"함께 합시다" 사이버보안 공동 대응팀 제안한 로크웰 CISO

CIO
로크웰 오토베이션의 CISO는 몇몇 기업에 있는 최고의 정보보안 엔니지어로 구성된 사이버보안 공동 대응팀을 꾸려야 한다는 의견을 제기했다. 이 공동 대응팀은 개별 회사들의 보안 전문 인력 부족 문제를 해결해 줄 수 있고 관리형 보안 서비스 업체의 대응 수준을 한층 더 끌어올 수 있다는 게 그의 주장이다.


이미지 출처 : Thinkstock

로크웰 오토메이션의 CISO 짐 모츠는 기업들이 해커에 더욱 취약해질 수 밖에 이유로 사이버보안 인력 부족 문제를 지목했다. 모츠는 개별 기업들에 있는 우수 엔지니어로 구성된 공동 대응팀을 제안했다. 이 노련한 정보보안 전문가 팀은 대부분의 관리형 서비스 제공자(MSSP)보다 기업 네트워크를 더욱 잘 보호할 수 있다고 그는 강조했다.

"사이버보안 전문가가 부족하기 때문에 자격이 없는 사람들이 이 자리를 꿰차고 있다"고 모츠는 말했다. 그는 11월 30일 밀워키(Milwaukee)에 위치한 로크웰 오토메이션 본사에서 동료 CISO들에게 공동 대응팀을 꾸리자는 제안서를 공식적으로 선보일 예정이다. "회사 안에 있는 보안인력이 혹사당하고 있고 인재 풀은 부족한데, 수요는 그 어느 때보다도 높다"고 그는 강조했다.

이런 점에서 잘못된 부분은 없어 보인다. 사이버보안 우려는 과거 2년 동안 점점 더 크게 증가했으며 타깃(Target), 홈데포(Home Depot), 앤썸(Anthem) 등의 명성에 먹칠한 해킹 사건 때문에 더 주목 받고 있다. 그리고 상황은 전혀 나아지고 있지 않다. 최근 PwC 조사에 따르면 2014년과 비교하여 사이버 공격이 38%나 증가한 것으로 나타났다. 이 결과 때문에 기업 책임자 및 이사회는 자사의 사이버보안 활동을 다시금 검토하게 되었다.

기업을 보호하기에는 부족한 사이버 전문가
모츠는 기업들이 사이버보안 기술에 대한 다층적 접근방식을 개발해야 한다고 말하지만 자신의 흔적을 감추는데 능통한 공격자들로부터 기업 네트워크를 보호할 인재가 부족한 것이 현실이다. 모츠가 말한 공동 대응팀은 네트워크 방어를 강화하고 공격을 감시할 것이다. 서비스는 현재 MSSP가 제공하는 것과 유사하지만 주된 차이점이 존재한다고 모츠는 밝혔다. 그는 PSACS(Perot Systems and Affiliated Computer Services)에서 MSSP 서비스를 제공한 경험이 있다.

대부분의 MSSP는 위협을 감시하고 비정상적인 활동을 발견했을 때 고객에 연락을 취하도록 교육을 받는다. 그들은 가능한 많은 고객을 확보해야 수익을 얻을 수 있으며, 이런 접근방식으로는 저마다의 아키텍처와 방어 요건을 자랑하는 고객들이 너무 많은 나머지 다양한 수직 산업에 익숙해지기 어렵기 때문에 효과가 반감된다.

또 한 기업이 해킹을 당하면 MSSP는 해당 기업이 입은 수 백만 달러의 피해가 아닌 자사에 지불된 수 천 달러의 비용만 환불해 주는 것이 일반적이다. "(공동 대응팀은) 앉아서 화면을 통해 엄청나게 많은 고객들을 관리하는 사람들로 구성된 MSSP를 대체한다"고 모츠는 말했다.

---------------------------------------------------------------
보안 경력 인기기사
->블로그 | 수요·공급 많은 보안직종, 인재 찾기 어려운 이유
-> 블로그 | 당신의 보안 직책은 안녕하십니까?
->보안 전문가들이 갖춰야 할 6가지 소프트 스킬
-> 美 사이버보안 전문가 '수요 많고 연봉 높다'
-> IT 보안 전문가를 바꾸는 7가지 트렌드··· 가트너
---------------------------------------------------------------


모츠는 처음에 공동 대응팀이 로크웰 오토메이션과 프로필이 유사한 제조사에 가장 적합할 것이라고 말했다. 하지만 결국 공동 대응팀은 소매, 금융, 의료, 기타 부문의 위협을 처리하는데 정통한 전문가를 양성하게 될 것이다. 지식을 공유하면서 공동 대응팀은 분명을 혜택을 얻게 되고 구성원들을 위해 최신 위협과 새로운 기술에 관한 교육에 투자할 것이다. 공동 대응팀은 스스로 유틸리티 상태를 유지하여 고객들에게 사용량 기준으로 비용을 청구할 것이다. "아웃소싱 서비스 없이 일을 잘 처리할 것이고 다른 산업에서도 재현할 수 있는 최고 기관을 구성할 수도 있다"고 모츠는 말했다.


