Building Security Resilience (Korean)
Stories and Advice from Cybersecurity Leaders
보안 탄력성 구축
사이버 보안 리더가 들려주는 성공 사례와 조언
사이버 보안 전문가들은 조직을 보호하고 탄력성을 구축하는
일에 헌신을
다해왔습니다.
그리고 지금은 그러한 업무가 그 어느 때보다도
힘든 상황입니다.
조직은 기업, 고객, 공급업체, 파트너 간의 경계가 전체적으로 불분명해진 통합된 에코시스템으로서 운영되고 있습니다. 게다가 조직은 끊임없이 변화하는 업무 패턴에 맞춰 적응하고 있으며, 하이브리드 업무도 지속될 전망입니다.
탄력성에 초점을 두게 되면서 보안 문제도 더욱 심화되어, 오늘날 임원진은 다음과 같은 어려운 질문에 직면하게 되었습니다.
-
위협이 언제 조직에 영향을 미칠 것인가?
-
조직은 이런 모든 위협을 탐지할 준비가 되어 있는가?
-
조직에서 위험에 가장 많이 노출된 곳은 어디인가?
-
위협이 미치는 영향을 신속하게 완화할 수 있는가?
-
얼마나 빨리 복구할 수 있는가?
-
조직의 보안은 개선되고 있는가?
이 e-Book에서는 전 세계 보안 리더들의 성공 사례와 경험을 통해 사이버 탄력성을 어떤 방식으로 조직에 통합했는지 살펴봅니다.
보안 리더들은 변화에 적응하는 조직의 역량에 가장 큰 영향을 미치는 관행에 대해서도 안내합니다.
여러분에게 보안 탄력성이 갖는 의미는
무엇입니까?
Liz Waddell
Incident Response Practice Lead, Cisco Talos | LinkedIn | Twitter
제가 생각하기에, 기업의 탄력성을 구축하는 것은 네 가지 핵심 요소로 구성됩니다. 가장 중요한 부분은 직원들에게 투자를 하는 것입니다. 즉, 직원들의 정신 건강을 보호하는 일이 다른 무엇보다도 가장 중요합니다. 보안 업계는 작업자들의 격무와 번아웃으로 악명이 높습니다. 적합한 인재를 적재적소에 배치하십시오. 직원 교육에 투자하여 직원들이 회사의 환경과 기술을 잘 숙지하도록 하고, 문제 발생 시 이에 대응하고 보호할 수 있는 준비를 갖추도록 해야 합니다.
두 번째로 중요한 것은 비즈니스 연속성 및 재해 복구(BCDR) 계획을 사고 대응 계획에 맞춰 조정하는 것입니다. 이렇게 할 경우 중요한 비즈니스 요구사항에 따라 회사의 복구 계획이 가동됩니다. 이처럼 서로 맞춰 조정을 하면 중요한 에셋이 어디에 있는지, 통신을 수행하는 다른 시스템은 무엇인지, 해당 시스템이 네트워크에서 어떻게 작동되는지 파악할 수 있습니다.
세 번째 요소는 사이버 방어 전략을 구축할 때 조직에 최대한의 이점을 제공하는 쉽고도 성공률 높은 방법을 찾는 것입니다. 이러한 방법에는 다단계 인증(MFA), VPN, 패시브 DNS 로깅, 대응 자문 서비스 가입 등이 해당되며, 이러한 모든 방법은 대부분의 회사에서 꽤 쉽게 구현할 수 있는 것들입니다.
또 다른 예로는 CEO 또는 이사진에게 보고하는 직속 보안 담당자를 두고, 전 세계에서 일어나는 사이버 보안 위험에 대해 이사진이 교육받도록 하는 방안을 고려하는 것이 있습니다. 이러한 조치가 중요한 이유는 CEO나 이사진은 투자에 대한 자금을 제공할 뿐만 아니라, 회사에 어떤 위험이 다가올 수 있는지 파악해야 하기 때문입니다.
마지막 네 번째 요소는 외부 위험을 아는 것입니다. 서드파티와 공급망에서 비롯될 수 있는 위험은 무엇일까요? 전 세계의 상황을 인지하고 있는 것도 중요합니다. 사이버 보안과 직접적으로 관련이 없다고 하더라도, 뉴스에 나오는 사건들은 여러분이 보호하고자 하는 대상에 영향을 미치게 됩니다.
조직에서 보안 탄력성을 구축하기 위한 몇 가지 핵심 고려 사항은 무엇입니까?
Richard Archdeacon
Advisory CISO, Cisco Secure | LinkedIn
탄력성을 갖추려면 조직의 운영을 계속 가동할 수 있는 방식으로 변화를 관리하는 역량이 필요합니다. 새로운 파트너사 인수 같은 긍정적인 변화도 있지만, 사이버 공격의 표적이 되는 것 같은 부정적인 변화도 있습니다.
