최소한의 보안 수단이 있는가?··· ‘사이버 보안 빈곤선’ 따라잡기

기업이 수용하는 사이버 보안의 기준 벤치마크로 ‘보인 빈곤선’(security poverty line)이라는 개념이 활용되고 있다. 이 기준선을 결정하는 요소와 보안 빈곤선 하단에 존재하는 이들을 위한 조언을 살펴본다.

보안 빈곤선은 성숙한 보안 태세를 위한 수단 및 리소스를 보유한 조직과 그렇지 못한 조직 사이의 구분을 정의한다. 2011년 사이버 보안 전문가 웬디 네이더가 처음 제시한 이 개념은 오늘날에도 여전히 유효하게 수용된다. 회사 규모, 업종, 가처분 수익 등의 요소와 관련된 사이버 보안 기준점이기도 하지만, 보안 문제를 인식하기 해결하는데 필요한 노하우 등과도 관련성을 가지는 개념이다.

옴디아의 수석 애널리스트 페르난도 몬테네그로는 보안 기준선 개념의 유효성을 지지하는 입장이다. 그는 “사이버 보안 빈곤선을 현실 확인용 메커니즘으로 간주한다. 이는 공공 정책에서 계약 조건, 고용 등에 이르기까지 모든 것에 중대한 영향을 미칠 수 있다”라고 말했다. 
 

사이버 보안 빈곤선, ‘최저 수준’의 보안
사이잭스(Cyjax)의 CSIO인 손튼 트럼프는 사이버 보안 빈곤선(cybersecurity poverty line)을 ‘우리는 아무것도 없기 때문에 아무것도 할 수 없다’는 태도를 나타내는 지점으로 보고 있다. 구식 기술 부채, 인게이지먼트 부족 혹은 비즈니스 전략에 대한 이해 부족, 그리고 다른 부서의 적대감이 보안 팀의 개선 욕구마저도 불식시키는 지점이라고 그는 CSO닷컴에게 설명했다. 

그는 “보안 팀에 사기가 존재하지 않으며 업데이트되는 유일한 것은 링크드인 프로필뿐이다. 이게 바로 빈곤선 이하에 있음을 나타내는 징후다. 감정적인 상태에 가까운 설명이기는 하지만 일반적으로 사이버 보안 프로그램의 최저 수준이라고 본다. 사이버보안 리더십이 비참하게 실패한 상황이다”라고 설명했다. 

보안 컨설턴트인 제임스 보어는 사이버 보안 빈곤선을 단순히 조직이 ‘필수’ 보안 제어를 구입 및 사용할 수 없는 것으로 정의하는 것을 피하려는 입장이다. ‘필수’는 조직마다 크게 다르기 때문이라고 그는 CSO닷컴에게 언급했다. 보어는 “개인적으로 사이버보안 빈곤선을 조직의 전문 역량의 시각에서 정의하는 것을 훨씬 선호한다. 사내의 혹은 사용할 수 있는 적절한 수준의 전문성이 있다면 일반적으로 자신의 니즈에 맞는 적절한 보안을 구축할 수 있는 방법을 찾을 수 있기 때문이다”라고 이야기했다.  

사이버 보안 컨설팅 및 투자 수단 ISTARI의 글로벌 책임자인 윌 딕슨에게는 또 다르다. 그에게 사이버 보안 빈곤선이란 조직을 지원하고 해당 조직 및 해당 조직과 상호 작용하는 이들이 피해를 입지 않도록 하기 위해 정부 및 기타 기관이 개입할 수 있는 공공 안전 트리거 포인트(trigger point)를 의미한다. 

포츠머스 대학 사이버 범죄 인식 클리닉(Cybercrime Awareness Clinic)의 바실레이오스 카라기안노풀로스 박사는 보안 빈곤선 아래로 내려갈 때의 악순환에 대해 언급했다. 그는 “사이버 보안 빈곤이 사이버 보안에 투자될 수 있는 리소스의 광범위한 상실로 이어져 조직은 사이버 보안 선 아래로 내려가게 된다. 그 결과 침해의 증가로 이어지는 악순환이 나타난다. 사이버 보안 빈곤의 심화는 다른 기업과 소비자 및 내부 사용자에게도 영향을 미칠 중대하고 더 광범위한 침해를 초래하게 된다”라고 말했다. 

