탄력성을 갖추려면 조직의 운영을 계속 가동할 수 있는 방식으로 변화를 관리하는 역량이 필요합니다. 새로운 파트너사 인수 같은 긍정적인 변화도 있지만, 사이버 공격의 표적이 되는 것 같은 부정적인 변화도 있습니다.
보안 팀의 시작점은 항상 계획 수립이었습니다. 위험 기반 접근 방식을 사용하여 위협, 취약점, 가능성, 영향을 살펴봄으로써 전체 위험을 파악합니다. 위험을 파악하기 위해 다음과 같은 방식으로 잠재적인 시나리오를 사용합니다. 즉, 위협이 있다고 가정한 후, 위협이 우리 조직에 영향을 미칠 가능성을 평가하고, 마지막으로 취약점을 차단하고 영향을 줄일 수 있는 방법을 알아봅니다. 연속성 및 복구 계획은 이러한 시나리오를 토대로 구축됩니다.
위협과 관련이 없는 다른 변화에 직면했을 때 높은 수준의 연속성을 유지할 수 있는 방식을 모색하는 CISO가 점점 더 늘어나고 있습니다. 외부 컨설턴트 팀이 보안 구축을 관리하거나, 신규 공급업체가 노출 위험 없이 시스템 관리에 연결될 수 있도록 보장하는 일 등 위험과 기회, 제어, 적응력 간의 균형을 맞추는 일은 모두 탄력성과 관련된 부분입니다.
조직 전체에서 경영진 팀의 지원 얻기. 이는 기술이나 보안 문제는 아니지만, 비즈니스 당면 과제입니다.
탄력성 구축의 정당성을 피력하기 위해 이사회 수준의 표현 개발하기.
모든 관계자가 프로세스를 회사 내에 확립하고 시행하도록 보장하기.
일반적인 위협 인텔리전스와 구체적인 업계 위협 인텔리전스를 모두 지속적으로 발전시키기.
에셋 전체를 더 명확하게 파악하고, 새로운 정책과 제어 방식을 구현할 수 있는 중앙 집중식 기능을 제공하는 유연한 기술 도입하기.
탄력성에는 회사가 허용할 수 있는 부분에 대해 위험 기반의 접근 방식을 취하는 것이 중요합니다. CIO나 이사진과 더불어, 보안 리더는 해당 분야의 전문가로서 위험을 명확하게 조정하고 잘 설명해야 합니다. 그리고 위험에 대해 어떤 조치를 취해야 할지 조언하여 조직이 올바른 결정을 가늠할 수 있도록 지원해야 합니다. 예방 비용이 수백만 달러가 드는데, 피해가 발생하는 경우 전체 피해 금액이 수천 달러에 불과하다면, 이는 결정 과정에서 한 가지 요인으로 작용할 것이고 설사 위험을 감수하겠다 해도 잘못됐다고 할 순 없을 겁니다. 하지만 이것은 단순히 재정적인 문제가 아니라 조직의 평판을 좌우하는 일이며, 데이터 보안 침해가 야기할 수 있는 장기적인 영향과 관련된 사안입니다. 모든 요소를 고려한 후에 조직에서 어떤 점을 허용할 수 있고, 허용할 수 없는지 결정을 내려야 합니다.
그뿐만 아니라, 조직의 생존에 없어서는 안 될 가장 가치 있는 에셋 목록과 잠시 동안 없어도 조직의 생존이 가능한 에셋 목록을 추려서 제공해야 합니다. 그런 다음, 위협 모델에 따라 그러한 에셋에 보안을 여러 층으로 적용해야 합니다. 현실적으로 모든 에셋마다 항상 최고 수준의 보안을 적용할 수는 없는 일입니다. 무한한 예산이나 리소스를 가진 CISO는 없습니다. 모든 일을 할 수도 없고 모든 것을 보호할 수도 없습니다. 하지만 그래도 괜찮습니다. 여러분의 목표는 조직에 가장 중요한 것을 보호하고, 그와 관련된 모든 것을 보호하는 것입니다. 이러한 접근 방식을 사용하면 탄력성을 구축할 수 있으며 탄력성을 계속 구축하다 보면 최대한 빠르게 선제적으로 대응할 수 있게 됩니다.
탄력성이란 위협 공격으로 피해가 발생했을 때 바로 무너지는 게 아니라, 직면한 위협을 관리할 수 있는 것을 뜻합니다. 탄력성은 보호와 사고 대응 계획을 통합함으로써 실현됩니다.
탄력성을 갖추기 위한 첫 번째 단계는 우리가 직면하고 있는 위협을 아는 것입니다. 이러한 위협의 특성을 모르는 상태에서는 보호 조치를 취할 수 없습니다. 성공적인 탄력성의 기반은 위협과 우리 자신의 약점을 파악하는 데서 비롯됩니다.
