'위험 우선순위 정하고 최대한 방어···' 2020년 사이버보안 강령

CSO
IDG가 발행하는 IT전문 매체인 <CIO>, <컴퓨터월드>, <CSO>, <인포월드>, <네트워크월드>에서 최근 다룬 보안 동향을 중심으로 2020년 사이버보안 전망을 정리했다. 
 
ⓒGetty Images Bank

정보 관리 협회(Society for Information Management, SIM)가 매년 진행한 IT 동향 연구에 따르면, CIO가 꼽은 중요한 IT관리 문제에서 사이버보안은 2014년부터 1, 2위를 다툴 만큼 우선순위가 높은 것으로 나타났다. 

하지만 2013년에는 달랐다. 같은 조사에서 사이버보안은 당시 7위에 그쳤다. 1년 사이에 무슨 일이 일어났을까? 미국 대형 유통회사인 타겟의 악명 높은 데이터 유출이 있었다. 이로 인해 타겟은 1,850만 달러의 벌금을 부과받았고 CEO는 불명예를 안고서 회사를 떠났다. 

그 이후 타겟의 데이터 유출은 세간의 이목을 끄는 사건이 됐다. 메시지는 단순 명료하다. 위협의 수와 능력이 계속 증가함에 따라, 해마다 경영진의 퇴출을 부를 만한 유출 위험은 더 커진다는 점이다. 

좌불안석 CSO들에겐 대책이 필요하다. 일부 사람들이 보안 소프트웨어 산업의 마케팅 전략에 바로 적용되는 포인트 솔루션으로 모든 새로운 위협에 달려들 수밖에 없다고 느끼는 것은 당연하다. 그러나 사이버보안 예산을 무한대로 쓸 수 있는 조직은 없다. 그렇다면 CSO는 방어 자원을 가장 효과적으로 배분할 방법을 결정할 수 있을까?

간단한 답은 2가지다. 위험의 우선순위를 합리적으로 정하고, 동시에 이미 실시하고 있는 유용한 방어를 최대한 활용하라. 대부분 조직에서 소프트웨어와 소셜 엔지니어링(피싱 포함)이 패치되지 않은 경우가 가장 높은 위험을 나타내고 있으며, 패스워드 크래킹과 소프트웨어의 잘못된 구성이 그 뒤를 이었다. 신속한 패치를 보장하기 위한 정치 및 운영상의 장벽을 제거하고, 효과적인 보안 인식 프로그램을 수립하며, 구성을 쉽게 변경하지 못하도록 조직 구성원을 교육하고, 2단계 인증을 실시하도록 한다. 그러면 전체 위험을 크게 줄일 수 있을 것이다. 

물론 누구나 다른 큰 위험과 취약성에 잘 대처할 수 있다. 예를 들어 전기 유틸리티를 운용하는 경우, 중요한 인프라에 대한 고도로 표적화된 위협과 이를 방어하는 방법을 이해할 필요가 있다. 그리고 악의적인 해커들이 불가피하게 당신의 영역을 침범할 때, 시스템들 사이에 만연된 인증을 구성하는 제로 트러스트(Zero Trust) 추세는 공격이 조직을 통해 횡방향으로 움직이는 것을 막는 실질적인 가능성을 보여준다.

삶의 방식으로서 위험 관리 
악성코드와 해커들은 플로피 디스크를 사용하던 시절부터 줄곧 시스템을 노렸다. 그러나 최근 몇 년 동안 다음과 같은 다른 위협이 발생했다. 즉, 혁신에 대한 끊임없는 압력이다. <CIO>에 자주 기고를 하는 밥 비올리노는 ‘보안 대 혁신: IT의 가장 까다로운 균형 잡힌 행동’에서 디지털 변혁 시대에 가려진 불편한 진실을 언급했다. 그의 기사의 요점은 분명하다. 만약 보안이나 프라이버시에 우선순위를 두지 않는다면, 당신의 혁신적인 계획은 아마도 극적인 방식으로 실패할 것이다. 그러나 보안 아키텍트를 조기에 배치하면 합리적인 보안이 성공적인 결과에 필수 요소가 되며, 결과적으로 애플리케이션의 매력에 추가될 수 있다.