2023년의 사이버 보안 빈곤선
세계가 코로나 바이러스 팬데믹에서 점차 벗어나 도전적인 하이브리드 환경에서 일하기 시작함에 따라 사이버 보안 빈곤선 개념이 작년 즈음 더욱 중요해졌다. 새로운 업무 환경은 조직 및 직원에게 더욱 새롭고 광범위한 사이버 보안 문제를 제기하고 있다고 키라기안노플로스는 CSO닷컴에게 설명했다. 

그는 “동시에 우크라이나 전쟁은 분쟁 중인 국가들과 그 동맹국들, 핵티비스트(hacktivist) 집단, 민족주의적 해커 집단에서 비롯된 새로운 사이버 보안 위협과 관련해 훨씬 더 많은 우려를 불러일으켰다”라고 지적했다. 이러한 상황은 에너지 위기 및 공급망 문제와 함께 사이버 보안 문제를 심화시키고 있다. 심지어 무료 지원 지침 및 도구를 제공하고자 하는 정부 및 기업의 노력에도 불구하고 빈곤선 아래에 있는 이들이 상황을 개선시킬 수 있는 역량에 대한 우려를 증폭시키고 있다고 그는 덧붙였다. 

래디언트 로직(Radiant Logic)의 CSIO인 차드 맥도날드도 이에 공감했다. 그는 “경기 침체 위기에 직면하게 됨에 따라 사이버 보안 빈곤선 하단에 존재하는 기업들이 2023년 더욱 확대될 것이다. 과거 세대가 경험한 적이 없는 다소 이례적인 시기다”라고 설명했다. 

그는 또 향후 사이버 보안 빈곤선이 지속적인 디지털 전환, 클라우드로의 지속적인 마이그레이션, 제로 트러스트(zero trust)로의 움직임이라는 세 가지 주요 축을 따라 정의될 것이라고 예측했다. 그는 “보안 팀의 성공 여부는 이러한 각 프로젝트에 대한 전진적 움직임과 이러한 환경이 적절히 보호되는지 여부에 따라 정의될 것이다”라고 덧붙였다. 

사이버 보안 빈곤선 아래에는 누가 있을까?
모든 유형의 기업 및 업종은 다양한 이유로 사이버 보안 빈곤선 아래로 떨어질 수 있다. 그러나 일반적으로 의료, 스타트업, 중소기업, 교육, 지방 정부, 산업기업 모두 사이버 보안 빈곤으로 큰 어려움을 겪는다고 DNS필터(DNSFilter)의 수석 위협 연구원인 알렉스 애플케이트는 지적했다. 

그는 “일반적으로 이들의 예산은 매우 제한적이다”라고 설명했다. 또 문제를 심화시키는 요인으로는 의료 분야의 광범위하고 번거로우며 구식인 의료 네트워크, 소규모 IT 부서와 소규모 기업 및 스타트업의 미숙한 IT 프로세스, 교육 기관의 방대한 네트워크 요구사항, 지방 정부의 법적 의무 및 예산사용 제한, 산업 비즈니스에서의 특정 기능 및 구성을 중심으로 구축된 맞춤형 소프트웨어 등이 포함된다고 그는 덧붙였다. 국가 핵심 인프라(Critical National Infrastructure(CNI) 기업 및 자선단체도 비슷한 이유로 사이버 보안 빈곤선 아래에 놓이게 된다. 

포츠머스 대학의 사이버 범죄 인식 클리닉이 영국 국가사이버안전센터(UK National Cyber Security Centre(NCSC)와 협력해 내놓은 연구에 따르면, 대부분의 소규모 기업은 사이버 보안을 부차적인 문제로 간주하고 있다. 이는 초소규모 회사 상당수가 빈곤선 아래에 있다는 증거라고 카라기안노플로스는 설명했다. 

