Offcanvas

CIO / CSO / 보안 / 비즈니스|경제

고위직을 위한 디지털 경호 서비스··· ‘디지털 임원 보호’ 따라잡기

2024.06.28 Deb Radcliff  |  CSO
회장, CEO를 비롯한 최고 경영진은 사이버 범죄자들에게 매력적인 표적이다. 디지털 임원 보호는 악의적인 공격자로부터 이들을 보호하기 위한 디지털 경호 서비스라고 할 수 있다.

악의적인 조직과 개인이 기업 임원, 정부 지도자, 기타 공인 및 그 가족을 표적으로 삼아 조직에 침투하는 경우가 점점 더 증가하고 있다. 2023년에 553명의 IT 전문가를 대상으로 실시한 포네몬 설문조사 결과, 응답자의 42%가 회사 임원이나 가족이 사이버 공격을 당했다고 답했다. 이러한 공격으로 인해 지적 재산 손실(78%), 고객 및 비즈니스 파트너 손실(66%), 고객 또는 직원 데이터 손실(27%)이 발생했다.

주요 인물에게 디지털 보호를 제공한다는 개념은 예전부터 있었다. 그러나 이 서비스에 대한 수요가 증가하고 라이언피시 테크 어드바이저의 브래드 라포트 고문은 밝혔다. 그는 2019년 가트너 애널리스트로 근무하던 때 디지털 임원 보호 연구 범주를 신설했던 바 있다. 

사실 라포트는 2010년에 이미 전 세계 대사관과 핫스팟을 오가는 고위급 군인, 특수 요원, 외교 요원에게 디지털 보호 서비스를 제공했었다. 이후 민간 부문에서 신원 도용 모니터링 서비스를 뛰어넘는 VIP 수준의 디지털 보호 서비스 개념을 제시했다.
 
Image Credit : Getty Images Bank

디지털 임원 보호란?
라포트는 디지털 임원 보호에 대해 다음과 같이 설명했다. 

"고가치 표적을 식별하고 보호하기 위해 위협 인텔리전스에 대한 사설 탐정 유형의 접근 방식을 도입한 신원 보호라고 생각하면 된다. 여기에는 홈 네트워크, 개인 디바이스, 온라인 계정에서 위험 노출을 식별하여 위협의 징후를 파악하는 것이 포함된다.”

"엘론 머스크 같은 사람이 대통령 선거에 출마하겠다고 트윗하거나 엑손모빌의 사장이 석유 사업에서 손을 뗀다고 발표하면 어떤 반응이 나올지 상상해보라. 마찬가지로 대중의 식품 소비에 큰 영향을 미치는 몬산토 같은 회사의 경영진으로 인한 파장을 생각해볼 수도 있다.”

기업이 디지털 임원 보호 서비스를 구매하는 창구는 보통 CISO나 CSO 부문이다. 그러나 경영진이 직접 서비스를 구입한 후 CSO를 참여시키는 경우도 드물지 않다. 2018년 설립된 경영진 보호 서비스 기업 블랙클록(BlackCloak)의 CEO 크리스 피어슨은 자신이 스코틀랜드 왕립 은행(RBS)의 최고 개인정보 보호 책임자(CPO)로 재직하던 시절 경험한 사례를 공유했다.

당시 RBS CEO였던 프레드 굿윈이 잘못된 거버넌스로 인해 사임한 후 결국 기사 작위를 잃었다. 피어슨은 "뭔가 조치를 취해야 할 공격 표면이라는 사실이 확인됐다. 그 후 CISO를 새로 맡자 여러 조직의 경영진, 이사회 구성원, 심지어는 벤처캐피털로부터도 개인 사이버 보안과 관련하여 도움을 요청 받았다”라고 말했다.

문제는 경영진의 개인 정보 보호 대응 지원까지 제공하는 24시간 연중무휴 모니터링 기능이 없다는 점이었다. 그렇다고 이러한 위험이 기업에 평판에 손상을 입히거나, 지적 재산이 유출되거나, 기업 문서가 개인 이메일로 전달되지 않도록 방치할 수도 없는 상황이었다. “누가 어떻게 이러한 위험을 완화할 수 있을까?”라고 스스로에게 자문했다고 전했다.

디지털 임원 보호의 작동 방식
블랙클록을 설립한 이후 피어슨은 수많은 임원에 대해 디지털 임원 보호 서비스를 제공했다. 그는 몇몇 동작 방식과 사례에 대해 공유했다. 먼저 한 보호 대상 임원이 중동의 한 공항의 개인 방에서 검사를 위해 개인 휴대폰을 맡기라는 명령을 받았던 사례가 있었다. 해당 임원이 15분 동안 휴대폰과 분리되어 있었기 때문에 블랙클록은 고객의 휴대폰을 교체한다는 결정을 내렸다.

또 다른 사례는 조직 내부로부터의 공격이었다. 한 소매업체의 IT 담당자가 임원의 홈 네트워크와 가족용 디바이스를 설정했다. 그 직원은 설정 작업에 그치지 않고 데이터를 빼내어 CEO를 협박하는 데 사용했으며, 가족의 여러 무선 장치도 장악하기에 이르렀다.

포춘 500대 기업에 속한 한 소매업체의 사례도 있다. 경영진 전체가 실업 수표와 저금리 대출을 받는 사태가 발생했다. 범죄자들은 데이터 브로커, 소셜 미디어 게시물, 다크 웹을 통해 사기를 수행하는 데 필요한 모든 데이터를 확보함에 따라 발생한 사고였다.