보안 팀의 시작점은 항상 계획 수립이었습니다. 위험 기반 접근 방식을 사용하여 위협, 취약점, 가능성, 영향을 살펴봄으로써 전체 위험을 파악합니다. 위험을 파악하기 위해 다음과 같은 방식으로 잠재적인 시나리오를 사용합니다. 즉, 위협이 있다고 가정한 후, 위협이 우리 조직에 영향을 미칠 가능성을 평가하고, 마지막으로 취약점을 차단하고 영향을 줄일 수 있는 방법을 알아봅니다. 연속성 및 복구 계획은 이러한 시나리오를 토대로 구축됩니다.
위협과 관련이 없는 다른 변화에 직면했을 때 높은 수준의 연속성을 유지할 수 있는 방식을 모색하는 CISO가 점점 더 늘어나고 있습니다. 외부 컨설턴트 팀이 보안 구축을 관리하거나, 신규 공급업체가 노출 위험 없이 시스템 관리에 연결될 수 있도록 보장하는 일 등 위험과 기회, 제어, 적응력 간의 균형을 맞추는 일은 모두 탄력성과 관련된 부분입니다.
이러한 목표를 실현하기 위해 CISO들은 다음을 통해 준비하고 있습니다.
-
조직 전체에서 경영진 팀의 지원 얻기. 이는 기술이나 보안 문제는 아니지만, 비즈니스 당면 과제입니다.
-
탄력성 구축의 정당성을 피력하기 위해 이사회 수준의 표현 개발하기.
-
모든 관계자가 프로세스를 회사 내에 확립하고 시행하도록 보장하기.
-
일반적인 위협 인텔리전스와 구체적인 업계 위협 인텔리전스를 모두 지속적으로 발전시키기.
-
에셋 전체를 더 명확하게 파악하고, 새로운 정책과 제어 방식을 구현할 수 있는 중앙 집중식 기능을 제공하는 유연한 기술 도입하기.
“보안 팀의 시작점은 항상 계획 수립이었습니다. 위험 기반 접근 방식을 사용하여 위협, 취약점, 가능성, 영향을 살펴봄으로써 전체 위험을 파악합니다.”
Richard Archdeacon | Advisory CISO, Cisco Secure
Goher Mohammad
Head of InfoSec, L&Q Group | LinkedIn
탄력성에는 회사가 허용할 수 있는 부분에 대해 위험 기반의 접근 방식을 취하는 것이 중요합니다. CIO나 이사진과 더불어, 보안 리더는 해당 분야의 전문가로서 위험을 명확하게 조정하고 잘 설명해야 합니다. 그리고 위험에 대해 어떤 조치를 취해야 할지 조언하여 조직이 올바른 결정을 가늠할 수 있도록 지원해야 합니다.
예방 비용이 수백만 달러가 드는데, 피해가 발생하는 경우 전체 피해 금액이 수천 달러에 불과하다면, 이는 결정 과정에서 한 가지 요인으로 작용할 것이고 설사 위험을 감수하겠다 해도 잘못됐다고 할 순 없을 겁니다. 하지만 이것은 단순히 재정적인 문제가 아니라 조직의 평판을 좌우하는 일이며, 데이터 보안 침해가 야기할 수 있는 장기적인 영향과 관련된 사안입니다. 모든 요소를 고려한 후에 조직에서 어떤 점을 허용할 수 있고, 허용할 수 없는지 결정을 내려야 합니다.
그뿐만 아니라, 조직의 생존에 없어서는 안 될 가장 가치 있는 에셋 목록과 잠시 동안 없어도 조직의 생존이 가능한 에셋 목록을 추려서 제공해야 합니다. 그런 다음, 위협 모델에 따라 그러한 에셋에 보안을 여러 층으로 적용해야 합니다. 현실적으로 모든 에셋마다 항상 최고 수준의 보안을 적용할 수는 없는 일입니다.
무한한 예산이나 리소스를 가진 CISO는 없습니다. 모든 일을 할 수도 없고 모든 것을 보호할 수도 없습니다. 하지만 그래도 괜찮습니다. 여러분의 목표는 조직에 가장 중요한 것을 보호하고, 그와 관련된 모든 것을 보호하는 것입니다. 이러한 접근 방식을 사용하면 탄력성을 구축할 수 있으며 탄력성을 계속 구축하다 보면 최대한 빠르게 선제적으로 대응할 수 있게 됩니다.
“이것은 단순히 재정적인 문제가 아니라 조직의 평판을 좌우하는 일이며, 데이터 보안 침해가 야기할 수 있는 장기적인 영향과 관련된 사안입니다.”
Goher Mohammad | Head of InfoSec, L&Q Group
Martin Lee
EMEA Region Lead, Strategic Planning & Communications, Cisco Talos | LinkedIn
탄력성이란 위협 공격으로 피해가 발생했을 때 바로 무너지는 게 아니라, 직면한 위협을 관리할 수 있는 것을 뜻합니다. 탄력성은 보호와 사고 대응 계획을 통합함으로써 실현됩니다.
탄력성을 갖추기 위한 첫 번째 단계는 우리가 직면하고 있는 위협을 아는 것입니다. 이러한 위협의 특성을 모르는 상태에서는 보호 조치를 취할 수 없습니다. 성공적인 탄력성의 기반은 위협과 우리 자신의 약점을 파악하는 데서 비롯됩니다.