그는 “제대로 대비하기에는 비용이 너무 많이 들거나 너무 높은 수준 혹은 기술적이어서 이들에게는 중요도가 떨어진다. 특히 전통적으로 애초에 기술로 운영되지 않았던 기업에 대해 이야기할 때는 더욱 그렇다”라고 이야기했다.  

그러나 대부분의 소규모 기업들이 빈곤선 이하에 있다고 간주될 수 있기는 할지라도 이들의 사업 특성은 훨씬 더 적은 리스크를 안고 있다는 것을 의미할 수 있다. 보어는 기업 규모가 꽤 흥미로운 요소라고 지적했다. 그는 “규모가 더 작은 조직일수록 공격 받을 가능성이 줄어들기 때문에 이들은 고가의 솔루션에 돈을 쏟아 붓는 대신 방지를 위한 기본적인 보안 위생에 더 의존할 수 있다”라고 주장했다.  

보어는 이어 벤더의 요청에 따라 막대한 돈을 솔루션에 투자했음에도 불구하고 빈곤선 아래에 존재하는 기업들도 있다고 지적했다. 그는 “일반적으로 이들은 보안에 대한 이해가 부족하다. 또한 시간을 들여 자신의 조직 전반의 문제를 처리하고, 효과적으로 도전 과제를 이해하며, 외부의 모범 사례에 기반해 의사결정을 하는 것이 아니라 문제에 대한 사전 패키징 된 솔루션을 구입하는 데 과도하게 의존하고 있다”라고 덧붙였다. 보어는 보안을 이해하지 못해 모든 고객을 위협에 노출시키는 MSP 및 공급업체들이 특히 위험한 존재들이라고 말했다.

몬테네그로에 따르면 이와 관련해 한 가지 중요한 시각이 있다. 경제적 빈곤선에 대한 논의에서 지역적 차이를 인정하는 것과 같이 사이버 보안에서 유사한 개념을 적용해야 한다는 것이다. 그는 “그렇다. 인터넷은 훌륭한 평등자(equalizer)이지만 모두로부터 하나의 빈곤선을 도출하기에는 충분하지 않다. ‘기본적인 필수품(necessities of life)’ (빈곤선 관련 논의에 사용되는 용어)은 사전 구성된 쇼핑 카트 제공업체를 통해 온라인 주문을 받는 작은 빵집에서 전 세계에서 비즈니스를 하는 포춘 10대 기업까지 크게 변화한다”라고 언급했다. 

시간 요인 또한 기업을 사이버 보안 빈곤선 아래로 이끄는 데 영향을 미칠 수 있으며, 코로나바이러스 팬데믹으로 인한 업무의 하이브리드화가 대표적인 예라고 카라기안노플로스는 설명했다. 

그는 “이러한 하이브리드화로 인해 조직은 봉쇄와 하이브리드 근무 환경에 대한 직원의 요구에 적응하고 이를 극복하기 위해 새로운 기술 도구 및 프로세스를 마련해야 했다”라고 말했다. 그러나 이러한 변화는 많은 조직에서 거의 하룻밤 사이에 일어났다. 또한 사이버 보안 니즈가 증가함에 따라 사이버 보안 빈곤선 아래로 더 떨어지는 결과를 낳았지만 적절한 리소스 혹은 지식 수준은 없었다. 

그는 “많은 경우, 침해가 발생했을 때 사이버 보안이 비즈니스 유효성(business viability)에 영향을 미칠 수 있다는 점을 인식하고 있지만, 기존의 비즈니스 부문 및 소규모 기업과 조직은 가능한 한 신속히 시작하고 실행하는 데 더 집중했으며, 보안은 많은 경우 부차적인 관심사였다”라고 덧붙였다. 

사이버 보안 빈곤선 아래로 하락할 때의 위험
사이버 보안 빈곤선 아래로 떨어지는 것과 관련된 리스크는 여러 가지이며, 일부는 다른 리스크보다 더 분명하다. 몬테네그로는 “이는 강탈(랜섬웨어)이나 사기(비즈니스 이메일 침해)의 희생양이 되는 것부터 조직의 진정한 니즈와 관련해 궁극적으로 비효율적인 방식으로 ‘보안 작업’을 위해 귀중한 리소스를 소비하는 것에 이르기까지 모든 것이 될 수 있다”라고 말했다. 

