2018.09.12

'보안 사고는 기우라던 CEO에게' 컨설턴트가 전하는 말

George Nott | CIO Australia
호주의 한 대기업 CEO가 보안 컨설턴트 마이클 코너리에게 다음과 같이 말을 했다.

“사이버 인식 및 거버넌스 프로그램 실행은 마치 화재보험을 드는 것과 같다. 불이 날 가능성은 매우 희박한데 그에 비해 보험료는 엄청나게 청구하니 말이다. 대체 왜 그 정도의 비용을 지불해야 하는가? 해마다 실제 불이 나서 연소되는 집과, 화재 보험에 드는 집의 수를 비교해 보면 알 수 있을 것이다.”




코너리(사진)는 보안에 대한 이러한 태도는 무척 잘못된 것이지만, 또 여러 업계에 만연해 있는 태도이기도 하다고 밝혔다. 그가 경영하는 ‘시큐리티 인 뎁스(Security In Depth)’는 최근 연구 결과를 발표하고, 호주 기업들의 83%가 데이터 유출 방지 및 대처를 위한 그 어떤 계획이나 정책도 없으며 41%는 심지어 ICT 보안 프레임워크가 ‘무엇인지 잘 모르겠다’고 답했다고 지적했다.

“그동안 기업 경영자들의 행보를 쭉 살펴보면, 이들은 현재의 사이버보안 수준에 안주하고 있는 듯하다. 그러나 우리가 사이버보안의 ‘기초’라 하는 예방책들조차 제대로 갖추고 있지 못한 기업들이 이렇게 많은 걸 보면, 오늘날 호주 기업들은 그 어느 때보다도 사이버 공격에 취약한 상태라는 것이 시큐리티 인 뎁스의 견해다”라고 코너리는 말했다.

시큐리티 인 뎁스는 직원 수 50인 이상 규모인 호주의 722개 기관을 대상으로 설문조사를 했다. 설문에 응답한 기업 대부분(71%)이 비즈니스 연속성 계획은 세워 놓고 있었지만, 사이버보안 전략과 로드맵을 설립해 둔 기업은 각각 57%와 56%에 그쳤고, 사이버보안 거버넌스 스트럭처를 정립해 둔 기업은 절반이 채 되지 않는 44%였다. 사이버 사고 대응 계획이 있는 기업은 이보다 더 적은 30%에 그쳤다.

심지어 ‘위 어느 것에도 해당하지 않음’이라고 답한 기업도 25%나 됐다.

사이버 공격이나 데이터 유출에 대한 우려는 마치 화재보험에 드는 것과 같아서 “실제로 일어날 가능성이 거의 없는 일에 대해 걱정하는 것”이라고 말했던, 위에서 등장한 익명의 CEO는 틀렸다.

데이터 유출 사고 건수는 꾸준히 증가하고 있다. 지난 2월 이후 호주의 정보위원회사무소(OAIC)에 신고된 데이터 유출 사고 건수만 305건에 달한다. 몇 달 전에는 제트스타(Jetstar), 타스마니안 거버먼트(Tasmanian Government), 텔스트라(Telstra), 오스트레일리아 포스트(Australia Post), 커먼웰스 뱅크(Commonwealth Bank)를 비롯한 다수의 기업이 5월 발생한 데이터 유출 사건을 계기로 SaaS 업체 페이지업(PageUp)의 이용을 중지하기도 했다.

전 세계적으로도 지난 5년 동안 기업을 대상으로 한 공격 횟수가 2배 가까이 증가했다고 세계 경제 포럼은 밝혔다. 그렇다면 이렇게 가시적인 위험에도 불구하고 왜 기업 경영자들 및 이사회는 적극적으로 대처하지 않는 것일까?

우선순위의 문제
코너리에 따르면, 기업은 모든 의사결정을 우선순위에 따라 내리는데 이에 맞는 보안 팀의 전략이 부족할 경우 보안은 우선순위에서 밀려날 수 있다.

그는 “일반 직원들과 달리 경영진은 비즈니스 전반에 대해 신경 써야 하므로 사이버보안은 경영자들의 우선순위에서 밀리는 경우가 있다”고 말했다.

코너리는 “(기업 경영자들에게) 목표를 달성하면서 가장 발목을 잡는 것이 무엇이냐 물었을 때 정부 규제라 답하는 사람이 가장 많고, 기업 평판 관리나 공급망 요건 등이 그 뒤를 잇는다. 즉 경영자의 아젠다 상위를 차지하는 것은 사이버보안보다는 이런 문제들이다. 어디 그뿐인가? 인재 유지, 규제 요건, 경쟁, 혁신, 소비자 불만 등등… 이런 것들에 신경 쓰다 보면 사이버보안 문제에 대한 대비가 부족한 것도 이해는 된다”고 덧붙였다.

