Offcanvas

CIO / CSO / 랜섬웨어 / 보안 / 비즈니스|경제

이제는 비즈니스 의제 · · · CISO가 정립해야 할 ‘사이버 복원력’

2024.05.20 Andrada Fiscutean  |  CSO
랜섬웨어가 사상 최고치를 기록하고 있다. 이제 기업은 사이버 복원력(Cyber resilience)이란 규정 준수를 넘어서는 개념이라는 점을 이해해야 한다. 운영 연속성부터 소프트웨어 공급망 보안까지 비즈니스의 모든 측면을 아우르는 개념이어야 한다.
 
Image Credit : Getty Images Bank

2021년 5월, 미국의 송유관 기업 콜로니얼 파이프라인이 다크사이드 해커 그룹에게 공격을 받았다. 결국 회사의 CEO 조셉 블라운트는 440만 달러의 몸값을 지불하기로 결정했다. 그는 또 조 바이든 대통령에게 매일 브리핑을 해야 했다. 블라운트는 자신의 경력 전체를 가로질러 가장 어려운 결정이었다면서, 국가를 위해서라도 랜섬웨어 지불이 필요하다고 강변했다.

그는 미국 상원 국토안보 및 정부 문제 위원회에서 "우리는 끔찍한 상황에 처해 있었고 어떤 기업도 원하지 않는 어려운 선택을 해야 했다"라고 말했다.

-> 랜섬웨어의 지하 경제 작동법

2023년에 랜섬웨어로 인한 지불액이 11억 달러를 기록했다. 수많은 기업 리더들이 이 어려운 선택에 직면했던 셈이다. 공격이 발생하느냐의 문제가 아니라 언제 발생하느냐의 문제라는 인식도 자리를 잡아갔다. ISTARI와 옥스퍼드 대학교가 발표한 보고서에 따르면, 40억 달러 규모의 한 유럽 기업 CEO는 "이제 공격이 일어날 수 있다는 점을 당연시한다. 정말이지 큰 변화다. 이런 일이 일어날 수 있다고 받아들이는 조직과 이를 막을 수 있다고 생각하는 조직 사이에는 근본적인 접근 방식에 차이가 있다"라고 말했다.

침해의 불가피성을 인정하는 사고방식은 기업이 사이버 회복탄력성을 갖추는 데 도움이 될 수 있다. 여전히 많은 조직은 회복탄력성을 규제 기관을 위한 형식적인 절차로 간주하며, 이로 인해 CISO들은 회복에 필요한 자원을 확보하지 못하고 있다.

사이버 보안 사고를 견디고 복구할 수 있는 능력을 갖추려면 규정 준수를 넘어서는 사고의 전환이 필요하다고 래피드포트의 매흐란 파리마니 CEO는 강조했다. 그는 "중요한 소프트웨어와 데이터를 모두 백업했음을 나타내는 상자에 항상 체크 표시를 해왔을 것이다. 그렇다면 악성 이벤트에 대응하여 신속하게 복구할 수 있는가? 혹시 2주가 걸리지는 않는가? 이러한 모든 시스템을 지속적으로 점검하고 있는가?"라고 반문했다.
.
4월에 발표된 회복탄력성에 관한 바라쿠다 보고서에 따르면, 사이버 위험에 대처하는 자신감을 1점부터 10점까지 평가하라는 질문에 다수의 IT 보안 리더들은 비관적인 반응을 보였다. 그나마 금융 서비스 조직은 55%가 보안 태세가 매우 효과적이라고 평가해 높은 편이었다. 산업 및 제조 부문에 종사하는 기업의 32%만이 낙관적이라고 답했으며, 소매업의 경우 39%에 그쳤다. 일반적으로 소규모 기업일수록 사이버 위협에 대처하는 데 자신감이 떨어졌다.

지정학적 불안정, AI, 부의 불평등이 증가함에 따라 CISO는 최악의 시나리오에 대비하여 사이버 이벤트가 발생했을 때 신속하게 회복할 수 있도록 지원해야 한다.

사이버 회복탄력성의 중요성
사이버 복원력의 개념은 오늘날 전반적인 비즈니스 전략의 중요한 요소로 발전했다. 트러스트웨이브의 코리 다니엘스 CISO는 "이사회가 ‘공식적인 직책의 최고 복원력 책임자를 두는 것이 중요한가라는 질문을 던지기 시작했다”라고 전했다.

콜로니얼 파이프라인 사례와 같은 최근의 주요 사이버 공격에 비추어 볼 때, 전통적인 CIA(기밀성, 무결성, 가용성) 3요소 중 가용성에 대한 강조가 커지고 있다. 운영 중단은 고객 신뢰와 기업에 대한 전반적인 시장 인식에도 영향을 미치기 때문이다.
다니엘스는 사이버 복원력에 대한 '전체적인 접근 방식'을 채택함으로써 직원과 파트너, 이사회에 이르기까지 비즈니스의 모든 측면과 모든 팀을 감안하는 것이 필수적이라고 강조했다.