컨설팅 기업 애플게이트 시큐리티의 애플게이트 디렉터는 “가장 명백한 리스크 공격 받을 가능성이다. 많은 산업 및 기업들은 자신이 가지고 있는 가치가 무엇인지 이해하지 못하기 때문에 공격의 위협을 깊이 과소평가하고 있다. 그러므로 이들은 애초에 공격을 받을 것이라고 생각하지 않는다”라고 설명했다. 소규모 기업인 경우가 많은 서드파티 계약업체는 고객 때문에 공격 대상이 되기도 하고, 이들의 취약한 보안 태세는 악용당하기 쉬우며 더 크고 안전한 네트워크로 이동하기 위한 지렛대로 활용되기도 쉽다고 그는 덧붙였다. 

그는 “게다가 경보 피로(alert fatigue)는 엄청난 문제다. 새로운 공격, 취약성 및 위협이 끊임없이 증가하고 있다. 이로 인해 사이버 보안 노력은 성과가 없다는 느낌을 주어 번아웃으로 이어질 수 있다. 이러한 리스크는 모든 산업에 적용되나, 사이버 보안 빈곤선 아래에 있는 기업은 이러한 위험에 더욱 취약하다”라고 지적했다. 

빈곤선 아래로의 하락의 즉각적 원인은 비용 절감일 수도 있으나, 이로 인해 상황이 악화될 수 있다고 맥도날드는 설명했다. 그는 “조직들이 비용 절감을 위해 네트워크 내의 과도하게 프로비저닝된 구식 계정 및 애플리케이션 수를 늘린다. 일반적으로 이러한 계정 및 애플리케이션은 보안 팀에 의해 모니터링되지 않고 방치되며, 궁극적으로 위협 행위자가 악용할 수 있는 틈을 제공해 비즈니스의 공격 표면을 확장한다”라고 언급했다. 

이러한 기술 부채는 아마도 사이버 보안 빈곤선 아래에 존재하는 것에 관한 한 가장 큰 문제일 것이라고 애플게이트는 설명했다. 그는 “이러한 결정의 대부분은 관련 비용 때문에 내려지지만, 문제가 해결되지 않는 시간이 길어질수록 문제를 해결하는 데 더 많은 비용이 들 것이다. 사이버 공격 피해자들은 거의 항상 금전적 측면 및 평판 측면 모두에서 비용을 과소평가한다. 이들은 종종 애초에 투자하지 않은 것을 후회한다. 너무 자주 이들은 적절한 사이버 보안 조치를 조기에 시행하기 위한 투자의 가치를 사후에 깨닫는다”라고 지적했다. 

방지와 사고 대응 및 복구를 위한 프로세스가 없는 기업의 경우, 사이버 공격으로 인해 파산하거나 기능 및 시장 평판이 심각한 타격을 입을 수 있어 결국 성공 또는 생존 가능성에 영향을 미칠 수 있다고 카라기안노플로스는 언급했다. 

또 다른 문제는 기타 리스크 완화 조치, 특히 사이버 보험에 미치는 영향이라고 딕슨은 설명했다. 그는 “특히 사이버 보험 시장이 랜섬웨어 지불로 인해 부담이 가중되고 있기 때문에 보험사들은 조직이 특정 기준을 충족할 것을 요구한다. 많은 무보험자들이 사회에 있듯이 사이버 보험에 가입하지 않거나 못하는 경우, 조직은 더욱 불리한 입장에 있게 된다”라고 지적했다.  

빈곤선 위 혹은 아래에 있다고 판단되는 것에 대한 안일함과 관련하여 고려해야 할 리스크가 있다고 카라지안노플로스는 지적했다. 그는 “사이버 보안이란 절대적인 가치가 아니다. 빈곤선 위에 있는 이들이 침해에 직면할 리스크가 없다고 생각하며 안일한 태도를 갖는 상황으로 이어져서는 안 된다”라고 이야기했다. 