이러한 지식으로 무장하고 있으면 보호 조치를 구현하여 위협이 영향을 미칠 가능성을 줄이고, 위협이 공격에 성공한다 해도 영향이 최소화됩니다.
그러나 우리는 어떤 보호 조치도 완전무결할 수 없으며, 위협이 어떤 방식으로 변화하고 진화하는지 완전히 예측할 수도 없다는 점을 인정해야 합니다. 따라서 위협이 영향을 미칠 경우 신속하고 효과적으로 대응할 수 있도록 대비해야 합니다.
조직의 시스템에 단일 장애 지점이 없도록 하면, 위협으로 인해 구성 요소 하나가 작업이 중단되어도 작업을 계속 진행할 수 있습니다. 사고에 대한 대응을 계획하고 사전에 연습해보면 위협을 해결하고 최대한 빨리 정상 기능을 복구할 수 있습니다.
“성공적인 탄력성의 기반은 위협과 우리 자신의 약점을 잘 파악하는 데서 비롯됩니다.”
Martin Lee | EMEA Region Lead, Strategic Planning & Communications, Cisco Talos
보안 자문으로서 제가 탄력성을 평가하기 위해 확인하는 요소 중 하나는 데이터 분류, ID 및 액세스 관리 같은 조직의 관행이 어떻게 이루어지고 있는가입니다. 이러한 영역의 종합적이고 전체적인 설계가 탄탄한지 보안 관점에서 검토해야 합니다.
조직에서 탄력성을 실현하는 가장 효과적인 방법 중 하나는 기존에 확립된 회사 내 그룹이 아닌 협력적인 환경에서 팀 접근 방식을 취하는 것이며, 비공식 팀이라 해도 그렇습니다.
이와 같은 조치가 중요한 이유는 이러한 노력은 혼자서 할 수 있는 일이 아니기 때문입니다.
예를 들어 제가 개발자와 함께 일하게 될 경우, 개발자는 애플리케이션 개발에 대한 책임이 단순히 기능에서 그치지 않고 보안까지 포함된다는 것을 명확히 인지해야 합니다. 즉, 고객이 우리 회사와 안전하게 비즈니스를 수행할 수 있는 애플리케이션을 만들어야 합니다.
조직이 올바른 보안 요건에 대한 비전과 조치를 공유하면 탄력성을 더욱 강화할 수 있습니다. 그리고 침투 테스트, 코드 스캔, 데이터 분류를 모두 적시에 수행해야 합니다.
보안 전문가들이 프로젝트를 실제로 돕는 방식을 보고 있으면 놀랍습니다. 이는 기존에 보안을 다루었던 방식과는 다른 관점입니다. 보안 전문가와 소통을 하면 기업은 시작 단계에서부터 프로젝트에 보안을 설계할 수 있습니다. 그리고 이렇게 하면 보안 사고가 발견된 후 나중에 보안 기능을 급하게 더하지 않아도 되므로 탄력성이 구축됩니다.
“조직에서 탄력성을 실현하는 가장 효과적인 방법 중 하나는 기존에 확립된 회사 내 그룹이 아닌 협력적인 환경에서 팀 접근 방식을 취하는 것이며, 비공식 팀이라 해도 그렇습니다.”
Lidia Giuliano | Information Security Professional
James Packer
Head of Information Security | LinkedIn
선제적으로 시간을 투자하는 것이 중요한 영역 중 하나는 올바른 컨텍스트에서 정확하고 실행 가능한 위협 인텔리전스를 얻을 수 있는 능력에 있습니다. 이는 상당히 쉽지 않은 일입니다. 왜냐하면 매우 세부적인 위협 인텔리전스를 제공하지만, 이러한 정보의 연관성을 파악하고 광범위한 컨텍스트로 가져오지 못하는 경우가 잦은 툴이 다양하게 출시되어 있고 여러 많은 벤더가 이러한 툴을 제공하기 때문입니다. 예를 들어, 현재 전 세계적인 혼란으로 인해 지정학적 관점에서 사이버 범죄를 예측하는 일이 중요해졌습니다.
컨텍스트를 보여줄 수 있는 기능은 비즈니스에 실제 가치를 더합니다. 실제 현실에서 일어나고 있는 상황을 토대로 서비스 딜리버리, 운영, 중요한 기능에 대한 위협을 여러분이 어떻게 해결하는지 임원진에게 보여줄 수 있다면 임원진은 여러분이 하는 일의 중요성을 눈으로 볼 수 있습니다. 이를 통해 경영진은 비즈니스가 탄력성을 갖춘 상태라는 의미 있는 확신을 가질 수 있습니다.
탄력성의 중요한 측면은 기업이 수행하는 업무와 사실상 일치하는 활동에 중점을 두어야 한다는 점입니다. 탄력성을 테스트하기 위한 연습을 시도하고 시행해보는 것은 좋지만, 최근 몇 년 사이에 새로운 업무 모델이 등장했기 때문에 다양한 프레임워크에서 계획된 연습들은 지금 당장 시도할 만큼 가치가 매우 높지 않을 수도 있습니다.
