무엇보다도, 운영 탄력성에 대한 위협을 예측하는 것과 관련하여 정보를 공유하는 데에는 사람 및 관계가 매우 중요합니다. 우리 팀이 조직의 다른 그룹의 분야를 더 잘 알 수는 없습니다.
그리고 그들은 비즈니스에 어떤 영향을 미칠지도 알고 있었습니다. 이른바 오류 없는 시나리오를 뜻하는 “행복한 경로(happy path)”를 생각하는 방식은 팀이 한 발 뒤로 물러서서 어떤 절망적인 시나리오가 계획을 무산시키고 제대로 가동되지 않도록 할지 고려해보는 데 매우 유용했습니다.
우리는 이러한 절망적인 시나리오를 완화하기 위한 표준 설계 패턴과 팀 표준을 확립했습니다. 설계 패턴은 표준화된 기술 아키텍처, 요구사항 또는 운영 프로세스 형태가 될 수 있습니다. 팀 표준은 일반적으로 교차 훈련, 확립된 직무, 커뮤니케이션 방식 및 에스컬레이션의 형태입니다.
우리 팀의 선제적인 접근 방식이 가장 큰 장점을 발휘했던 것은 2020년 3월이었습니다. 당시에 회사는 짧은 기간 내에 무기한으로 전면 원격 근무로 전환해야 했습니다. 2019년에 우리 팀은 회사 전체의 다른 팀과 대화를 나눈 끝에, 회사의 탄력성이 극도로 제한될 수 있는 IT 인프라의 4가지 중대한 문제를 발견했습니다.
장기화된 가동 중단 위험을 해결하고 원격 근무 환경을 개선해야 했으므로, 우리는 모든 내부 IT 인프라를 클라우드 기반 서비스로 마이그레이션하기로 결정을 내렸습니다. 풀타임 원격 근무로 전환하는 상황이 되었을 때 우리는 준비를 마친 상태였습니다.
의료 분야에 수년간 몸담았던 경험을 돌아보았을 때, 저는 보안 탄력성이 조직을 어떻게 지원할 수 있는지 직접 목격했습니다. 특히 중환자실(ICU)에서 널리 사용되는 특정 브랜드를 표적으로 삼아 설계된 매우 정교한 유형의 악성코드를 저희 팀에서 처리해야 했을 때 이를 실감 나게 겪었습니다.
ICU 의료 장비(ICUMD)는 의식이 없거나 생존을 위해 이러한 의료 장비에 거의 전적으로 의존하는 경우가 많은 ICU 환자를 면밀히 모니터링하고, 상태를 안정화시키고, 치료하는 데 사용됩니다. 그런데 악성코드가 주사액 펌프(특정한 용량의 약물을 투여하는 데 사용됨) 및 펌프 모니터링 기능을 감염시켰고 이는 생명을 위협하는 결과로 이어질 수 있었습니다.
이러한 장비를 검사한 결과, 현재의 보안 약점과 미래의 위협이 모두 발견되었습니다. 다른 IT 관련 디바이스와 매우 다른 접근 방식으로 소프트웨어 업데이트, 패치 적용, 액세스 같은 중요한 영역을 다루어야 한다는 점이 분명해졌습니다. 저희 팀은 보안 탄력성 전략의 식별, 탐지, 대응 단계에 걸쳐 매우 정교한 프로세스를 구현했습니다.
이 과정을 통해 격리된 테스트 환경에서 악성코드를 발견했습니다. 이 악성코드는 벤더에서 배포한 손상된 패치를 통해 유입된 것으로 밝혀졌습니다. 당시에는 이러한 악성코드를 탐지할 수 있는 엔드포인트 보호 소프트웨어가 없었으며, 일반적인 보안 프로세스를 따랐다면 수백 명에 달하는 환자들의 목숨이 위험에 처했을 것입니다. 생명을 앗아갈 수도 있는 악의적인 악성코드를 만드는 사람이 있으리라고는 아무도 생각하지 못했으니 말입니다.
