Offcanvas

CSO / 보안

칼럼 | 기업 미래 좌우할 5가지 보안 과제

2022.06.13 Thornton A. May  |  CIO
오늘날 모두가 사이버 보안의 책임을 져야 한다. 보안 문제에 다 같이 협력하면 위험을 크게 줄일 수 있다.
 
ⓒGetty Images Bank

정보 보안은 과거에 새로운 고려 사항으로 시작했지만 현재는 비즈니스의 핵심 영역이다. 나아가 미래에는 산업을 규정하는 기준이 될 기준이 될 터다. 이렇게 중요해진 보안을 확보하려면 물론 산업 전체가 공동으로 노력해야 함은 물론 개개인도 행동에 나서야 한다.  

보안의 경제성은 명백하다. "사이버 보안을 확보하지 않고는 재정적 안정성을 담보할 수 없다"라고 미연방은행의 총재이자 CEO인 로레타 메스터가 말했다. 실제로 열악한 사이버 보안 인식은 수많은 문제를 야기했다. 주가와 브랜드 평판의 하락과 시장 점유율 및 매출의 감소로 이어졌다. 심지어 기업이 벌금을 물게 하고, 예기지 않은 법률 비용을 쓰게 하며, 양질의 직원을 고용하는 데 애를 먹게 만들기도 했다. 따라서 미래를 준비하려면 정보 보안을 완벽하게 갖춰야 한다. 

미래의 정보 보안에 대비하는 방법을 정리하자면 다음과 같다. 

1.    직원 개개인의 사이버 보안 책임과 역할을 인식시키기  
2.    정보 과학에 대한 직원의 잘못된 통념을 바로잡기  
3.    바람직한 사이버 보안 습관 실천하기 
4.    소프트웨어 공급망 주시하기 
5.    운영 기술의 기반을 이루는 소프트웨어 컴포넌트의 보안 강화하기 

이제 강 건너 불구경은 그만 
지금까지의 디지털 시대에서 사이버 보안은 그닥 인기 없는 스포츠 종목과 비슷했다. 직원, 고객, 경영진과 이사회는 정보 감시자들(보안 전문가)이 어둠 속에서 악당들과 싸우는 것을 먼발치 관중석에서 구경하기만 했다. 

하지만 이제 정보 보안과 인간과의 거리가 더 가까워저야 한다. 기기를 사용하는 모든 사람은 사이버 보안 관여자다. 사용하는 것 행위 자체가 사이버 보안을 개선하거나 저하시킨다. 따라서 모든 사람이 정보 보안에 관한 역할과 그에 상응하는 책임을 지고 있다는 것을 자각해야 한다. 

필자는 이번 10년의 끝 무렵에는 5세 이상의 모든 개인이 정보 보안에 대한 책임을 지게 되리라고 예상한다. 매 일, 분기, 연도 및 커리어가 끝날 때마다 경영진은 속한 커뮤니티와 직장의 사이버 보안을 얼마나 개선했는지, 혹은 얼마나 저하했는지에 따라 보상이나 처벌을 받게 될 것이다.  

물론 모든 사이버 문제의 책임을 사용자에게 묻고자 하는 의도는 없다. 이는 효과적인 방법도 아니다. 필자는 단지 기업에 속한 모든 개인이 자신의 정보 보안 책임에 대해 확실히 알아야 한다는 점을 강조하고자 한다. 

생각하고, 말하고, 행동하는 인간 
미래학자, 심리학자 혹은 인류학자가 아닐지라도 사람들의 생각, 언어, 그리고 행동에는 큰 간극이 있다는 점을 알 것이다. 필자는 미래에 사이버 보안이 컴퓨터 과학보다는 행동 과학의 영역에 더 가까워지리라 본다. 

정보 보안을 강화하려면 사람들의 행동을 바꿔야 하고, 행동을 바꾸려면 사람들이 정보 보안에 대해 무엇을 알고 어떻게 생각하는지 관리해야 한다. 그러기 위해서는 정보 보안에 대해 사람들이 어떻게 생각하고 있는지 이해해야 한다. 