“탄력성을 테스트하기 위한 연습을 시도하고 시행해보는 것은 좋지만, 최근 몇 년 사이에 새로운 업무 모델이 등장했기 때문에 다양한 프레임워크에서 계획된 연습들은 지금 당장 시도할 만큼 가치가 매우 높지 않을 수도 있습니다.”
James Packer | Head of Information Security
더 좋은 접근 방식은 최근에 발생한 다른 피해 사례에 주의를 기울이고, 여러분이 수행하고 있는 탄력성 조치가 현실의 상황에 맞게 이루어지고 있는지 확인하여 여러분이 종사하는 업계, 구체적으로는 여러분의 조직에 영향을 미칠 가능성이 가장 높은 위협에 집중하는 것입니다. 이렇게 하면 현실적인 조건에서 탄력성을 테스트할 수 있습니다.
좀 더 나아가 이 개념을 랜섬웨어에 적용해보면, 랜섬웨어가 곳곳에서 기승을 부리고 있긴 하지만, 랜섬웨어에 대한 탄력성은 어떻게 테스트할까요? 가치 있는 테스트가 되려면 대부분의 조직이 공격당한 랜섬웨어 유형이 무엇인지 확인해야 합니다. 이러한 랜섬웨어의 변종은 구체적인 부문과 구체적인 조직을 표적으로 삼는가? 그렇다면 이는 우리 조직에 어떤 영향을 미치는가? 탄력성 연습을 모델링하여 유사한 기업들에 발생한 사고를 활용한 실제 시나리오에 대한 답을 얻으려면 어떻게 해야 하는가? 등을 자문해야 합니다.
James Packer(계속)
Head of Information Security | LinkedIn
사업부에 의해 테스트가 중단되는 사례가 매우 많습니다. 랜섬웨어와 관련하여 보안 담당자는 탄력성 연습을 실행할 수 있지만, 사업부 팀은 시스템에 대한 기술적 이해가 없을뿐더러 랜섬웨어가 무엇인지, 그리고 랜섬웨어가 워크플로에 어떤 영향을 미치는지 모를 수 있습니다. 하지만 서비스가 사용 불가능 상태가 될 수 있다거나, 데이터가 도난 및 갈취당할 수 있다는 것을 보여주면 이러한 탄력성 활동에 관련된 관계자들은 이러한 랜섬웨어 공격이 비즈니스에 어떤 식으로 중대한 악영향을 미치는지 정확한 관점으로 파악할 수 있습니다.
또는 관계자들은 비즈니스에 영향을 주지 않는 선에서 잠시 동안 특정한 업무를 중단하도록 결정할 수도 있습니다. 이러한 유형의 탄력성 활동은 비즈니스와 기술을 잇는 가교 역할을 하여 상당한 가치를 더합니다.
Corien Vermaak
Cybersecurity Architect, APJC Region Center of Excellence, Cisco
LinkedIn | Twitter
탄력성은 단순히 보안을 넘어선 훨씬 더 큰 개념이긴 하지만, 보안도 중요한 요소입니다. 보안은 탄력성이라는 체스판에서 킹과 같은 존재입니다. 우리가 만든 프로세스가 무너진 후 다시 복구되지 않으면 그 게임은 끝입니다. 하지만 다른 규칙도 무시할 수 없습니다. 조직 전체를 보호하기 위해 이러한 규칙들을 잘 운용해야 하지만 규칙을 이동할 수 있는 횟수는 저마다 다릅니다. 제한된 이동 횟수 안에서 많은 것을 보호해야 하기 때문에 우리는 계산을 매우 잘해야 합니다. 그리고 그렇기 때문에 위험에 기반한 보안 방식으로 대대적인 이동을 하려고 하는 것입니다.
예를 들어, 중요한 정보가 들어있지 않은 서버가 있다고 가정해 보겠습니다. 하지만 이 서버에는 패치를 적용해야 하는 알려진 취약점이 있습니다. 이 서버는 개발 운영에 사용하는 백엔드 서버입니다. 여러분에게도 동일한 취약점을 가진 같은 서버가 있다고 가정해 보겠습니다. 단, 인터넷에 연결되어 있고 고객 데이터가 들어 있는 서버죠.
같은 취약점이라 하더라도, 위험은 저마다 다릅니다. 여러분의 입장에서는 패치를 적용해야 하는 게 훨씬 더 우선순위가 높은 일입니다.
우리가 할 수 있는 일에 한계가 있는 환경에서는 중요한 일에 집중해야 합니다. 중요한 문제를 먼저 해결한 다음, 노출될 가능성이 있는 다른 취약점을 해결할 계획을 세우시기 바랍니다. 이렇게 하려면 조직의 특성을 토대로, 정확하고 예측에 기반한 위협 인텔리전스가 필요합니다. 이렇게 우선순위에 기반하여 탄력성을 구축하면 우리가 과거에 겪었던 수많은 보안 운영 문제가 해결됩니다.
“우리가 할 수 있는 일에 한계가 있는 환경에서는...중요한 문제를 먼저 해결한 다음, 노출될 가능성이 있는 다른 취약점을 해결할 계획을 세우시기 바랍니다.”