일선에서 일하는 많은 보안 전문가들의 관점에서 보자면, 보안 탄력성은 조직이 알려진 위협과 알 수 없는 위협에 적응할 수 있는 능력을 뜻합니다. 위기의 시대에 멈추지 않는 비즈니스 혁신은 엔터프라이즈 탄력성을 구축하기 위한 핵심 전략입니다.
솔루션 구매는 사람, 프로세스, 기술이라는 3요소의 단지 한 부분에 해당합니다. 솔루션을 지원하기 위한 담당 직원을 보유하는 것 또한 중요한 일입니다. 조직에서는 최신 급여 데이터가 없고, 해당 분야에서 이러한 작업자들의 급격한 성장과 시장 가치를 파악할 방법이 없으므로 사이버 보안 직원을 두지 않는 경우가 많습니다. 보안 프로그램을 구축하고 지원하려면 사이버 보안, 재무, HR 팀 간의 관계가 더욱 긴밀해야 합니다.
이전 직무에서는 유연한 모듈식 GRC 구현이 가장 영향력 있는 솔루션이었습니다. 그러나 여러 부서의 관심을 얻는 데 효과적이었던 것은 부서를 가리지 않고 벤더 관리, 벤더 위험 관리, 정책 관리, IT 위험 관리를 지원할 수 있는 기능이었습니다. GRC는 위험 관리를 위한 중앙 집중식 솔루션을 제공했지만, 엔터프라이즈 정책을 위한 저장소도 제공했습니다.
벤더 관리 솔루션을 제공하는 과정에서, GRC는 벤더 위험 관리 솔루션도 제공했는데, 여기에서는 중요한 벤더도 위험 순위에 올랐습니다. 그런 다음, 개별 벤더의 위험 프로파일과 전체 서드파티 위험 프로파일을 확인할 수 있었습니다. 각 활용 사례에 포함된 수동 프로세스를 검토해보면 이러한 솔루션의 비용 대비 이점이 쉽게 확인되었습니다.
GRC 솔루션은 처음에는 모듈 한 개로 시작했지만, 시간이 지나 다른 부서들이 문서를 중앙에 보관하거나 핵심 프로세스에 GRC를 사용하기 위해 액세스 방법을 모색하게 되면서 네 개의 모듈로 확장되었습니다.
2년 전쯤에, 서드파티 공급망에 큰 위험이 있던 소매 회사와 함께 일한 적이 있습니다. 공급망 공격은 최근에 자주 사용되고 있는 공격 방법입니다. 이는 새로운 현상은 아니지만, 꽤 큰 규모의 데이터 보안 침해가 발생한 후 이 회사에 대한 지원 요청을 받았습니다. 보안 침해는 이 회사의 방어 솔루션 때문이 아니라, 주요 공급업체 중 한 곳의 취약점으로 인해 발생한 것이었습니다.
저는 서드파티 공급업체 검토를 이끌면서, 누가 중요한 공급업체였는지와 같은 영역을 평가했습니다(이 회사의 공급업체는 약 200곳이었습니다). 그런 다음, 어떤 공급업체가 개인 데이터와 기밀 데이터를 교환하고 있었는지 조사해야 했습니다. 그다음에는 정보 분류에 따라 모든 공급업체의 계층으로 분류하는 작업을 이어서 진행했습니다.
저희는 모든 계층 1 공급업체를 대상으로 감사를 실시했습니다. 이러한 고객 지원 방식을 통해 이 고객사는 공급업체가 위험 요소였다는 점을 확실히 이해하게 되었습니다. 결과적으로, 이 회사는 공급업체를 선정하는 방식을 크게 개선했습니다. 제품의 품질에만 기준을 두지 않고, 보안 원칙에도 기준을 두게 된 것입니다. 탄력성의 또 다른 중요한 점은 무언가가 매우 잘못된 경우를 식별하는 것뿐만 아니라, 신속하게 이를 수행할 수 있는 능력입니다. 이는 이른바 탐지 소요 시간(MTTD), 그리고 대응 소요 시간(MTTR)이라는 개념으로 알려져 있습니다.
위협은 늘 존재하고 사고는 언제든지 발생합니다. 사고 발생 가능성이 감소하고 사고로 인한 영향력이 최소화될 때 탄력성이 실현됩니다.