리소스가 여러 부서에 흩어져 있을 수 있으며, 사이버 복원력 구축을 담당하는 각 그룹은 조직 내 역량을 온전히 파악하지 못할 수 있기 때문이라는 설명이다. 그는 "가령 네트워크 및 보안 운영 부문에는 다른 부서에서 활용할 수 있는 풍부한 인텔리전스가 있다"라고 말했다.

많은 기업이 사이버 회복탄력성을 기업 리스크 관리 프로세스에 통합하고 있다. 이들은 취약성을 식별하고, 위험을 평가하고, 적절한 제어를 구현하기 위한 사전 조치를 취하기 시작했다. 가트너의 안젤라 자오 책임 애널리스트는 "여기에는 노출 평가, 침투 테스트와 같은 정기적인 검증, 위협을 실시간으로 탐지하고 대응하기 위한 지속적인 모니터링이 포함된다”라고 설명했다.

한편 이러한 사전 예방적 조치는 종종 조직의 경계를 넘어 공급업체와 파트너로까지 확장된다고 FS-ISAC의 글로벌 비즈니스 복원력 담당 이사인 카메론 디커는 덧붙였다. 그는 "서비스 제공업체와 소프트웨어 공급망을 심층적으로 분석하여 보안 위험이 어디에 있는지 파악하고 그에 따른 사고 대응 계획을 수립하는 것이다"라고 말했다.

소프트웨어 공급망: 회복탄력성 방정식의 중요한 부분
트러스트웨이브의 다니엘스가 지적했듯이 사이버 회복탄력성에서 소프트웨어 공급망 분석은 포함되어야 한다. 그럼에도 불구하고 이에 대한 논의는 아직 부족하다. 그는 "공급망에 대한 철저한 침투 테스트와 위험 평가를 수행하고, 공급업체에 대한 사이버 보안 요구 사항을 구현하고, 공급망 중단이 운영에 미치는 영향을 완화하기 위한 비상 계획을 수립해야 한다"라고 말했다.

가이드포인트 보안의 비즈니스 연속성 팀장 바비 윌리엄스는 보안 리더의 책임을 언급했다. 보안 리더가 잠재적 공급업체, 특히 회사의 사설 네트워크에 연결할 공급업체를 검토할 때 계약 또는 마스터 서비스 계약(MSA)에 사이버 및 비즈니스 전반의 복원력에 대해 매우 구체적으로 명시되어 있는지 확인해야 한다는 주문이다.

그는 "공급업체가 정의된 비즈니스 연속성, 재해 복구 및 정보 보안 프로그램에 대해 계약상 책임을 지도록 하는 것이다. 공급업체의 복원력을 입증하기 위한 정의된 테스트 프로그램이 계약서에 포함되어야 하며, 회사가 테스트 결과를 검토할 수 있어야 한다"라고 말했다.

아울러 공급업체가 소프트웨어 서비스나 애플리케이션을 제공하는 경우, 계약서에 정의된 복구 시간 목표(RTO)와 정의된 복구 지점 목표(RPO)가 있어야 한다. 윌리엄스는 "공급업체가 테스트를 통해 RTO와 RPO를 입증할 수 있어야 한다. 또한 공급업체는 고객의 데이터를 백업하고 데이터 보존 일정을 제공하는 방법을 계약서에 명시해야 한다"라며, 데이터 미러링이 고객 데이터 백업을 대체하는 것으로 받아들여져서는 안 된다고 덧붙였다.

사이버맥스의 아론 샤하 CISO 또한 "최근 소프트웨어 공급망과 관련한 사이버 공격 사례가 몇 건 있었다. 계속해서 중요한 감독이 필요한 분야다"라고 주의를 촉구했다.
 


복잡성을 더하는 AI
생성형 AI를 활용한 공격 가능성이 부상하면서 조직의 복원력 전략은 더욱 복잡해졌다. 생성형 AI는 숙련도가 낮은 개인에게도 복잡한 사이버 공격을 실행할 수 있는 수단을 제공하기 때문다. 그 결과 공격의 빈도와 심각도가 증가할 수 있다.

애석하게도 생성형 AI 도구는 방어 측면에서는 그다지 효과적이지 않다. 주로 보조적인 역할로 사용된다. 단 좀더 넓은 범위의 AI 기술들이 위협 탐지 및 분석, 이상 징후 탐지, 행동 모니터링, 자동화된 대응 시스템, 위험 관리와 코드 검토에 사용된다. 액센츄어 시큐리티의 발레리 아벤드는 "AI 알고리즘의 경우 방대한 양의 데이터를 신속하게 분석하고, 패턴을 식별하며, 인간 운영자가 알아차리지 못할 수 있는 잠재적 위협이나 취약점을 탐지할 수 있다”라고 말했다. 

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.