믿음, 지식 그리고 행동 변화는 서로 긴밀히 연결된 개념이다. 따라서 기업은 우선 모든 직원이 정보 보안에 대해 어떻게 생각하고 있는지 정확하게 평가해야 한다. 정확히 평가하려면 관리자가 직접 발로 뛰어 모든 직원을 일일이 인터뷰하는 수밖에 없다. 미국의 통계학자 네이트 실버는 이러한 노력의 결과를 ‘현장의 울림(vibrations from the ground)’이라고 명명했다.

이렇게 개인별 조사를 실시하면 사람들이 정보 보안에 대해 흔히 가지고 있는 잘못된 통념이 드러날 것이다. 예를 들면 다음과 같은 통념이다. 
 

나는 그리 중요한 사용자가 아니고 아무도 나를 공격하려 하지 않는다.” 
내가 해커를 막고자 해도 어찌할 도리가 없다.” 


항상 사이버 보안 수칙을 실천하라 
이제 우리가 모두 모범적인 사이버 보안 수칙을 알리고 실천할 필요가 있다. 대표적인 모범 관행으로는 어려운 비밀번호 설정하기, 견고한 취약성 패치 프로세스 적용하기, 그리고 때에 맞게 위험 감지하기, 예방 및 복구하기 등이 있다. 악성 프로그램을 방지 및 차단하는 보호 장치 및 견고한 접근 권한 프로토콜을 구축하는 것도 중요하다. 

이러한 보안 행동에 주의를 기울이는 것은 전체적인 보안을 향상하는 데 예상보다 훨씬 더 큰 효과가 있다. 마이크로소프트가 발표한 2021 디지털 보안 방어 보고서(Digital Defense Report)에 따르면 70%가 넘는 데이터 침해 사건이 피싱으로 인해 발생했으며, 전체 사건의 98%는 기본적인 보안 수칙만 지켰어도 예방할 수 있었던 것으로 보고됐다. 

업계의 과제
우리 개개인이 일상에서 바람직한 보안 관행을 실천한다면 흔한 보안 취약점은 쉽게 방지할 수 있다. 이렇게 된다면 해커들의 눈길은 더 큰 규모의 공격 대상으로 옮겨 갈 공산이 크다. 바로 핵심 인프라와 소프트웨어 공급망이다.
  
보안 전문가들은 수년 동안 핵심 인프라 기술 (전력 생산, 제조 공장, 공공 인프라, 엘리베이터, 온도 조절 장치, 조명 및 차량)을 겨냥한 파괴적인 공격에 대해 경고해 왔다. 2021년 5월, 미국에서 가장 큰 정제유 수송 배관인 콜로니얼 파이프라인(Colonial Pipeline)을 마비시킨 대형 랜섬웨어 공격은 많은 이에게 큰 경종을 울렸다. 

2020년 후반에 발생한 또 다른 공격으로 소프트웨어 공급망 보안 문제가 주목받게 됐다. 네트워크 감시 소프트웨어 제공 업체 솔라윈즈(SolarWinds)를 겨냥한 공격은 회사의 오리온 소프트웨어를 사용하는 모든 기관을 위험에 빠트렸다. 이 기관에는 미국 정부도 포함됐다. 

오늘날 소프트웨어 개발은 ‘케이크’를 만드는 것에 비유된다. 많은 경영진이 생각하는 것과 달리 ‘소프트웨어 케이크’의 모든 컴포넌트가 사내에서 만들어지지 않는다. 영리한 해커들은 수천 개의 회사에 설치된 소프트웨어 컴포넌트를 해킹하는 것이 수천 개의 회사를 직접 해킹하는 것보다 훨씬 더 효과적이라는 점을 알아챘다. 

곧 다가올 미래에 정보 보안 영역이 직면할 가장 큰 과제는 널리 사용되는 소프트웨어 컴포넌트의 침해 위험이다. 기업은 회사의 소프트웨어 재료명세서(BOM:Bill of Materials)를 세심하게 검토해야 할 것이다. 

*Thornton A. May는 연사이자 교육가, 컨설턴트로 활약 중인 미래학자다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.