영국의 사이버 위협 인텔리전스(CTI) 업계에서 일하기 위해서는 항상 경보 레벨을 늘 격상된 상태로 유지하고 있어야 합니다. 다행히, 우리 회사의 인프라는 공격 표면과 취약한 서비스의 노출을 줄이는 방식으로 설계되어 있습니다.
“모범 사례” 아키텍처를 설계하기 위한 이러한 노력은 만족할만한 수준의 탄력성 또한 제공합니다. 우리는 안전한 코드를 만드는 데 자부심이 있는 정통한 개발자를 보유하고, ISO 27001 컴플라이언스를 엄격히 준수하여 아키텍처가 올바르게 구축되었는지 확인하는 데 모든 역량을 쏟습니다.
거의 가상 회사에 가까운 우리 회사의 데이터와 이메일은 모두 이러한 최고 수준의 공급업체에서 제공하는 최상의 접근성과 데이터 보호 기능을 지원하는 SaaS(Software-as-a-Service) 클라우드 내에 보관되어 있습니다. 회사의 모든 직원은 CTI 업계에서 일하고 있으므로, 우리 회사를 비롯하여 모든 조직에서 직면하고 있는 위협을 절실히 인지하고 있습니다.
우리 회사에는 직원들과 함께 일하는 CCO(Chief Compliance Officer)가 있으며, 회사의 모든 보안 계층에서 매일 실제 환경과 가상 환경의 위협 행위자를 차단합니다. 이로 인해 강력한 보안 문화는 물론, 효과적인 탄력성이 증진됩니다.
“우리는 안전한 코드를 만드는 데 자부심이 있는 정통한 개발자를 보유하고, ISO 27001 컴플라이언스를 엄격히 준수하여 아키텍처가 올바르게 구축되었는지 확인하는 데 모든 역량을 쏟습니다.”
제 경력에서 탄력성 구축과 관련된 한 가지 예를 들자면, 시스코에서 처음으로 CPO(최고 개인정보보호 책임자)로 일하게 되었을 때의 일입니다. 계약서를 작성해야 할 때가 오면, 우리는 고객이 협업 제품을 구매하거나 다른 개인정보보호에 민감한 제품을 구매하고자 할 때 불신과 혼란을 나타내는 양상을 마주하곤 했습니다. “데이터는 어디에 저장되나요?”, “직원과 고객에 대한 로그온 데이터는 누가 관리하나요?” 같은 기본적인 질문 공세로 인해 협상이 길어졌습니다.
런던 교통 박물관 전시회를 관람하던 중 해결책이 번개같이 머리를 스치고 지나갔습니다. 런던 지하철 노선도의 간결함은 정말 완벽한 힌트였습니다. 고객에게 문제의 데이터가 무엇인지, 어디에 얼마나 오랫동안 저장되는지를 이해하기 쉬운 단순한 인포그래픽으로 보여줄 수 있다면 어떨까요?
그래서 Cisco Trust Center를 만들고 발표했으며, 그 결과는 즉각적이고 측정 가능했으며 오래 지속되었습니다. 전체적이고 복잡한 문제를 시각화할 수 있게 되자 사람들은 서로 함께 계획을 세우고, 노력하고, 구축할 수 있게 되었습니다.
제가 현재 일하고 있는 회사는 PrivacyCode, Inc.입니다. 저희는 복잡한 법적 및 정책 요구 사항을 작성하고 시행해야 하는 관계자들을 위한 플랫폼을 제공하여, 이러한 요구 사항을 기술 팀을 위한 사용 가능하고 측정 가능하면서 실행에 중점을 둔 작업으로 효과적으로 변환할 수 있도록 지원합니다.
끊임없이 변화하고 복잡성이 증가하는 시대에, 명확한 커뮤니케이션을 수행하는 섬세한 리더십은 탄력성을 구축하고 강화합니다. 저는 항상 간단하고 활용하기 쉬운 단계를 모색하여 상당히 어려운 당면 과제를 해결하려고 합니다.
“끊임없이 변화하고 복잡성이 증가하는 시대에, 명확한 커뮤니케이션을 수행하는 섬세한 리더십은 탄력성을 구축하고 강화합니다.”