이러한 지식으로 무장하고 있으면 보호 조치를 구현하여 위협이 영향을 미칠 가능성을 줄이고, 위협이 공격에 성공한다 해도 영향이 최소화됩니다.
그러나 우리는 어떤 보호 조치도 완전무결할 수 없으며, 위협이 어떤 방식으로 변화하고 진화하는지 완전히 예측할 수도 없다는 점을 인정해야 합니다. 따라서 위협이 영향을 미칠 경우 신속하고 효과적으로 대응할 수 있도록 대비해야 합니다.
조직의 시스템에 단일 장애 지점이 없도록 하면, 위협으로 인해 구성 요소 하나가 작업이 중단되어도 작업을 계속 진행할 수 있습니다. 사고에 대한 대응을 계획하고 사전에 연습해보면 위협을 해결하고 최대한 빨리 정상 기능을 복구할 수 있습니다.
보안 자문으로서 제가 탄력성을 평가하기 위해 확인하는 요소 중 하나는 데이터 분류, ID 및 액세스 관리 같은 조직의 관행이 어떻게 이루어지고 있는가입니다. 이러한 영역의 종합적이고 전체적인 설계가 탄탄한지 보안 관점에서 검토해야 합니다.
조직에서 탄력성을 실현하는 가장 효과적인 방법 중 하나는 기존에 확립된 회사 내 그룹이 아닌 협력적인 환경에서 팀 접근 방식을 취하는 것이며, 비공식 팀이라 해도 그렇습니다.
이와 같은 조치가 중요한 이유는 이러한 노력은 혼자서 할 수 있는 일이 아니기 때문입니다.
예를 들어 제가 개발자와 함께 일하게 될 경우, 개발자는 애플리케이션 개발에 대한 책임이 단순히 기능에서 그치지 않고 보안까지 포함된다는 것을 명확히 인지해야 합니다. 즉, 고객이 우리 회사와 안전하게 비즈니스를 수행할 수 있는 애플리케이션을 만들어야 합니다.
조직이 올바른 보안 요건에 대한 비전과 조치를 공유하면 탄력성을 더욱 강화할 수 있습니다. 그리고 침투 테스트, 코드 스캔, 데이터 분류를 모두 적시에 수행해야 합니다.
보안 전문가들이 프로젝트를 실제로 돕는 방식을 보고 있으면 놀랍습니다. 이는 기존에 보안을 다루었던 방식과는 다른 관점입니다. 보안 전문가와 소통을 하면 기업은 시작 단계에서부터 프로젝트에 보안을 설계할 수 있습니다. 그리고 이렇게 하면 보안 사고가 발견된 후 나중에 보안 기능을 급하게 더하지 않아도 되므로 탄력성이 구축됩니다.
선제적으로 시간을 투자하는 것이 중요한 영역 중 하나는 올바른 컨텍스트에서 정확하고 실행 가능한 위협 인텔리전스를 얻을 수 있는 능력에 있습니다. 이는 상당히 쉽지 않은 일입니다. 왜냐하면 매우 세부적인 위협 인텔리전스를 제공하지만, 이러한 정보의 연관성을 파악하고 광범위한 컨텍스트로 가져오지 못하는 경우가 잦은 툴이 다양하게 출시되어 있고 여러 많은 벤더가 이러한 툴을 제공하기 때문입니다. 예를 들어, 현재 전 세계적인 혼란으로 인해 지정학적 관점에서 사이버 범죄를 예측하는 일이 중요해졌습니다.
컨텍스트를 보여줄 수 있는 기능은 비즈니스에 실제 가치를 더합니다. 실제 현실에서 일어나고 있는 상황을 토대로 서비스 딜리버리, 운영, 중요한 기능에 대한 위협을 여러분이 어떻게 해결하는지 임원진에게 보여줄 수 있다면 임원진은 여러분이 하는 일의 중요성을 눈으로 볼 수 있습니다. 이를 통해 경영진은 비즈니스가 탄력성을 갖춘 상태라는 의미 있는 확신을 가질 수 있습니다.
탄력성의 중요한 측면은 기업이 수행하는 업무와 사실상 일치하는 활동에 중점을 두어야 한다는 점입니다. 탄력성을 테스트하기 위한 연습을 시도하고 시행해보는 것은 좋지만, 최근 몇 년 사이에 새로운 업무 모델이 등장했기 때문에 다양한 프레임워크에서 계획된 연습들은 지금 당장 시도할 만큼 가치가 매우 높지 않을 수도 있습니다.
“탄력성을 테스트하기 위한 연습을 시도하고 시행해보는 것은 좋지만, 최근 몇 년 사이에 새로운 업무 모델이 등장했기 때문에 다양한 프레임워크에서 계획된 연습들은 지금 당장 시도할 만큼 가치가 매우 높지 않을 수도 있습니다.”