<인포월드>의 객원 편집자인 아이작 사콜릭은 ‘애자일 개발 및 지속적 통합/지속적 전달(CI/CD)에 보안을 가져오는 방법’이라는 기사에서 소프트웨어 개발의 관점에서 이 주제를 자세히 탐구했다. 들어봤을 수도 있지만, 개발자는 개발 프로세스에 늦게 도착한 보안 팀을 따르기보다는 보안이 문제가 아니라고 느끼는 경향이 있다. 보안팀들은 애플리케이션 구현을 위해 구축된 바로 그 비즈니스 프로세스의 취약성을 모를 수는 있다. 데브옵스의 성장으로 데브섹옵스는 단순히 코딩 결함을 방지하는 데 그치지 않고, 생산에 들어간 후 보안문제에 대한 보안 테스트 및 모니터링 애플리케이션의 자동화에서 보안이 개발자 및 운영자 모두에게 중요한 관심사가 되도록 한다. 

소프트웨어에 보안을 통합하는 방법도 있다. 이는 <컴퓨터월드>의 선임기자인 루카스 미어리안의이 작성한 기사에서도 다뤘던 주제다. 과거에는 모바일 기기 관리, 엔터프라이즈 모바일 관리 또는 최신 반복인 통합 엔드포인트 관리를 사용하여 모바일 또는 데스크톱 장치를 관리하는 것이 엔드포인트 보안 관리와 중첩되었지만 별도의 프로세스로 남아 있었다. 

루카스에 따르면, 공급업체들은 ‘단일 콘솔에서 기업용 노트북과 모바일 기기를 관리하고 안전하게 하기 위한 중앙 집중식 정책 엔진을 제공’하기 위해 이 둘을 합치고 있다고 한다. 어떤 경우에는 그러한 진화에 지리적 위치, 사용 중인 기기의 형태, 네트워크 연결이 공용인지 아니면 사적인지와 같은 매개변수에 근거하여 사용자에게 보안 정책을 자동으로 할당하는 머신러닝 알고리즘이 포함된다.

하지만 때때로, 새로운 사이버보안 기술은 당신이 이미 그것을 소유하고 있을지도 모르는 작은 무언가와 함께 온다. <네트워크월드> 기고가인 제우스 케라발라는 ‘IT 부서가 알아야 할 방화벽 고급 기능 5가지’라는 기사에서 네트워크 세분화에서 정책 최적화, DNS 보안에 이르기까지 당신이 알지 못할 수 있는 강력한 기능을 추천하기 위해 현대 방화벽을 파헤쳤다. 잠자고 있는 방화벽 기능을 활용하는 것은 쉬운 일이 아니다. 그리고 제우스는 그것을 최대한 활용하는 방법에 대한 건전하고 상세한 조언을 제공한다. 

결국 현재 시점에서 가장 크고, 가장 나쁜 외부 위협인 랜섬웨어를 방어할 모든 준비를 해야 한다. ‘랜섬웨어가 당신의 가장 큰 위협일 수 있는 이유’라는 기사에서 <CSO> 선임기자인 루시엔 콘스탄틴은 우리에게 경고했다. 랜섬웨어는 매우 은밀하고 정교해서, 그 위험한 정도에서는 지능형 지속 위협(APT)에 버금간다. 게다가 최근의 사건들이 확인해주듯이, 랜섬웨어 공격자들은 소비자들을 협박하는 것에서 훨씬 더 큰 보상을 보장하는 기업을 목표로 하는 쪽으로 옮겨갔다. 얼마나 큰 문제일까? FBI는 사건 발생 건수는 비교적 적지만, 강탈에 성공한 랜섬웨어를 신고하기를 꺼리는 조직들 때문에 보상금이 더 많이 지급되고 있다고 말한다. 하지만, 진실은 아무도 모른다. 

사이버보안은 암울한 과학일 수 있다. 위협이 증식하고, 국가 기관마저 공격 대상이 되면서 마치 시스템만이 아니라 문명 자체가 포위된 것처럼 보일 수 있다. 바로 이러한 이유로 CSO와 보안 조직은 우선순위가 높은 보안 방어를 개발하는 데 더 심혈을 기울여야 한다. ciokr@idg.co.kr