Corien Vermaak | Cybersecurity Architect, APJC Region Center of Excellence, Cisco
Motor Oil Group의
보안 탄력성 성공
사례의 6가지 요소
Christos Syngelakis
CISO and Data Privacy Officer, Motor Oil Group | LinkedIn
Motor Oil Group은 50년 역사를 지닌 정유 회사이며, 동남부 유럽 국가에서 석유 소매 및 재생 가능 에너지 부문의 자회사를 운영하고 있습니다. 다양한 인프라와 사업부를 지닌 조직의 입장에서 사이버 탄력성과 관련하여 해결해야 할 가장 큰 당면 과제는 레거시 시스템과 인식이었습니다.
우리 회사의 임원진은 지난 5년간 디지털 혁신에 크게 투자해왔으므로, 보안 목표는 생산 탄력성을 구현하고 기술 사고 발생 시 브랜드에 미치는 영향과 노출을 최소화하는 것이었습니다. 중요한 국가 인프라의 일부이기 때문에 조금이라도 중단이 발생하면 광범위한 결과를 초래할 수 있습니다.
“벤더와 전략적 파트너십으로 전환하면서 복잡성이 간소화되고 모든 솔루션에서 투자 수익(ROI)이 극대화되었습니다. 일례로, 클라우드 서비스 공급자와 파트너를 체결하여 확장성이 보장되고 미래 경쟁력이 클라우드로 한층 더 확대되었습니다.”
Christos Syngelakis | CISO and Data Privacy Officer, Motor Oil Group
위협을 선제적으로 예측하고, 사이버 보안 탄력성을 구축하며, 비즈니스를 효과적으로 지원하기 위한 Motor Oil의 보안 전략을 이루는 요소는 다음과 같습니다.
- 경영진의 승인 – CISO가 조직의 CEO에게 보고를 합니다. 비즈니스 목적과 목표가 사이버 보안 계획과 일치하여 최대한의 투자 수익과 효과를 보장합니다.
- 문제 영역 인지 – 모든 것은 어디가 약점인지 인식하는 단계에서 시작됩니다. 정유 회사 같은 중요한 인프라의 경우 인프라 자체를 파악하는 것이 중요합니다. 우리 스스로와 약점 및 강점을 파악하는 것은 경쟁사보다 5년 앞서나가고 기업의 인식을 바꾸기 위해 5년간 노력하고 발전하는 모습을 보여주는 데 도움이 되었습니다.
- 사람에 투자 – 사람은 변화의 가장 중요한 요소입니다.
- 정보 보안을 운영 기술과 융합 – 이러한 두 분야의 의견을 경청하고 서로 존중합니다. 두 분야 모두 같은 목표를 향해 일하고 있으므로, 같은 가치를 공유하면서 원활한 대화를 나누는 것이 중요합니다.
- “설계에서 시작되는 보안” 구현 – 디지털 혁신 이니셔티브 및 클라우드로 마이그레이션하는 과정을 보호합니다. 예를 들어 예측적 유지 보수를 위한 데이터 애널리틱스가 현재 클라우드에서 이루어지고 있는데, 이 경우 매우 중요한 시스템이 다양한 위협과 취약점에 노출될 수 있습니다. 목표는 오버헤드를 가하지 않고, 오탐을 발생시키지 않으면서 경계 없는 환경에서 보안 경계를 구축하는 것입니다. 정유 산업에서 오탐은 위험과 같습니다.
- ID 관리 – 다단계 인증 방법을 시스템에 통합할 수 있는 경우라면 항상 이 인증 방법을 기본 옵션으로 사용합니다.
CISO가 당면한 가장 큰 어려움 중 하나는 번아웃이라는 점을 이야기하면서 설명을 마치고자 합니다. 항상 새로운 것을 습득해야 할 뿐만 아니라, 새로운 프로젝트에 대한 기술과 요청 사항이 방대하게 확장되고 있는 상시 가동 중인 환경에서 균형을 찾는 것은 가장 중대한 문제 중 하나입니다. 이 이야기를 하니 위에 언급한 세 번째 요소가 생각납니다. 사람에게 투자하고 이들의 정신 건강에 우선순위를 두시기 바랍니다.
보안 탄력성은 조직을 어떻게 선제적으로
지원할 수 있습니까?
무엇보다도, 운영 탄력성에 대한 위협을 예측하는 것과 관련하여 정보를 공유하는 데에는 사람 및 관계가 매우 중요합니다. 우리 팀이 조직의 다른 그룹의 분야를 더 잘 알 수는 없습니다.
그리고 그들은 비즈니스에 어떤 영향을 미칠지도 알고 있었습니다. 이른바 오류 없는 시나리오를 뜻하는 “행복한 경로(happy path)”를 생각하는 방식은 팀이 한 발 뒤로 물러서서 어떤 절망적인 시나리오가 계획을 무산시키고 제대로 가동되지 않도록 할지 고려해보는 데 매우 유용했습니다.
우리는 이러한 절망적인 시나리오를 완화하기 위한 표준 설계 패턴과 팀 표준을 확립했습니다. 설계 패턴은 표준화된 기술 아키텍처, 요구사항 또는 운영 프로세스 형태가 될 수 있습니다. 팀 표준은 일반적으로 교차 훈련, 확립된 직무, 커뮤니케이션 방식 및 에스컬레이션의 형태입니다.
