Offcanvas

CIO / CSO / 보안 / 분쟁|갈등 / 비즈니스|경제

'기후 변화'는 이제 CISO의 의제다··· 4가지 이유

2022.06.07 Michael Hill  |  CSO
기후 변화가 사이버보안과 높은 관련성을 가지지는 않는다. 그러나, 기후 변화로 인한 영향을 보안 부문에서 인식하고 해결해야 할 필요성이 커지고 있다. 세계기상기구(WMO) ‘신규 보고서’에 따르면 향후 5년 동안 전세계 평균 표면 온도가 이례적인 수준으로 상승할 가능성이 높다. 최초로 산업화 전 평균값보다 1.5°C 넘어설 확률이 50%이다.

사이버보안 지형은 이미 복잡하다. 여기에 변화하는 기상 패턴, 자원 가용성, 집단 이주와 같은 기후 관련 요인도 감안해야 할 수 있다. 이들 요인으로 새로운 위협이나 고조된 위협이 등장하면서 사이버보안의 양상이 달라질 수 있기 때문이다.

사이버보안 전문가 클로에 메스다기는, 그러나 기후 변화가 대부분의 기업 내 이사회와 팀에서 거의 논의되지 않는 주제라고 지적했다. 그녀는 최근 블로그 게시물에서 “내가 만나 본 사이버보안 부문의 여러 임원들은 기후 변화가 미칠 잠재적인 영향에 대한 논의를 아직 하지 않았다. 기후 변화에 대한 언급은 대개 묵살된다. 기후 변화의 존재를 부인하는 의견이나 잠재적 위험성에 대한 무지가 주요 이유”라고 기술했다.

메스다기는 기후 변화가 사이버보안 분야의 잠재적 주요 과제에 속하며 각 기업은 이 주제의 논의 우선순위를 높여야 한다고 강조했다. 사이버보안 분야가 기후 변화를 무시하지 않아야 할 이유 4가지를 살펴본다.
 
ⓒ Image Credit : Getty Images Bank


이유 1 : 중요 자원을 노린 공격
기후 변화로 인한 중요한 충격 중 하나는 기후 변화가 핵심 자원에 대한 접근성에 영향을 미치기 때문이다. 예를 들어, 가뭄이 지속되면 깨끗한 물에 대한 접근이 제한될 수 있고 폭풍우로 전기 및 가스 배선이 파손되면 에너지 공급이 끊길 가능성이 있다. 중요 자원이 위협을 받으면 중요 자원 자체와 이를 공급하는 시스템은 혼란을 야기하려는 악성 사이버 공격자들에게 매우 매력적인 표적이 된다.

메스다기는 대표적인 예로 캘리포니아의 가뭄을 들었다. “수자원은 매우 제한됨에 따라 보호해야 할 대상이 됐다. 향후 적성국이 캘리포니아를 공격하려면 깨끗한 물을 노리는 것이 효과적 방법일 것이다. 기후 변화로 날씨가 점점 더 극심하고 예측 불가 상태가 된다는 것은 비즈니스의 변화와 과제를 의미한다”라고 그녀는 설명했다.

최근 미 국가 기관들이 발령한 공동 사이버보안 주의보는 산업제어시스템(ICS)과 감시 제어 및 데이터 취득(SCADA) 장치를 공격하기 위해 맞춤 제작 도구를 이용하는 APT 적들의 존재를 경고했다. 주의보는 또 핵심 자원이 제한되는 상황이 되면 국가 주도 공격자나 범죄자들이 그 틈을 노려 랜섬웨어나 DDoS같은 공격에 나설 가능성이 높아진다면서 ICS/SCADA 시스템을 노리는 위협에 맞서 보안을 강화할 것을 권고했다.

이유 2: 정전과 에너지 부족이 사이버보안 자체를 위협
기후 변화와 관련된 보안 우려는 중요 자원 및 시스템을 노리는 공격에 국한되지 않는다. 폭풍우와 가뭄으로 인한 산불로 전기 및 인터넷 연결이 끊길 수 있으며 에너지 부족이 어려움을 가중시킨다. 

노우비포(KnowBe4) CEO 스튜 수워맨은 <CSO>에게 이런 상황이 되면 보안 제공업체들은 평소처럼 서비스를 제공하기 어렵고 그 결과 조직들이 취약해진다고 지적했다. 갑작스러운 상황에도 움직일 수 있는 애자일 영업 방식을 취하는 보안 업체를 이용하는 것이 중요하다고 덧붙였다.

사이버보안 컨설팅 업체 코울파이어(Coalfire) VP 앤드류 바랏은 “기후 문제로 인해 (비즈니스 연속성 대응의 일환으로) 실행되는 위기 대응은 보안 절차를 무시하는 결과를 낳을 가능성도 있다”라고 지적했다.

이유 3: 집단 이주가 비즈니스 위험을 높인다
기온 상승과 같은 기후 관련 요인으로 인해 세계 일부 지역은 거주하기 부적합한 상태로 변하고 있다. 상태가 극단적으로 나빠지면 마을과 도시, 주, 심지어 국경 간에 집단 이주가 발생할 우려가 있다. 

