올해 초의 최우선 순위는 무엇보다 집에서도 필요한 애플리케이션에 안전하게 접근하는 것이었다. 그로부터 3~4개월이 지났다. 이제 재택근무가 새로운 현실로 자리 잡는 분위기다. 그렇다면 CIO 혹은 CSO가 앞으로 해야 할 일은 무엇일까?
“재택근무(WFH)라는 새 현실에 대응하려면 사이버보안을 어떻게 바꿔야 하는가?”
현시점에서 이 질문은 CIO와 CSO의 최대 관심사일 것이다. 포스트 코로나 시대의 사이버보안과 관련해 모든 CIO는 다음의 3가지 핵심 질문을 고려해야 한다.
1. IT 사용 패턴과 아키텍처에 어떤 변화가 있는가?
2. 해당 변화가 위험에 어떤 영향을 미치는가?
3. 조직의 사이버보안 대비 태세와 통제 환경에 어떤 변화가 필요한가?
IT 사용 패턴과 아키텍처의 변화
코로나19 사태 이전에 재택근무를 시행했던 기업은 그리 많지 않았다. 재무, HR, 마케팅 등 일반 사무직이라면 더욱더 그랬다. 게다가 일반 사무직 직원들은 필요하다면 다른 사람의 자리로 직접 가는 것에 익숙하다.
코로나19 사태는 두 가지 측면에서 사용 패턴에 영향을 미쳤다. 첫째, 이제 원격 접근은 필수가 됐다. 둘째, 효율적인 업무를 위해서는 커뮤니케이션 및 협업 솔루션 역시 필수적이다.
특히 여기서 고려해야 할 중요 사항은 별도 네트워크에서 온프레미스로 실행되는 가장 민감한 애플리케이션이다. 이로 인해 보안뿐만 아니라 전 세계 및 업계 규제 준수에 있어서 문제가 발생하기 때문이다.
위험이 어떻게 달라졌는가?
위험이란 나쁜 사건이 발생할 확률과 이로 인해 기업이 받는 피해를 나타내는 일종의 함수다. 사이버보안에서 ‘나쁜 사건이 발생할 확률’에 영향을 미치는 요소는 해커의 공격과 IT 환경의 취약점이다. ‘기업의 피해’는 기밀성, 무결성, 가용성, 생산성, 적절성 등이 영향을 받는 정도를 말한다.
코로나19 사태로 변화된 사용 패턴 및 아키텍처를 이해하려면 이러한 변화에 따른 위협과 취약점 그리고 영향을 파악해야 한다.
휴일, 스포츠 경기, 자연재해 등을 틈타 사이버 공격이 늘어나는 것과 마찬가지로 코로나19 사태에서도 스팸과 피싱 공격이 기승을 부렸다. IT 사용 패턴의 변화로 새로운 공격 방식이 나타나기도 했다. 이를테면 줌(Zoom)을 많이 사용하게 되면서 해커들이 화면을 가로채 음란물을 띄우고 욕설을 퍼붓는 등 ‘줌 폭격(Zoom bombing)’이라는 악용 사례가 늘어나기도 했다.
가장 높아진 위험 요소는 ‘가정용 네트워크’다. 재택근무가 새로운 현실로 자리 잡았기 때문이다. 노트북은 위험에 잘 대비된 경우가 많지만, 과거에 주요 표적이 아니었던 가정용 네트워크는 더 많은 주의를 기울여야 하는 상황이다.
취약점 측면에서 보자면, 서버와 애플리케이션 리소스는 공격 표면(attack surface)이 늘어날 가능성이 높다. 집까지 네트워크 연결이 확장되기 때문이다. 이로 인해 잠재적으로 더 많은 구성요소(예: 네트워크 정류장 또는 홉)에 걸쳐 노트북, 가정용 네트워크, 애플리케이션의 새 취약점들이 노출될 수 있다.
이미 ‘언제 어디서든’ 컴퓨팅을 사용하는 기업이라면 이러한 환경에 대처하는 방법을 알고 있겠지만, 그렇지 않다면 새로운 사용 패턴과 아키텍처는 꽤나 큰 변화라고 할 수 있다.
기업과 비즈니스 파트너가 서로 연결돼 있기 때문에 이를테면 공급망에 속한 파트너도 비슷한 변화를 겪고 있으며 그 결과 연결된 환경 전체가 더 큰 위험에 직면할 수도 있다는 점을 알아야 한다.
마지막으로, 코로나19 사태로 인해 전례 없는 수준으로 커뮤니케이션 및 협업 애플리케이션을 사용하게 됐다. 이는 아마도 위험으로 인지하기에 까다로운 개념일 수 있다. 설사 기술 측면에서는 달라진 것이 없더라도 이로 인한 피해가 증가할 수 있기 때문이다. 또한 기업들이 이 어려운 시기에서 살아남기 위해 고군분투하는 가운데서 일어날 가능성이 높은 상황이기도 하다.
인력이 분산되면서 기술 지원 부문도 직접적인 영향을 받을 수 있다. 문제 해결에 필요한 리소스가 증가하기 때문이다.
사이버보안 통제 환경에 미치는 영향
그동안 IT 환경의 보안 방식은 물리적 위치(주로 데이터센터)와 네트워크, 그리고 서버 및 호스트를 다루는 ‘상향식(bottom-up)’이었다. 모든 컴퓨팅 장비를 같은 공간(예: 데이터센터, 배선반 등)과 네트워크에 배치하고 방화벽으로 분리하는 방식으로 물리적 보안과 네트워크 보안에서 규모의 경제를 달성했다. 이러한 규모의 경제는 사이트 간 VPN, 웹 보안 게이트웨이 등의 솔루션을 통해 확장돼 왔다.