우리 팀의 선제적인 접근 방식이 가장 큰 장점을 발휘했던 것은 2020년 3월이었습니다. 당시에 회사는 짧은 기간 내에 무기한으로 전면 원격 근무로 전환해야 했습니다. 2019년에 우리 팀은 회사 전체의 다른 팀과 대화를 나눈 끝에, 회사의 탄력성이 극도로 제한될 수 있는 IT 인프라의 4가지 중대한 문제를 발견했습니다.
- 많은 중요한 비즈니스 프로세스가 전력, 인터넷, 냉각 리던던시(redundancy)가 부족한 사무실에 배치된 IT 인프라에 의존하고 있었습니다.
- 특히 회사 전화 시스템 같은 IT 인프라를 관리하려면 회사 내부에 없는 전문적인 기술이 필요했습니다. 우리는 외부 리소스에 크게 의존하여 장비를 관리하고 있었으며, 문제가 발생할 경우 서비스를 얼마나 신속하게 복구할 수 있을지 확실히 모르는 상태였습니다.
- 우리 회사에는 내부 IT 시스템을 충분히 모니터링하고 보호하는 데 필요한 팀이 없었으며, 매니지드 서비스 제공자는 이러한 업무를 수행하기에 적합하지 않았습니다.
- 원격 액세스를 할 경우 고객 대면 전화 통화에서 경험의 질이 떨어졌습니다.
장기화된 가동 중단 위험을 해결하고 원격 근무 환경을 개선해야 했으므로, 우리는 모든 내부 IT 인프라를 클라우드 기반 서비스로 마이그레이션하기로 결정을 내렸습니다. 풀타임 원격 근무로 전환하는 상황이 되었을 때 우리는 준비를 마친 상태였습니다.
Christos Sarris
Lead Information Security Analyst, Sainsbury's | LinkedIn
의료 분야에 수년간 몸담았던 경험을 돌아보았을 때, 저는 보안 탄력성이 조직을 어떻게 지원할 수 있는지 직접 목격했습니다. 특히 중환자실(ICU)에서 널리 사용되는 특정 브랜드를 표적으로 삼아 설계된 매우 정교한 유형의 악성코드를 저희 팀에서 처리해야 했을 때 이를 실감 나게 겪었습니다.
ICU 의료 장비(ICUMD)는 의식이 없거나 생존을 위해 이러한 의료 장비에 거의 전적으로 의존하는 경우가 많은 ICU 환자를 면밀히 모니터링하고, 상태를 안정화시키고, 치료하는 데 사용됩니다. 그런데 악성코드가 주사액 펌프(특정한 용량의 약물을 투여하는 데 사용됨) 및 펌프 모니터링 기능을 감염시켰고 이는 생명을 위협하는 결과로 이어질 수 있었습니다.
이러한 장비를 검사한 결과, 현재의 보안 약점과 미래의 위협이 모두 발견되었습니다. 다른 IT 관련 디바이스와 매우 다른 접근 방식으로 소프트웨어 업데이트, 패치 적용, 액세스 같은 중요한 영역을 다루어야 한다는 점이 분명해졌습니다. 저희 팀은 보안 탄력성 전략의 식별, 탐지, 대응 단계에 걸쳐 매우 정교한 프로세스를 구현했습니다.
이 과정을 통해 격리된 테스트 환경에서 악성코드를 발견했습니다. 이 악성코드는 벤더에서 배포한 손상된 패치를 통해 유입된 것으로 밝혀졌습니다. 당시에는 이러한 악성코드를 탐지할 수 있는 엔드포인트 보호 소프트웨어가 없었으며, 일반적인 보안 프로세스를 따랐다면 수백 명에 달하는 환자들의 목숨이 위험에 처했을 것입니다. 생명을 앗아갈 수도 있는 악의적인 악성코드를 만드는 사람이 있으리라고는 아무도 생각하지 못했으니 말입니다.
일선에서 일하는 많은 보안 전문가들의 관점에서 보자면, 보안 탄력성은 조직이 알려진 위협과 알 수 없는 위협에 적응할 수 있는 능력을 뜻합니다. 위기의 시대에 멈추지 않는 비즈니스 혁신은 엔터프라이즈 탄력성을 구축하기 위한 핵심 전략입니다.
“일선에서 일하는 많은 보안 전문가들의 관점에서 보자면, 보안 탄력성은 조직이 알려진 위협과 알 수 없는 위협에 적응할 수 있는 능력을 뜻합니다.”
Christos Sarris | Lead Information Security Analyst, Sainsbury's
Nigel Sampson
Head of Cybersecurity, International Data Group (IDG) | LinkedIn
솔루션 구매는 사람, 프로세스, 기술이라는 3요소의 단지 한 부분에 해당합니다. 솔루션을 지원하기 위한 담당 직원을 보유하는 것 또한 중요한 일입니다. 조직에서는 최신 급여 데이터가 없고, 해당 분야에서 이러한 작업자들의 급격한 성장과 시장 가치를 파악할 방법이 없으므로 사이버 보안 직원을 두지 않는 경우가 많습니다. 보안 프로그램을 구축하고 지원하려면 사이버 보안, 재무, HR 팀 간의 관계가 더욱 긴밀해야 합니다.
