Offcanvas

CIO / CSO / How To / 보안

보안 모의 훈련을 효과적으로··· ‘10가지 팁’

2021.07.05 Josh Fruhlinger, Sarah D. Scalet  |  CSO
모의 훈련(tabletop exercise)이란 비상사태를 상정해 팀원들이 자신의 역할을 통해 대화하며 1개 이상의 예시 시나리오를 검토하는 비공식적인 토론 기반 세션이다. 즉 실제 재난을 시뮬레이션 하는 대신에 기업 내의 그룹이 몇 시간 동안 모여 시뮬레이션 된 위기에 관해 대화한다. 비즈니스 연속성 계획을 검토할 수 있는 좋은 방법인데, 기업 전체 규모의 연습으로 인한 중단이 필요 없다는 점에서 특히 그렇다. 

이 활동은 점차 IT 보안 준비 태세 프로그램의 주요 요소로 자리잡고 있다. 우드러프 소여(Woodruff Sawyer)의 수석 VP 겸 국내 사이버 활동 책임자 댄 버크는 “사이버 보안에 대한 건전한 관점을 가진 기업들이 모의 훈련을 하고 있다. 사고 대응 계획을 설계하면 도움이 되지만 이를 테스트하면 경험에서만 얻을 수 있는 실질적인 인사이트를 얻게 된다”라고 말했다.

모의 훈련에 대한 아이디어가 생소하고 자세한 내용을 알고 싶다면 이 주제에 대한 심층 설명을 참조한다. 이미 기본적인 내용을 알고 있고 자신의 조직에서 모의 훈련을 가장 효과적으로 구현하는 방법에 대해 생각하고 있다면 아래의 팁을 확인한다. 일련의 보안 전문가들이 전해온 조언을 정리했다.
 
Image Credit : Getty Images Bank

효과적인 모의 훈련을 위한 10가지 팁
모의 훈련이 각자의 모의 훈련이 되어야 한다. 포괄적인 유출 시나리오를 다루는 것이 아니라 조직의 특정 상황에 맞춘 것을 다뤄야 한다. 포지티브 테크놀로지스(Positive Technologies)의 정보 보안 분석 책임자 이브지니 녜딘은 “회사에 중요한 이벤트에 기초하여 활동하라. 경영진에게 기업에서 실제로 두려워하는 것과 이를 없앨 수 있는 시나리오가 무엇인지 확인해보라”라고 말했다.

기술적 차원을 넘어서 시나리오를 탐구하라. 모의 훈련은 IT 또는 보안팀이 주도할 수 있지만 회사 전체가 참여해야 한다. 

RSA 넷윗네스(RSA NetWitness)의 현장 CTO 벤 스미스는 “기술적인 개선이 필요한 기술적 공격이 있을 수 있다. 하지만 모의 훈련에는 법률, 규제, 마케팅, 고객 지원, 인사 부서의 대표들도 포함되어야 한다. 회복 중 대중과 대면하는 직원들은 위기 중 브랜드를 가장 효과적으로 대변하기 위해 스크립트로 작성되어 승인된 논제와 잠재적으로 새로운 도구가 있어야 한다”라고 말했다.

경영진을 참여시키라. 모의 훈련에서 조직의 준비 태세에 관해 어떤 결론이 도출되든, 경영진의 지원 없이는 그 어떤 개선사항도 이행할 수 없다. 글로벌 보안 기업 핑커튼(Pinkerton)의 부회장 티모시 윌리엄스는 “위기 관리 훈련과 탁상 시나리오의 가장 중요한 지지층은 임원 또는 위기 중 최종 결정을 내리거나 이를 CEO에게 추천하는 책임자들이다”라고 말했다.

임원들이 항상 직접 참여할 수 있는 것은 아니며, 보고 대상으로 선택되는 경우가 많다. 하지만 직접 참여하도록 하는 것도 좋을 수 있다. 옵티브(Optiv)의 엔지니어링 직원 커티스 페크너는 “때로는 긴 활동에 임원을 참여시키기 어렵다. 하지만 실제 사고 중에는 참여 여부를 선택할 수 있는 것이 아니라고 상기시킬 수 있다”라고 말했다.