또 다른 문제는 대부분 ICT팀이 전문 보안 지식이 부족하고, 기업 직원들의 업무 방식을 변화시킬 만큼 영향력이 부족하다는 데 있다.

“경영자들은 ICT팀이 이런 이슈들을 관리할 수 있을 것이라 믿고 이들을 고용한다. 이들을 신뢰하기 때문이다. 그러나 ICT팀은 거버넌스보다는 테크놀로지에 더 집중하는 경향이 있으며 전략적 접근보다는 전술적 접근을 취한다. 패치를 설치하자, 최신 방화벽을 설치하자, 악성코드 보호 성능을 개선하자 등등. 또한 ICT팀에게는 직원들이 일상적인 업무를 수행하는 방식을 규정하고 설계할 만한 권한도 일반적으로 주어지지 않는다”고 코너리는 말했다.

설문 조사에 응한 기업의 85%가 보안 전담 직원이 없다고 답했다. 안티바이러스 소프트웨어가 있다는 응답은 100%에 달했지만, 방화벽을 구동 중인 곳은 92%였고, 안티 스팸 및 피싱 솔루션을 사용하는 곳은 28%에 그쳤다. 1/3은 시스템에 대한 침투 테스트를 전혀 하지 않고 있었고, 사이버 위생에 대한 직원 교육을 하는 곳은 손에 꼽을 정도였다.

그런가 하면 ICT팀이 전체 기업에 미치는 영향력이 미미하고, 효과적인 커뮤니케이션이 안 되는 것도 문제의 원인으로 지목됐다. 기업 전반에 적용되는 이니셔티브를 성공적으로 계획한다 해도 경영진의 OK를 받는다는 보장도 없다.

코너리는 USB 포트 사용을 비활성화했던 어느 의료 기업의 CISO를 떠올리며 다음과 같이 이야기했다.

“USB 사용 금지 결정에 대해 경영진도 동의했고, 기업 내 모든 직원은 물론 외부 컨설턴트들에게도 이러한 사실이 충분히 전달됐다. 그러나 결정이 내려지고 이틀 정도 후에 수술을 준비하던 한 의사가 엑스레이 이미지가 담긴 USB 디바이스를 사용했다. 엑스레이 이미지는 당연히 로딩되지 않았고, 해당 의사가 전화를 2통 정도 건 것 만으로 1시간 만에 USB 사용 중지 정책은 취소되었다.”


인적 오류
OAIC에 따르면, 올해 2분기 동안 정보위원회사무소에 신고된 데이터 유출 사고 원인 중 두 번째로 많은 것이 바로 인적 오류였다. 수상한 이메일 링크를 클릭하거나, 피싱에 당하는 등, 인적 오류는 OAIC 외에도 여러 기관에서 가장 중요한 보안 취약점 중 하나로 꼽고 있다.

그런데도, SID의 설문 조사에 응답한 호주 기업 중 절반에 가까운 48%가 직원들을 대상으로 그 어떤 사이버보안 교육도 진행하고 있지 않았다. 그나마 교육을 실시하는 기업들 중에서도 6%는 “법적 규제나 강제가 있을 때만 교육을 하고 있었다”고 답했다.

전체 기업 중 36%만이 사이버보안에 대한 ‘철저하고 일반적인 교육’을 진행하고 있다는 설문조사 결과는 결코 안심할 수 없는 현실을 보여준다고 코너리는 말했다.

그는 “(다국적 기업 등) 대기업들을 제외하고 나면 보안 교육을 하는 기업의 수는 극적으로 줄어든다. 직원들에게 웹 사용과 이메일 사용에 대한 기업 정책을 설명하는 데 10분에서 20분 정도 투자하는 기업들을 제외하고 나면 다시 그 숫자가 늘어난다”고 설명했다.

즉, 대부분 기업이 하는 ‘교육’이라는 것이 사실은 정말 최소한의 정보 전달에 그치고 있다는 것이다.

그는 “우리가 우려하는 것은, 이런 식의 교육으로는 직원들이 피싱 이메일을 가려내지도 못할 것이고 피싱 이메일을 열었을 때 어떻게 대처해야 하는지도 모를 것이라는 점이다. 게다가 보안 교육에는 피싱 외에도 많은 것들이 포함돼야 한다”고 지적했다.

직원 한 사람당 약 20달러만 투자해도, 그리고 따로 시간을 내지 않고 점심시간을 이용해서만 교육하더라도 지금보다는 훨씬 개선된 결과가 나올 것이라고 코너리는 덧붙였다. ciokr@idg.co.kr

2018.09.12

'보안 사고는 기우라던 CEO에게' 컨설턴트가 전하는 말

George Nott | CIO Australia
호주의 한 대기업 CEO가 보안 컨설턴트 마이클 코너리에게 다음과 같이 말을 했다.