이전 직무에서는 유연한 모듈식 GRC 구현이 가장 영향력 있는 솔루션이었습니다. 그러나 여러 부서의 관심을 얻는 데 효과적이었던 것은 부서를 가리지 않고 벤더 관리, 벤더 위험 관리, 정책 관리, IT 위험 관리를 지원할 수 있는 기능이었습니다. GRC는 위험 관리를 위한 중앙 집중식 솔루션을 제공했지만, 엔터프라이즈 정책을 위한 저장소도 제공했습니다.
벤더 관리 솔루션을 제공하는 과정에서, GRC는 벤더 위험 관리 솔루션도 제공했는데, 여기에서는 중요한 벤더도 위험 순위에 올랐습니다. 그런 다음, 개별 벤더의 위험 프로파일과 전체 서드파티 위험 프로파일을 확인할 수 있었습니다. 각 활용 사례에 포함된 수동 프로세스를 검토해보면 이러한 솔루션의 비용 대비 이점이 쉽게 확인되었습니다.
GRC 솔루션은 처음에는 모듈 한 개로 시작했지만, 시간이 지나 다른 부서들이 문서를 중앙에 보관하거나 핵심 프로세스에 GRC를 사용하기 위해 액세스 방법을 모색하게 되면서 네 개의 모듈로 확장되었습니다.
“보안 프로그램을 구축하고 지원하려면 사이버 보안, 재무, HR 팀 간의 관계가 더욱 긴밀해야 합니다.”
Nigel Sampson | Head of Cybersecurity, International Data Group (IDG)
Haroon Malik
Security Consulting, Director, NTT Data | LinkedIn
2년 전쯤에, 서드파티 공급망에 큰 위험이 있던 소매 회사와 함께 일한 적이 있습니다. 공급망 공격은 최근에 자주 사용되고 있는 공격 방법입니다. 이는 새로운 현상은 아니지만, 꽤 큰 규모의 데이터 보안 침해가 발생한 후 이 회사에 대한 지원 요청을 받았습니다. 보안 침해는 이 회사의 방어 솔루션 때문이 아니라, 주요 공급업체 중 한 곳의 취약점으로 인해 발생한 것이었습니다.
저는 서드파티 공급업체 검토를 이끌면서, 누가 중요한 공급업체였는지와 같은 영역을 평가했습니다(이 회사의 공급업체는 약 200곳이었습니다). 그런 다음, 어떤 공급업체가 개인 데이터와 기밀 데이터를 교환하고 있었는지 조사해야 했습니다. 그다음에는 정보 분류에 따라 모든 공급업체의 계층으로 분류하는 작업을 이어서 진행했습니다.
저희는 모든 계층 1 공급업체를 대상으로 감사를 실시했습니다. 이러한 고객 지원 방식을 통해 이 고객사는 공급업체가 위험 요소였다는 점을 확실히 이해하게 되었습니다. 결과적으로, 이 회사는 공급업체를 선정하는 방식을 크게 개선했습니다. 제품의 품질에만 기준을 두지 않고, 보안 원칙에도 기준을 두게 된 것입니다.
탄력성의 또 다른 중요한 점은 무언가가 매우 잘못된 경우를 식별하는 것뿐만 아니라, 신속하게 이를 수행할 수 있는 능력입니다. 이는 이른바 탐지 소요 시간(MTTD), 그리고 대응 소요 시간(MTTR)이라는 개념으로 알려져 있습니다.
위협은 늘 존재하고 사고는 언제든지 발생합니다. 사고 발생 가능성이 감소하고 사고로 인한 영향력이 최소화될 때 탄력성이 실현됩니다.
“위협은 늘 존재하고 사고는 언제든지 발생합니다. 사고 발생 가능성이 감소하고 사고로 인한 영향력이 최소화될 때 탄력성이 실현됩니다.”
Haroon Malik | Security Consulting, Director, NTT Data
Ian Thornton-Trump
Chief Information Security Officer, Cyjax Limited | LinkedIn | Twitter
영국의 사이버 위협 인텔리전스(CTI) 업계에서 일하기 위해서는 항상 경보 레벨을 늘 격상된 상태로 유지하고 있어야 합니다. 다행히, 우리 회사의 인프라는 공격 표면과 취약한 서비스의 노출을 줄이는 방식으로 설계되어 있습니다.
“모범 사례” 아키텍처를 설계하기 위한 이러한 노력은 만족할만한 수준의 탄력성 또한 제공합니다. 우리는 안전한 코드를 만드는 데 자부심이 있는 정통한 개발자를 보유하고, ISO 27001 컴플라이언스를 엄격히 준수하여 아키텍처가 올바르게 구축되었는지 확인하는 데 모든 역량을 쏟습니다.