엔드포인트 보안 역시 수년 동안 강화됐다. 오늘날 기업용 노트북의 보안은 꽤 잘 구현돼 있다. 그러나 스마트폰, 태블릿, 직원 소유의 노트북은 또 다른 이야기다. 모든 기기를 대상으로 보안 프로그램을 구축한 조직도 있는 반면, 여전히 사내에서 모든 기기가 관리된다고 생각하는 조직도 있다.
물론 분산 컴퓨팅부터 인터넷, 가상화, 클라우드, 소프트웨어로 정의된 모든 것에 이르기까지 수년 동안 다른 많은 요소도 달라졌다. 그런데도 동일한 원칙이 적용된 경우가 많았다. 하지만 코로나19로 그 모든 것이 바뀔 것이다.
첫 재택근무 명령이 내려진 지 하루 만에 코로나19의 영향은 명백해졌다. 많은 기업이 직면한 첫 번째 과제는 사용자가 집에서도 안전하게 애플리케이션에 액세스하는 것이었다. 물론 제1의 방어선이자 매우 일반적으로 쓰이는 VPN이 있었지만 성능 및 관리 문제가 무엇보다 중요해졌다. 네트워크 보안 접근 제한과 규칙 변경에 부담을 느끼는 기업들도 있었다.
그러나 ‘다소 앞서 있었던’ 기업들은 큰 문제를 겪지 않았다. 구글의 비욘드코프(BeyondCorp) 아키텍처나 다른 제로 트러스트(zero trust) 기능을 모델링해 위치에 따라 사용자 및 애플리케이션에 유동적인 규칙을 적용했기 때문이다.
이들은 또한 기업 전반에 걸쳐 다중 인증(multifactor) 방식을 도입했다. 어떤 장치나 네트워크가 사용되는지 또는 어디에 저장되는지 관계없이, 사용자와 데이터 그리고 애플리케이션에 초점을 맞춰 효과적으로 보안을 구현했다.
사이버보안 전문가들은 갈수록 복잡해지는 컴퓨팅 환경을 보호하려면 더욱더 강력한 통제가 필요하다는 사실을 오랫동안 피력해왔다. 엔지니어링 및 통합 작업이 완료된 프로그램이라면, 지금이 새로운 아키텍처로 서서히 이동할 적기일지 모른다.
그렇지 않은 프로그램이라면 오히려 보수적인 자세를 취해야 한다. 공격 위험을 대비하는 동시에 오판으로 생산성을 저해하지 않도록 균형을 잡아야 하는데, 이는 굉장히 어렵다. 지금은 보안 강화라는 명목하에 생산성을 방해해선 안 된다. 무시하라는 뜻은 아니다. 매우, 매우 조심해야 한다는 뜻이다.
재택근무 장기화에 따른 실행 지침 10가지
아래 권고사항은 기존 통제 환경의 변화를 모두 파악하였으며, 통제 환경이 적어도 당분간은 안정적이라는 가정에 따른다.
앞으로 6개월 동안 해야 할 6가지 실행 지침은 다음과 같다.
1. 자동화하고, 또 자동화하라: 가능하다면 모든 수동 프로세스(예: 패칭, 암호 재설정, 변경 제어, 사건 관리 등)가 언제 어디서든 자동화되도록 해야 한다.
2. 다중 인증을 전면 실행하라: 조직 내부라고 할지라도 비밀번호만 신뢰해선 안 된다. 물론 다중 인증 방식이 특효약은 아니다. 하지만 그래도 어디서든 위험을 줄일 수 있는 ‘만병통치약’에 가장 가깝다고 볼 수 있다.
3. BYOD를 허용하지 않더라도 BYOD 계획을 수립하라: 관리 대상이 아닌 기기, 즉 기업용 기기가 아닐지라도 보안이 확보된 상태에서 조직 리소스에 접근할 수 있는 방법을 갖춰야 한다. 특히 가정용 네트워크를 관리하는 일이 여기에 포함된다.
4. 데이터 거버넌스 정책 및 프로그램을 검토하라: 소유자가 식별돼야 하며, 콘텐츠와 관련된 모든 정책 문제(예: 클라우드 환경의 관할권 등)도 해결됐는지 확인해야 한다.
5. 제3자/제4자 컴플라이언스 프로그램을 업그레이드하라: 직접 확인할 필요 없는 지속적인 컴플라이언스 프로그램을 만들어야 한다. 제3자 감사, 활동 및 통제에 관한 지속적인 보고, 강력한 보안 아키텍처를 사용해야 한다.
6. 기존 통제 방식의 필요성을 재검토하라: 애플리케이션이 특정 기기에서 실행되지 않아도, 혹은 특정 위치 및 네트워크에 있지 않아도 보안 기능을 제공하도록 해야 한다.
그리고 향후 18개월 이내에 해야 할 일들은 아래와 같다.
7. 가상의 보안 운영 센터(SOC)를 구축하라: 보안 관리 서비스(MSSP) 혹은 SaaS 솔루션을 활용해 언제 어디서나 모니터링할 수 있는 SOC를 구축해야 한다.
8. 애플리케이션과 데이터를 네트워크 및 기기 보안에서 분리하라: 어떤 네트워크나 기기에서 접근하든 애플리케이션과 데이터가 보호되도록 해야 한다.
9. 클라우드 보안 게이트웨이 및 환경을 구현하라: 적용할 수 있는 보안 보호를 쓸 수 있도록 모든 네트워크 트래픽을 라우팅하는 클라우드 기반 환경을 구축해야 한다.
10. 분산 무결성(Distributed Integrity) 아키텍처를 개발하라: 데이터와 애플리케이션에 암호화와 무결성을 통합해야 한다. ciokr@idg.co.kr