기고 | CSO의 8가지 고민, 그리고 해답

CSO
회사에서 힘든 하루를 보내고 퇴근한 후에도 많은 CSO와 CISO들은 직장에서 마주하는 힘든 일들을 해결할 더 쉽고 나은 방법을 찾는데 보내게 된다. 모르긴 몰라도 필자는 항상 그랬다. 올해 수많은 업계 동료들과 이야기를 나눴는데, 이들의 희망상항과 고민, 그리고 해결 방안을 공유하고자 한다.
 

필자가 지난해 가장 많이 들었던 CSO들의 8가지 희망사항들을 소개한다:

1. 복잡성이 아닌 단순성이 필요하다
우리의 IT 세상에는 너무나도 많은 일들이 벌어지고 있다. 새로운 클라우드 컴퓨팅, 모바일, 소셜 네트워킹 기술, 기타 혁신들이 우리의 인프라에 넘쳐난다. 현업에도 아주 많은 기술들이 있는데, 서로 어울리지 못하는데다 서로간에 소통도 잘 일어나지 않는게 현실이다.

불행히도 이 문제는 점점 악화되고 있다. 운영 효율과 효과를 부정하는 것은 전체 조직에 나쁜 영향을 미친다. 너무 많은 보안 솔루션들이 1,000가지 기능을 제공하지만, 대부분 사람들은 겨우 100개 가량을 활용할 뿐이다. 우리는 실제로 이야기하고, 지식을 공유하고, 서로에게 배울 수 있는 솔루션들로 효과를 높여야 한다.

2. 너무 많은 데이터와 정보에 압도되고 싶지 않다
방화벽, AV, IDS/IPS, 로드 밸런서, 라우터, 스위치, DLP, 웹 보안 게이트웨이, MDM, 이메일 게이트웨이, 액티브 디렉토리(Active Directory), 수 천 개의 애플리케이션, 수 천 개의 데이터베이스 등등. 우리는 우리가 일상적으로 볼 필요가 없는 데이터 속에 파묻혀 있다. 많은 CISO들에게 물었다: “당신이 IDS나 방화벽 로그에서 얻는 가치는 무엇인가?”

대부분의 CISO들은 너무 많은 데이터가 있기 때문에 거의 가치를 얻지 못한다고 말한다. 그리고 이 문제는 앞으로도 해결되지 않을 것이다. 심지어 SIEM(보안 정보 및 이벤트 관리)같은 아이템들도 지능적이지 않다. 그들은 구동하기 복잡하고, 단순히 데이터를 정보로 바꿀 뿐이다. 그러나 우리가 필요로 하는 게 꼭 정보만은 아니다. 어떤 행동을 취해야 할 지 이해하기 위해서는, 여전히 정보를 수집하고 분석해야 한다. 거기에다 행동 목록보다 더 많은 것들이 필요할 것이다. CSO들은 효과적인 전반적 위험 관리 전략을 제공하는 안내 지침이 필요하다.

3. 우리는 데이터를 지혜로 바꿔야 한다
CSO는 최선의 보안 결정을 내리기 위해 지혜를 활용하려면 데이터가 필요하다. 그렇게 하기 위해서, 데이터는 정보로 전환돼야 한다. 또한 정보는 인텔리전스를 제공해야 한다. 인텔리전스는 CSO가 그들의 보안 지혜를 구축하는데 도움을 줄 것이다. CSO가 더 많은 인텔리전스를 받을수록, 혜택 또한 커진다. 불행히도 필자가 위에 제시한 솔루션들 중 다수는 정보를 인텔리전스로 바꿔주지 못한다. 그저 단순 정보만 제공해, 수동적인 행동과 능동적인 행동 사이의 고민을 초래할 뿐이다.

4. 우리는 미래의 위험에 대응하는 자세가 필요하다
필자는 간편하게 구축할 수 있는 위험-기반 접근방식의 지금 당장 필요하다는 말을 하고 있다. 오늘날의 구매 결정은 오래된 경험과 과거의 환경에 근거한 배짱 구매가 대부분이다. 그리고 거버넌스, 위험 관리, 규제 준수(GRC) 솔루션들이 존재하지만, 보통 이런 솔루션들은 규칙을 기반으로 하며 지능적이지 않은데다, 지나치게 복잡하다. 게다가 데이터-중심적 견해도 취하지 않는다.

또한 많은 위험과 준수 솔루션들은 상당히 비싸기 때문에, 비용을 감당할 수 있는 회사가 많지 않다. 우리는 구축과 관리가 쉬운 GRC 솔루션이 필요하다. 더 많은 CSO들이 다른이들과 협력하고 클라우드를 도입함에 따라 GRC는 직접적 인프라 통제를 점점 줄일 것이기 때문에, 위험 관리를 도와주는 미래의 툴이 될 것이다.