공동 대응팀은 권한이 있는 사용자 계정을 더욱 잘 보호할 수 있다
공동 대응팀이 잘 보호할 수 있는 영역은 권한이 있는 사용자 계정으로, 기본적으로 시스템 관리자가 네트워크 시스템을 관리하거나 서비스를 운영하거나 애플리케이션이 서로 통신할 수 있도록 하기 위해 설계된 유효한 크리덴셜(Credential)이다. 네트워크 접근 제한이 거의 없는 상황에서 권한이 있는 사용자 계정은 기업 시스템에 침투하려는 공격자들이 자주 탈취하곤 한다. 이런 계정은 소니픽처스(Sony Pictures), LVS(Las Vegas Sands) 카지노, OPM(Office of Personnel Management) 등의 해킹 사건에서 중요한 역할을 감당했다.

모츠에게 가장 중요한 것은 권한이 있는 사용자 계정을 보호하는 것이다. 로크웰 오토메이션은 최근 IT 활동을 단일 아웃소싱 업체로 통합했으며, 그 직원들은 기업을 운영하기 위해 필요한 윈도우 서버와 네트워크 인프라를 제공하고 관리하기 위해 권한 접근이 필요해 졌다. 아웃소싱 업체는 가상화된 접속으로 현장에서 그리고 원격으로 로크웰의 네트워크에 접근한다. 해당 기업의 공격범위(Attack Surface)를 확대하는 것 때문에 이사회는 곤혹을 치렀다.

로크웰은 사이버아크(CyberArk)의 소프트웨어를 이용해 권한이 있는 세션을 샌드박스 처리하고 사용자의 엔드포인트에서 중요 시스템으로의 악성코드 확산을 방지할 뿐 아니라 사용자 및 그들의 장치가 권한이 있는 계정 크리덴셜을 노출시키지 못하도록 하고 있다. 또 감사 로그를 생성하여 아웃소싱 업체의 인력과 로크웰의 직원들의 의심되는 활동을 추적한다. "우리가 추적하지 않는 상태에서 누군가가 해당 권한으로 로그인하는 것을 원치 않는다. 누가 언제 로그인해 무엇을 했는지 알고 있어야 한다"고 모츠는 말했다.

보안 공동 대응팀에 도움이 되는 것
공동 대응팀 운영이 기능하려면 회원사들이 권한이 있는 접근 제어 위협 완화를 포함하여 자체 보안을 확보해야 한다고 모츠는 강조했다. 그는 다양한 산업 부문 출신의 노련한 사이버 전문가들이 공동 대응팀 내의 인턴들을 교육하여 사이버 위협에 대항할 수 있을 것으로 보고 있다. "자신이 성장시키고 [시간과 노력을] 투자하여 교육시킨 팀만큼 좋은 것은 없다"고 그는 말했다.

모츠는 이미 로크웰 오토메이션의 법무 자문위원회를 포함하여 고위 경영진으로부터 공동 대응팀 계획을 승인 받았다. 그리고 위스콘신주 의회뿐만이 아니라 자신의 아이디어를 전달한 CIO들로부터 긍정적인 답변을 받았다. 일각에서는 공동 대응팀이라는 전제를 부정하면서 기본적으로 신생벤처라 할 수 있는 공동 대응팀에서 근무하기 위해 현재의 직위를 버리는 직원들이 없을 것이라고 말했다. 하지만 모츠는 직원들이 교차 교육을 받게 될 것이며 이를 통해 공동 대응팀이나 다른 곳에서 자신의 가치를 높이고 더 나은 지위를 확보할 수 있을 것이라고 반박했다. 이 교육은 직원 개개인에게 값진 경험이 될 것이라고 모츠는 전했다. "우리는 그들에게 [현재의 기업에서는] 볼 수 없는 출세의 길을 열어줄 것이다"고 그는 말했다.

하지만 사이버보안은 기업들 사이에서 항상 민감한 사안이었다. 이 때문에 공동 대응팀의 가장 큰 장애물은 또 다른 문제를 추구하는 악당들에게 스스로를 노출시킬 수 있다는 두려움 때문에 사이버보안 통찰력을 공유하기를 거부하는 기업들일 것이다. 11월 30일이 되면 모든 것이 밝혀질 것이다. ciokr@idg.co.kr