이러한 상황 역시 보안 측면에서는 잠재적인 골칫거리다. 코로나19 팬데믹 기간 중 이미 현실화된 바 있다. 지난 2년 동안 확인된 바와 같이, 많은 사람이 갑자기 근무 장소를 옮겨야 하는 상황이 되면 기존의 업무 패턴이 파괴되고 개인들은 안전성이 떨어지는 연결과 네트워크 장치, 네트워크 접근 지점을 사용하는 등의 위험한 행동을 취하게 된다.

메스다기는 원격/하이브리드 업무 방식이 트렌드로 자리잡았지만 문제를 내포한 업무 양태임을 인정해야 한다며, “사람들이 어디에서 연결하는지 눈으로 보고 확인할 수 있는 민첩하고 신뢰할 수 있는 ID 및 인증 프로세스와 더불어 잠재적인 위험을 제거할 가능한 모든 예방 수단을 갖추는 것이 중요하다”라고 덧붙였다.

이유 4: 재정 및 물류 문제가 부상
DNS필터(DNSFilter) 수석 보안 연구원 피터 로우는 기후 변화로 인해 조직들에게 재정 및 물류 과제도 발생하고 있다고 지적했다. “기후 변화로 에너지 가격이 상승하고 지리적 한계가 강조되면서 자원 수급이 문제시되고 있다. 즉 새로운 물류 및 재정 과제가 등장하기 시작했다. 새로운 사이버보안 기술 및 방어 수단을 신중히 검토하여 결정해야 한다”라고 그는 말했다.

로우는 이 과정에서 업체 조사 과정이 길어지고 소요 비용이 늘어날 수 있다고 덧붙였다. 그는 “데이터센터를 선정하고 직원을 배치할 때 재생 가능 에너지가 어디에서 생산되고 있고 현지 환경에 미치는 영향은 무엇인지 고려해야 한다. 도심부 등 공해가 심한 지역은 피해야 한다”라고 말했다.

기후 변화 해결에 있어 사이버보안의 역할
사이버보안 업체 래피드세븐(Rapid7)은 2020년 사내에 ‘환경지속가능성위원회’를 설립했다. 래피드세븐 선임 VP 겸 최고 과학자 라지 사마니는 <CSO>에게 사이버보안 부문이 더 광범위한 기술 업계의 일부로서 기후 변화를 해결해야 한다고 강조했다. 

그는 “기술 및 사이버보안 업계가 기후 변화를 좌시할 수 있는 시기가 지났다. 기술 업계는 이미 기후 변화에 영향을 미치고 있다. ICT 업계는 전세계 탄소 배출량 중 2% 내지 4%를 차지한다. 탄소 배출량뿐만 아니라 에너지 사용량도 높다. 예를 들어, ICT 부문의 전기 사용량은 7%로 추산되며 암호화폐는 전기 생산 수요 중 0.55%를 차지한다”라고 말했다.

사마니는 기술 수요가 늘고 있는 가운데 대책을 실행하는 것이 업계의 책임이 된다고 덧붙였다. 그는 “기술 부문에는 변화를 주도할 기회가 있다. ‘국제전기통신연합(ITU) 보고서’는 기술이 기후 추적 관찰과 식량 안보 지원, 삼림 파괴 중단에 도움이 될 수 있음을 보여줬다”라고 덧붙였다.

사마니는 사이버보안 부문이 스스로의 변화 주도 능력을 과소평가해서는 안 되며 사이버보안 부문에서 기후 관련 문제 해결을 위해 마련할 수 있는 방안이 있다고 전했다. 그는 “기후 변화에 어떤 영향을 미치는지 비즈니스 리더들이 파악할 수 있도록 주요 온실가스 배출량을 측정해야 한다. 정기적인 온실 가스 배출량 검토를 통해 사이버보안 업계는 탄소 발생이 심한 활동을 줄이고 에너지 효율과 재생가능 에너지 조달을 향상시킬 수 있다”라고 말했다.

사마니는 사무실마다 지속가능한 작업 공간 조성을 위한 목표, 관행, 지표가 있어야 한다고 언급하면서 그 예로 본부와 대형 사무실에서 폐기물 감축을 측정할 폐기물 감사와 매립 쓰레기양을 줄이기 위한 1회용 물품 금지를 들었다.

사이버보안 분야가 변화가 이미 일어나고 있기도 하다. 최근 영국 사이버보안 서비스 회사 브라이드웰(Bridewell)은 탄소 네거티브 상태가 되었다고 발표했다. 영국 사이버보안 조직으로서는 최초로 관련 기준에 따라 탄소 순 배출 제로를 달성한 것이다. 

브라이드웰은 재생가능 에너지로의 변경, 탄소 상쇄 활동, 기후 프로젝트 등을 병행하여 탄소 순 배출 제로 상태에 이르렀다고 밝혔다. ciokr@idg.co.kr
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.