이 밖에도 범죄자들이 한 은행 CEO의 자택에 부적절하게 설치된 보안 시스템을 파악하여 CEO 자택의 비디오 피드와 알람이 공개 사이트에 노출된 사례도 있었다. 

이 모든 경우에 블랙클록의 컨시어지 팀은 고객 기업 CISO의 지원 하에 경영진의 기업 위험 관리 및 대응 팀과 협력하여 문제를 해결하도록 도왔다. 이 과정에서 블랙클록 플랫폼은 컨시어지 팀과 임원의 조직이 임원의 개인 데이터에 접근하지 못하도록 차단한다. 임원의 프라이버시를 보장하기 위해서다. 실제로 일부 임원이 디지털 임원 보호 서비스를 선택하지 않는 주요 이유 중 하나가 개인 정보 보호 누출 가능성이라고 피어슨은 설명했다.

경영진에 대한 공격 표면 줄이기
풀서비스, VIP 수준의 보호 서비스 대상은 제한적이라고 워싱턴 DC에 본사를 둔 사이버 보안 컨설팅 서비스 업체인 내셔널 시큐리티 코퍼레이션의 대표이자 CISO 트레이크래프트의 주관자인 G. 마크 하디는 말했다.  

"악의적인 공격자들이 노리는 고가치 표적이 서비스 대상이다. 이러한 보호 서비스의 비용을 감당할 수 있는 이들이다"라고 그는 말했다.

블랙클록은 이들 고객에게 디지털 개인정보 보호, 개인 디바이스 보호, 홈 네트워크 보안부터 사고 대응, 개인 SOC, '화이트 글러브' 고객 서비스 등을 제공한다. 전체 컨시어지 서비스 비용은 임원 1인당 연간 1만 달러에 이른다. 임원의 가족도 보호 대상이다.

비용이 부담스러운 이들에게는 최소한의 위협 인텔리전스와 스캐닝 및 스크래핑 도구로 외부 공격 표면을 축소할 수 있는 서비스를 제공하기도 한다. 라포트에 따르면 많은 위협 인텔리전스, 노출 관리, 공격 표면 관리 공급업체가 고액 연봉 경영진을 보호하기 위해 맞춤형 서비스를 제공하고 있다. 단 홈 네트워크 및 디바이스 모니터링이나 인적 지원은 대부분 포함되지 않는다.

기업 보호 서비스를 제공하는 다른 업체인 제로폭스는 월 300달러부터 시작해 최대 5명의 임원을 보호하는 서비스를 제공한다. 임원의 가족까지 보호하기를 원하는 경우에는 월 500달러의 맞춤형 임원 보호 서비스를 제공한다. 현재 4만 명 이상의 임원을 보호하는 이 서비스는 민감한 데이터를 제거하고 가능한 경우 위협 행위자를 차단한다. 하지만 경영진의 홈 네트워크와 개인 디바이스는 모니터링하지 않는다.

런던에 본사를 둔 135억 달러 규모의 글로벌 비즈니스 전문 서비스 회사 에이온(Aon)도 기업 고객에게 디지털 임원 보호 서비스를 제공하고 있다. 이는 전문 IT 서비스 회사인 스트로지 프라이드버그(Stroz Friedberg)를 인수하면서 가능했다고 AON 사이버 솔루션 그룹의 위협 인텔리전스 디렉터인 아론 쿸스트라는 말했다. 

이 회사의 임원 보호 서비스 기본 요소는 3가지다. 오픈소스 및 소셜 미디어 플랫폼 전반의 취약성 평가를 통해 경영진의 가상 발자국을 측정하고, 위협에 대해 딥 웹 및 다크 웹을 스캐닝하며, 90개 이상의 개인 데이터 애그리게이터 사이트에서 개인 데이터를 제거하는 것이다. 

경영진 보호가 곧 비즈니스 보호
글로벌 지주 및 마케팅 회사 인터퍼블릭 그룹(Interpublic Group)의 글로벌 CISO인 트로이 윌킨슨에 따르면, 웹에서 개인 정보를 찾아 삭제하는 서비스가 특히 유용하다. "개인 주소와 전화번호가 공개되지 않기를 원하겠지만 실제로는 공개된 경욱 태반이었다. 알려진 100대 데이터 애그리게이터 사이트를 확인하고 가능한 경우 삭제하는 서비스가 인상적이었다”라고 그는 말했다.

그의 팀은 최근 데이터마이너(Datamin)의 위험 발견 플랫폼을 검토했다. 윌킨슨은 데이터마이너가 여행 중인 지역의 물리적 보안 위험(시위 및 폭동 등)과 '사이버 위험'(소셜 미디어 상의 위협 등)을 모니터링하여 출장 중인 경영진을 보호하는 기능을 호평했다. 그는 "이제 경영진 대부분이 위험이 물리적 위험에만 국한되지 않으며 디지털 위험도 보호해야 한다는 것을 이해하고 있다"라고 덧붙였다. 

중요한 것은 기업에게 가치가 높은 대상과 그 대상에 대한 잠재적 위협을 식별하는 것이라고 전문가들은 입을 모은다. 그런 다음 그 가치와 침해 시 피해 가능성에 따라 관련 안전 조치를 조사하고 적용해야 한다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.