5. 우리는 항상 데이터에 대한 가시성, 통제, 보호가 필요하다
이 문제는 하드웨어나 IT업체가 아닌 데이터에 관한 것이다. 그러므로 스마트폰이건, 태블릿이건, 혹은 클라우드 안이건 상관없이 우리는 데이터가 어디 있고 누가 그 데이터를 사용하고 있는지, (비록 방금 전에 작성했다 하더라도) 언제 데이터에 접속했는지를 파악해야 한다. 우리는 데이터도 제어해야 한다. 데이터 공동작업 활성화, 언제 데이터의 파트너 출발 시점 파악, 우리의 데이터가 정확한 지점에 있지 않다면 킬 스위치(kill switch)하는 것 등을 포함한다. 우리는 우리의 보안 프로그램을 처음부터 다시 생각해야만 한다.

6. 우리는 BYOD를 허용하고 싶다.
우리는 비즈니스에 BYOD를 허용하고 싶지만, 대부분의 CIO들은 모바일 기기 관리(mobile device management:MDM)에 그리 우호적이지 않다. 그들은 보안과 데이터 보호를 원하지만 기기를 잠그거나 제어하는 것을 원하지는 않는다. 이 문제는 우리가 최고 경영진들로부터 네트워크상에 개인 기기를 허용하라는 압력을 받을 때 더 심해진다. 우리는 어떤 기기든 우리의 네트워크와 데이터에 쉽게 접속할 수 있도록 허용해야 하는 동시에, 전체 가시성과 데이터 제어권을 가져야 한다.

필자는 DLP와 DRM이 가상화 세션과 합쳐진 하이브리드가 미래를 열 것으로 믿는다. 그리고 특정 애플리케이션에서는 데이터가 데이터센터로 다시 라우트될 것이다. 개인적으로 MDM이 미래가 될 것으로 보지는 않는다. 그건 종점 보안의 모든 구식 방법들을 새로운 모바일 기기 패러다임에 적용한 것에 불과해 실질적 문제를 해결하지 못하기 때문이다.

7. 우리는 스피어피싱을 중단시켜야 한다.
스피어피싱(spearphishing)은 대부분의 타깃 공격(targeted attacks)이 이용자들을 위험에 빠트리는 가장 흔한 방법이다. 피싱은 오래된 기법이지만, 연구를 거쳐 잘 정비된 소셜 엔지니어링 방식의 미끼는 상당히 효과적이다. 200명의 CISO들에게 “당신의 CEO에게 가해지는 스피어피싱유형의 공격을 잘 막을 수 있다고 장담할 수 있는 사람이 얼마나 되는가?”라고 물었을 때, 그들 중 그 어느 누구도 자신하지 못했다. 우리는 이 문제를 해결하기 위해 완전히 다른 방식으로 생각해야 한다. 이 문제 해결의 가장 성공적인 방법은 과학과 인문을 동시에 융합하는 것이다.

피시미닷컴(PhishMe.com)이 그 좋은 예다. [공지 – 필자는 최근 피시미의 이사진 중 한 사람이됐다.] 필자는 기술과 의식에 따라, 70%가량의 직원들이 스피어피싱 미끼를 클릭한다는 사실을 발견했다. 15%정도는 여전히 그것을 클릭할 것이기 때문에, 당신의 보안 기술은 당신의 의식 프로그램과 결합해야 한다.

당신은 클라우드-기반 스피어피싱 보호를 이용하여 이전에 본 적 없는 URL들을 잡아내고 검사하는 이메일 보안 솔루션을, 그들이 네트워크에 침투하기 이전에 미리 이용해야 한다. 당신의 기본 스팸 필터로는 이런 대비가 불가능하다. 최근, 많은 스피어피싱 이메일들이 회사의 이메일 시스템을 돌아들어가 CEO의 지메일 계정을 노리고 있다. 그러므로 이용자들이 스피어 피싱 링크를 클릭했을 때, 그들을 보호할 수 있는 웹 보안 게이트웨이가 필요하다. 현재 스피어피싱을 감지할 수 있는 웹 보안 게이트웨이는 아주 적은 실정이다. 이것이 바로 핵심이다.

8. 우리는 우리의 성공을 측정하고 홍보할 수 있는 쉬운 방법을 원한다
이것은 큰 주제다. 보안은 회의실 문제지만, 우리는 성공에 영향을 주는 트렌드를 측정하는 동시에, 이 문제가 이사진들의 문제라는 점을 이해시킬 수 있어야 한다. 우리는 많은 새로운 보안 어려움들과 새로 등장하는 위협등을 상대해야 한다. 우리의 가치를 어떻게 CEO나 이사진들에게 보여줄 수 있을까? 필자는 개인적인 베스트 프랙티스 몇 가지를 여기에 소개했지만, 여러분의 제안에 항상 귀를 열고 있다.

*Jason Clark은 미국 보안 업체 웹센스(Websense)의 최고 보안 전략 책임자(CSSO)다. ciokr@idg.co.kr