거의 가상 회사에 가까운 우리 회사의 데이터와 이메일은 모두 이러한 최고 수준의 공급업체에서 제공하는 최상의 접근성과 데이터 보호 기능을 지원하는 SaaS(Software-as-a-Service) 클라우드 내에 보관되어 있습니다. 회사의 모든 직원은 CTI 업계에서 일하고 있으므로, 우리 회사를 비롯하여 모든 조직에서 직면하고 있는 위협을 절실히 인지하고 있습니다.
우리 회사에는 직원들과 함께 일하는 CCO(Chief Compliance Officer)가 있으며, 회사의 모든 보안 계층에서 매일 실제 환경과 가상 환경의 위협 행위자를 차단합니다. 이로 인해 강력한 보안 문화는 물론, 효과적인 탄력성이 증진됩니다.
“우리는 안전한 코드를 만드는 데 자부심이 있는 정통한 개발자를 보유하고, ISO 27001 컴플라이언스를 엄격히 준수하여 아키텍처가 올바르게 구축되었는지 확인하는 데 모든 역량을 쏟습니다.”
Ian Thornton-Trump | Chief Information Security Officer, Cyjax Limited
제 경력에서 탄력성 구축과 관련된 한 가지 예를 들자면, 시스코에서 처음으로 CPO(최고 개인정보보호 책임자)로 일하게 되었을 때의 일입니다. 계약서를 작성해야 할 때가 오면, 우리는 고객이 협업 제품을 구매하거나 다른 개인정보보호에 민감한 제품을 구매하고자 할 때 불신과 혼란을 나타내는 양상을 마주하곤 했습니다. “데이터는 어디에 저장되나요?”, “직원과 고객에 대한 로그온 데이터는 누가 관리하나요?” 같은 기본적인 질문 공세로 인해 협상이 길어졌습니다.
런던 교통 박물관 전시회를 관람하던 중 해결책이 번개같이 머리를 스치고 지나갔습니다. 런던 지하철 노선도의 간결함은 정말 완벽한 힌트였습니다. 고객에게 문제의 데이터가 무엇인지, 어디에 얼마나 오랫동안 저장되는지를 이해하기 쉬운 단순한 인포그래픽으로 보여줄 수 있다면 어떨까요?
그래서 Cisco Trust Center를 만들고 발표했으며, 그 결과는 즉각적이고 측정 가능했으며 오래 지속되었습니다. 전체적이고 복잡한 문제를 시각화할 수 있게 되자 사람들은 서로 함께 계획을 세우고, 노력하고, 구축할 수 있게 되었습니다.
제가 현재 일하고 있는 회사는 PrivacyCode, Inc.입니다. 저희는 복잡한 법적 및 정책 요구 사항을 작성하고 시행해야 하는 관계자들을 위한 플랫폼을 제공하여, 이러한 요구 사항을 기술 팀을 위한 사용 가능하고 측정 가능하면서 실행에 중점을 둔 작업으로 효과적으로 변환할 수 있도록 지원합니다.
끊임없이 변화하고 복잡성이 증가하는 시대에, 명확한 커뮤니케이션을 수행하는 섬세한 리더십은 탄력성을 구축하고 강화합니다. 저는 항상 간단하고 활용하기 쉬운 단계를 모색하여 상당히 어려운 당면 과제를 해결하려고 합니다.
“끊임없이 변화하고 복잡성이 증가하는 시대에, 명확한 커뮤니케이션을 수행하는 섬세한 리더십은 탄력성을 구축하고 강화합니다.”
Michelle Dennedy | CEO, PrivacyCode, Inc.
전문가들의 이야기에서 강조한 것처럼, 모든 것이 개방되고 연결된 이러한 때에 보안 탄력성을 구현하려면 과거의 접근 방식이 제공한 것 이상이 필요합니다.
모든 위협을 동일하게 다루는 데 중점을 두었던 기존의 사일로화된 보안 방법론은 새로운 형태의 보안 탄력성에 자리를 내주고 있습니다. 보안 탄력성은 적응력과 지속적인 확인을 추구하는 동시에 항상 컨텍스트를 고려합니다.
저희 기고자들의 또 다른 공통된 주제는 탄력성을 구축하는 데 핵심적인 요소는 두말할 나위 없이 사람이라는 점입니다. 작업자의 정신 건강을 보호하고, 번아웃 위험을 줄이는 것이 그 무엇보다도 가장 중요합니다. 이 주제에 대한 전문가의 팁과 리소스를 보려면 e-Book(안전한 공간 만들기: 정신적 건강 및 번아웃 방지를 위한 리더 및 실무자들의 조언)을 참조하십시오.
“여러분의 목표는 조직에 가장 중요한 것을 보호하고, 그와 관련된 모든 것을 보호하는 것입니다. 이러한 접근 방식을 사용하면 탄력성을 구축할 수 있으며 탄력성을 계속 구축하다 보면 최대한 빠르게 선제적으로 대응할 수 있게 됩니다.”
Goher Mohammad | Head of InfoSec, L&Q Group
오늘날의 예측 불가능한 위협에 맞서고 미래에 더 강력한 역량을 갖추도록 비즈니스를 지원할 수 있는 방법을 알아보시기 바랍니다.