“사이버 인식 및 거버넌스 프로그램 실행은 마치 화재보험을 드는 것과 같다. 불이 날 가능성은 매우 희박한데 그에 비해 보험료는 엄청나게 청구하니 말이다. 대체 왜 그 정도의 비용을 지불해야 하는가? 해마다 실제 불이 나서 연소되는 집과, 화재 보험에 드는 집의 수를 비교해 보면 알 수 있을 것이다.”




코너리(사진)는 보안에 대한 이러한 태도는 무척 잘못된 것이지만, 또 여러 업계에 만연해 있는 태도이기도 하다고 밝혔다. 그가 경영하는 ‘시큐리티 인 뎁스(Security In Depth)’는 최근 연구 결과를 발표하고, 호주 기업들의 83%가 데이터 유출 방지 및 대처를 위한 그 어떤 계획이나 정책도 없으며 41%는 심지어 ICT 보안 프레임워크가 ‘무엇인지 잘 모르겠다’고 답했다고 지적했다.

“그동안 기업 경영자들의 행보를 쭉 살펴보면, 이들은 현재의 사이버보안 수준에 안주하고 있는 듯하다. 그러나 우리가 사이버보안의 ‘기초’라 하는 예방책들조차 제대로 갖추고 있지 못한 기업들이 이렇게 많은 걸 보면, 오늘날 호주 기업들은 그 어느 때보다도 사이버 공격에 취약한 상태라는 것이 시큐리티 인 뎁스의 견해다”라고 코너리는 말했다.

시큐리티 인 뎁스는 직원 수 50인 이상 규모인 호주의 722개 기관을 대상으로 설문조사를 했다. 설문에 응답한 기업 대부분(71%)이 비즈니스 연속성 계획은 세워 놓고 있었지만, 사이버보안 전략과 로드맵을 설립해 둔 기업은 각각 57%와 56%에 그쳤고, 사이버보안 거버넌스 스트럭처를 정립해 둔 기업은 절반이 채 되지 않는 44%였다. 사이버 사고 대응 계획이 있는 기업은 이보다 더 적은 30%에 그쳤다.

심지어 ‘위 어느 것에도 해당하지 않음’이라고 답한 기업도 25%나 됐다.

사이버 공격이나 데이터 유출에 대한 우려는 마치 화재보험에 드는 것과 같아서 “실제로 일어날 가능성이 거의 없는 일에 대해 걱정하는 것”이라고 말했던, 위에서 등장한 익명의 CEO는 틀렸다.

데이터 유출 사고 건수는 꾸준히 증가하고 있다. 지난 2월 이후 호주의 정보위원회사무소(OAIC)에 신고된 데이터 유출 사고 건수만 305건에 달한다. 몇 달 전에는 제트스타(Jetstar), 타스마니안 거버먼트(Tasmanian Government), 텔스트라(Telstra), 오스트레일리아 포스트(Australia Post), 커먼웰스 뱅크(Commonwealth Bank)를 비롯한 다수의 기업이 5월 발생한 데이터 유출 사건을 계기로 SaaS 업체 페이지업(PageUp)의 이용을 중지하기도 했다.

전 세계적으로도 지난 5년 동안 기업을 대상으로 한 공격 횟수가 2배 가까이 증가했다고 세계 경제 포럼은 밝혔다. 그렇다면 이렇게 가시적인 위험에도 불구하고 왜 기업 경영자들 및 이사회는 적극적으로 대처하지 않는 것일까?

우선순위의 문제
코너리에 따르면, 기업은 모든 의사결정을 우선순위에 따라 내리는데 이에 맞는 보안 팀의 전략이 부족할 경우 보안은 우선순위에서 밀려날 수 있다.

그는 “일반 직원들과 달리 경영진은 비즈니스 전반에 대해 신경 써야 하므로 사이버보안은 경영자들의 우선순위에서 밀리는 경우가 있다”고 말했다.

코너리는 “(기업 경영자들에게) 목표를 달성하면서 가장 발목을 잡는 것이 무엇이냐 물었을 때 정부 규제라 답하는 사람이 가장 많고, 기업 평판 관리나 공급망 요건 등이 그 뒤를 잇는다. 즉 경영자의 아젠다 상위를 차지하는 것은 사이버보안보다는 이런 문제들이다. 어디 그뿐인가? 인재 유지, 규제 요건, 경쟁, 혁신, 소비자 불만 등등… 이런 것들에 신경 쓰다 보면 사이버보안 문제에 대한 대비가 부족한 것도 이해는 된다”고 덧붙였다.

