이로 인해 직면하는 감당 불가능한 손실은 무엇인가?'라고 자문해야 합니다."

예를 들어, 고객의 개인 정보가 보관된 데이터베이스 노출은 감당 불가능한 손실일 수 있으므로 이런 위험이 있는 애플리케이션을 위한 프로젝트는 문제가 먼저 해결되지 않으면 진행해서는 안 됩니다.

이러한 방식으로 보안을 다루면 보안 실무진이 비즈니스 리더에게 보안이 중요한 이유를 손쉽게 납득시킬 수 있습니다. 예를 들어, 비즈니스 라인 경영진에게 새로운 방어 세트를 사용할 수 있다고 말하는 대신 CIO가 유출 사고로 초래되는 결과를 상세히 알려줄 수 있습니다.

엘리스는 다음과 같이 부연 설명합니다. "웹 애플리케이션 방화벽의 필요성을 부각시키는 것은 어려울 수 있지만, 노출을 원하지 않는 데이터의 보호가 중요하다는 사실은 쉽게 인식시킬 수 있습니다. 이 방식은 해결하려는 위험을 위해 확보하고자 하는 툴에도 적용할 수 있습니다. 핵심은 위험에 집중하는 것입니다."

보안 실무진과 CIO의 임무는 주요 위험을 전반적으로 다루는 것입니다.

"전체 위험 목록을 작성하면 알려지지 않은 적으로부터 기업을 안전하게 보호할 수 있습니다"라고 엘리스는 강조합니다.

리소스의 특성과 배치 위치는 SQL 인젝션이나 상상하지 못했던 다른 공격 유형에 상관없이 조직을 위험에 빠뜨릴 수 있는 요소이므로 매우 중요합니다.

관계 형성

광범위한 방어 전략은 보안 이니셔티브를 위한 자금 조달을 돕습니다. 하지만 자금 조달은 문제가 아닐 수 있습니다.

엘리스는 이렇게 말합니다. "비즈니스 파트너와의 사고방식 공유는 어려운 부분입니다.

비즈니스 라인 파트너는 비즈니스 위험에 관한 교육을 받아야 합니다. 쉽지 않은 일이지만 비즈니스 파트너와 우호적인 관계를 형성해야 이것이 가능합니다."

CIO와 보안 실무진은 감당 불가능한 손실이 무엇인지에 관해 다른 사람들에게 알려줌으로써 광범위한 방어 체계로의 전환을 이끌어야 하는 책임이 있습니다.

광범위한 방어 체계 구축이라는 아이디어는 금융 서비스 부문의 일부 기업에서 가끔 사용하기는 했지만 여전히 많은 기업에게 친숙하지 않습니다.

이 개념은 내부 리소스가 부족한 소규모 기업의 경우 시작하는 데 도움이 필요할 수 있지만, 일반적으로 기업의 유형과 규모에 상관없이 효과를 발휘할 수 있습니다. 소규모 기업은 관리형 보안 서비스 사업자의 지원을 받으면 됩니다.

이 접근 방식을 채택한 조직은 실제 위험을 기반으로 하고 보호가 필요한 대상과 훨씬 밀접한 관계를 가진 보안 프로그램을 구축할 수 있습니다.

밥 비오리노는 클라우드 컴퓨팅, 사이버 보안, 빅 데이터 등 다양한 전문 분야에서 활동하는 비즈니스 및 기술 프리랜서 저술가입니다.

Related CIO Content