더 좋은 접근 방식은 최근에 발생한 다른 피해 사례에 주의를 기울이고, 여러분이 수행하고 있는 탄력성 조치가 현실의 상황에 맞게 이루어지고 있는지 확인하여 여러분이 종사하는 업계, 구체적으로는 여러분의 조직에 영향을 미칠 가능성이 가장 높은 위협에 집중하는 것입니다. 이렇게 하면 현실적인 조건에서 탄력성을 테스트할 수 있습니다.
좀 더 나아가 이 개념을 랜섬웨어에 적용해보면, 랜섬웨어가 곳곳에서 기승을 부리고 있긴 하지만, 랜섬웨어에 대한 탄력성은 어떻게 테스트할까요? 가치 있는 테스트가 되려면 대부분의 조직이 공격당한 랜섬웨어 유형이 무엇인지 확인해야 합니다. 이러한 랜섬웨어의 변종은 구체적인 부문과 구체적인 조직을 표적으로 삼는가? 그렇다면 이는 우리 조직에 어떤 영향을 미치는가? 탄력성 연습을 모델링하여 유사한 기업들에 발생한 사고를 활용한 실제 시나리오에 대한 답을 얻으려면 어떻게 해야 하는가? 등을 자문해야 합니다.
사업부에 의해 테스트가 중단되는 사례가 매우 많습니다. 랜섬웨어와 관련하여 보안 담당자는 탄력성 연습을 실행할 수 있지만, 사업부 팀은 시스템에 대한 기술적 이해가 없을뿐더러 랜섬웨어가 무엇인지, 그리고 랜섬웨어가 워크플로에 어떤 영향을 미치는지 모를 수 있습니다. 하지만 서비스가 사용 불가능 상태가 될 수 있다거나, 데이터가 도난 및 갈취당할 수 있다는 것을 보여주면 이러한 탄력성 활동에 관련된 관계자들은 이러한 랜섬웨어 공격이 비즈니스에 어떤 식으로 중대한 악영향을 미치는지 정확한 관점으로 파악할 수 있습니다.
또는 관계자들은 비즈니스에 영향을 주지 않는 선에서 잠시 동안 특정한 업무를 중단하도록 결정할 수도 있습니다. 이러한 유형의 탄력성 활동은 비즈니스와 기술을 잇는 가교 역할을 하여 상당한 가치를 더합니다.
탄력성은 단순히 보안을 넘어선 훨씬 더 큰 개념이긴 하지만, 보안도 중요한 요소입니다. 보안은 탄력성이라는 체스판에서 킹과 같은 존재입니다. 우리가 만든 프로세스가 무너진 후 다시 복구되지 않으면 그 게임은 끝입니다. 하지만 다른 규칙도 무시할 수 없습니다. 조직 전체를 보호하기 위해 이러한 규칙들을 잘 운용해야 하지만 규칙을 이동할 수 있는 횟수는 저마다 다릅니다. 제한된 이동 횟수 안에서 많은 것을 보호해야 하기 때문에 우리는 계산을 매우 잘해야 합니다. 그리고 그렇기 때문에 위험에 기반한 보안 방식으로 대대적인 이동을 하려고 하는 것입니다.
예를 들어, 중요한 정보가 들어있지 않은 서버가 있다고 가정해 보겠습니다. 하지만 이 서버에는 패치를 적용해야 하는 알려진 취약점이 있습니다. 이 서버는 개발 운영에 사용하는 백엔드 서버입니다. 여러분에게도 동일한 취약점을 가진 같은 서버가 있다고 가정해 보겠습니다. 단, 인터넷에 연결되어 있고 고객 데이터가 들어 있는 서버죠.
같은 취약점이라 하더라도, 위험은 저마다 다릅니다. 여러분의 입장에서는 패치를 적용해야 하는 게 훨씬 더 우선순위가 높은 일입니다.
우리가 할 수 있는 일에 한계가 있는 환경에서는 중요한 일에 집중해야 합니다. 중요한 문제를 먼저 해결한 다음, 노출될 가능성이 있는 다른 취약점을 해결할 계획을 세우시기 바랍니다. 이렇게 하려면 조직의 특성을 토대로, 정확하고 예측에 기반한 위협 인텔리전스가 필요합니다. 이렇게 우선순위에 기반하여 탄력성을 구축하면 우리가 과거에 겪었던 수많은 보안 운영 문제가 해결됩니다.
“우리가 할 수 있는 일에 한계가 있는 환경에서는...중요한 문제를 먼저 해결한 다음, 노출될 가능성이 있는 다른 취약점을 해결할 계획을 세우시기 바랍니다.”