또 다른 문제는 대부분 ICT팀이 전문 보안 지식이 부족하고, 기업 직원들의 업무 방식을 변화시킬 만큼 영향력이 부족하다는 데 있다.

“경영자들은 ICT팀이 이런 이슈들을 관리할 수 있을 것이라 믿고 이들을 고용한다. 이들을 신뢰하기 때문이다. 그러나 ICT팀은 거버넌스보다는 테크놀로지에 더 집중하는 경향이 있으며 전략적 접근보다는 전술적 접근을 취한다. 패치를 설치하자, 최신 방화벽을 설치하자, 악성코드 보호 성능을 개선하자 등등. 또한 ICT팀에게는 직원들이 일상적인 업무를 수행하는 방식을 규정하고 설계할 만한 권한도 일반적으로 주어지지 않는다”고 코너리는 말했다.

설문 조사에 응한 기업의 85%가 보안 전담 직원이 없다고 답했다. 안티바이러스 소프트웨어가 있다는 응답은 100%에 달했지만, 방화벽을 구동 중인 곳은 92%였고, 안티 스팸 및 피싱 솔루션을 사용하는 곳은 28%에 그쳤다. 1/3은 시스템에 대한 침투 테스트를 전혀 하지 않고 있었고, 사이버 위생에 대한 직원 교육을 하는 곳은 손에 꼽을 정도였다.

그런가 하면 ICT팀이 전체 기업에 미치는 영향력이 미미하고, 효과적인 커뮤니케이션이 안 되는 것도 문제의 원인으로 지목됐다. 기업 전반에 적용되는 이니셔티브를 성공적으로 계획한다 해도 경영진의 OK를 받는다는 보장도 없다.

코너리는 USB 포트 사용을 비활성화했던 어느 의료 기업의 CISO를 떠올리며 다음과 같이 이야기했다.

“USB 사용 금지 결정에 대해 경영진도 동의했고, 기업 내 모든 직원은 물론 외부 컨설턴트들에게도 이러한 사실이 충분히 전달됐다. 그러나 결정이 내려지고 이틀 정도 후에 수술을 준비하던 한 의사가 엑스레이 이미지가 담긴 USB 디바이스를 사용했다. 엑스레이 이미지는 당연히 로딩되지 않았고, 해당 의사가 전화를 2통 정도 건 것 만으로 1시간 만에 USB 사용 중지 정책은 취소되었다.”


인적 오류
OAIC에 따르면, 올해 2분기 동안 정보위원회사무소에 신고된 데이터 유출 사고 원인 중 두 번째로 많은 것이 바로 인적 오류였다. 수상한 이메일 링크를 클릭하거나, 피싱에 당하는 등, 인적 오류는 OAIC 외에도 여러 기관에서 가장 중요한 보안 취약점 중 하나로 꼽고 있다.

그런데도, SID의 설문 조사에 응답한 호주 기업 중 절반에 가까운 48%가 직원들을 대상으로 그 어떤 사이버보안 교육도 진행하고 있지 않았다. 그나마 교육을 실시하는 기업들 중에서도 6%는 “법적 규제나 강제가 있을 때만 교육을 하고 있었다”고 답했다.

전체 기업 중 36%만이 사이버보안에 대한 ‘철저하고 일반적인 교육’을 진행하고 있다는 설문조사 결과는 결코 안심할 수 없는 현실을 보여준다고 코너리는 말했다.

그는 “(다국적 기업 등) 대기업들을 제외하고 나면 보안 교육을 하는 기업의 수는 극적으로 줄어든다. 직원들에게 웹 사용과 이메일 사용에 대한 기업 정책을 설명하는 데 10분에서 20분 정도 투자하는 기업들을 제외하고 나면 다시 그 숫자가 늘어난다”고 설명했다.

즉, 대부분 기업이 하는 ‘교육’이라는 것이 사실은 정말 최소한의 정보 전달에 그치고 있다는 것이다.

그는 “우리가 우려하는 것은, 이런 식의 교육으로는 직원들이 피싱 이메일을 가려내지도 못할 것이고 피싱 이메일을 열었을 때 어떻게 대처해야 하는지도 모를 것이라는 점이다. 게다가 보안 교육에는 피싱 외에도 많은 것들이 포함돼야 한다”고 지적했다.

직원 한 사람당 약 20달러만 투자해도, 그리고 따로 시간을 내지 않고 점심시간을 이용해서만 교육하더라도 지금보다는 훨씬 개선된 결과가 나올 것이라고 코너리는 덧붙였다. ciokr@idg.co.kr

X