사이버 보안 빈곤선 이하에서 생존하기 
개념적인 사이버 보안 빈곤선 이하에서의 생존은 힘들 수 있으나, 어려움을 겪고 있는 기업들도 버티기 위해 실행할 수 있는 것들이 있다. 

몬테네그로는 “최고 수준의 조언은 무엇보다도 빈곤선이 조직에 어떤 영향을 미치는지 파악할 수 있도록 준비하는 것이다. 그 다음 두 가지 병행 작업을 수행하도록 한다. 더 저렴하거나 이미 만들어진 리소스(NIST 및 CSIA는 중소기업을 위한 지침 및 프로그램을 제공하는 데 탁월하다)를 활용하기 위해 어떤 기존 프로그램 혹은 노력에 의지할 수 있을지를 생각하자. 그리고 빈곤선 아래에 있게 된 원인을 이해하자. 고위 경영진 지원 부족 때문인가? 아니면 지식의 부족 때문인가? 혹은 다른 원인이 있는가? 그 다음 이를 해결하기 위해 노력하자”라고 이야기했다. 

조직이 이용할 수 있는 무료 리소스를 식별 및 탐구하는 것은 대부분의 경우 타당한 조언이라고 카라기안노플로스는 설명했다. 그는 “NCSC나 심지어 대형 사이버 보안 회사들이 제공하는 무료 리소스는 사이버 보안 빈곤선을 넘어서기 위한 매우 긍정적인 단계가 될 수 있다”라고 강조했다. 

그는 이어 보안을 장애물이 아닌 비즈니스 지원자로 포지셔닝 하는 것도 상당히 중요하며, 이는 도구 및 프로세스를 찾고 구현하는 데는 헌신적인 시간 및 노력이 필요하기 때문이라고 덧붙였다. 그는 “이는 문화 전환의 일부이며, 각 조직에 맞는 이러한 문제 처리를 위한 몇 가지 기본 정책 및 프로세스를 만드는 것과 유관하다”라고 말했다. 

사이잭스의 소톤 트럼프는 자신의 경우 조직의 외부 공격 표면을 차단하는 데 중점을 두는 경향이 있으며, NCSC 조기 경보 서비스(NCSC Early Warning Service)를 통해 블랙리스트를 모니터링하고, 새로운 열린 포트를 경고하며, 외부 자산 전반에 걸쳐 취약성 스캐닝(vulnerability scans)을 수행하는 데 풍부한 무료 서비스를 사용한다고 언급한다. 

또한 그는 경영진에게 보안 문제, 해결책, 아이디어를 설명하기 위해 이야기를 하고 그림을 그리는 데 익숙한 사람을 영입하고 승진시킨다고 전했다. 그는 “팀이 비즈니스에 관여하도록 하고 집에 있거나 업무 중 혹은 이동 중인 직원에게 지원 및 조언을 제공하도록 독려하는 데 집중하는 한편 조언 및 상담을 위한 동료 네트워크를 구축하고 조직의 중요 자산을 보호하는 데 도움이 될 수 있는 무료 혹은 저비용 솔루션을 모색하자”라고 덧붙였다. 

사이버 보안에 대한 리스크 기반 접근 방식은 빈곤선 이하의 조직에 더 큰 중요성을 갖는다. 그는 “가장 중요한 시스템이 무엇인지, 가장 귀중한 데이터가 어디에 있는지, 최고의 가치를 지닌 자산이 무엇인지 묻고 보안이 우선순위가 되도록 확인해야 한다. 여기서부터 외부로 작업하여 보안 및 보호 수준을 평가해 필요한 투자를 평가할 수 있다. 모든 특정 사이버 보안 위협에 대응하는 것은 시간 및 비용 낭비다. 리스크 기반 접근 방식을 취하는 것이 사이버 보안 빈곤에서 벗어나는 올바른 방법이다”라고 덧붙였다. ciokr@idg.co.kr