조력자가 열쇠다. 코얼파이어(Coalfire)의 부사장 존 딕슨은 “최고의 조력자를 확보하는 것이 성패를 좌우한다. 모의 훈련 대화에 참여하고 참가자들을 편안하게 해주는 사람이 가장 좋다. 그들은 기조연설자보다는 말을 잘 하는 쇼호스트 같은 느낌이다. 그들이 중심이 되는 능력이 중요하며, 참여자가 논점을 이야기할 때 효과적인 조력자는 그 논점을 강화하는 관련된 투쟁담이나 예를 인용할 수 있어야 한다”라고 말했다.

기술이 아니라 사람을 테스트하는 것이다. 모의 훈련의 참여자 중 일부는 시나리오에서 매일 사용하는 기술을 다루지 않는다고 불평할 수 있지만 그것은 핵심을 잘못 이해한 것이라고 쥬피터원(JupiterOne)의 CISO 선일 유가 강조했다. 

그는 “모의 훈련의 주된 이점은 사람들이 예상치 못한 상황에서 성과를 내도록 하는 것이다”라고 설명했다. 실제로 많은 재난 시나리오에서 직원들이 의지해야 하는 기술이 제공되지 않을 수 있다. 즉 팀원들은 대응 및 복구 상황에서 기술에 과도하게 의존하는 것을 피하는 방법을 배워야 한다.

업계의 활성 위협 인텔리전스를 기반으로 시나리오를 구축하라. 최근 화제가 된 기사에서 모의 훈련을 가져오고 싶은 유혹이 있을 수 있지만 정말로 현실적인 시나리오를 만들기 위해서는 더 심층적으로 분석해야 한다. 옵티브의 페크너는 “랜섬웨어 같은 위협과 관련해 많은 기업들이 공격에 관한 정보를 공유하고 있다. 미디어의 기사를 사용하는 것이 좋지만 정부기관과 민간부문 보안 기업들이 작성한 실제 위협 정보 보고서에 집중해야 한다”라고 말했다.

참여자들은 캐릭터에 몰입해야 한다. 모의 훈련은 던전 앤 드래곤(Dungeons and Dragons) 같은 롤 플레이 게임의 사촌격이다. 이런 게임에서와 마찬가지로 참여자는 고려 중인 가상의 시나리오에서 자신의 역할에 몰입해야 하며, 게임에서와 마찬가지로 역할이 플레이어의 일상과 다를 수 있다. 

독립적인 보안 및 프라이버시 준법감시 평가기업 셸먼 & 컴퍼니(Schellman & Company)의 CISO 제이콥 안사리는 “모두에게 역할을 부여해야 한다. 모두가 각자의 역할을 얻도록 함으로써, 또는 역할을 뒤섞음으로써 새로운 관점을 확보하고 계획의 공백을 발견할 수 있다”라고 말했다.

규모를 과도하게 키우지 말라. 프로액티브 서비스(Proactive Services)의 수석 상무이사 네이트 드라이어와 이사 롭 렐레우스키는 활동의 참여자 수를 20명 미만으로 유지하라고 제안했다. 이보다 큰 그룹은 “무관심과 이탈 확률이 높아진다”라는 설명이다.

연습에 적절한 시간을 투입하라. 당연해 보이지만 모의 훈련을 점심을 먹으면서 간단하게 수행할 수는 없다. 옵티브의 페크너는 “1시간 동안 서둘러 진행하면 자세하게 논의할 시간이 거의 없게 된다. 다양한 방해요소를 고려하여, 실제 토론 시간은 약 20분 정도로 생각한다. 대부분의 사람들에게 3~4시간 정도의 활동이 적절하다”라고 말했다.

실험하고 실패할 수 있는 공간을 구축하라. 모의 훈련이 장기적으로 전반적인 보안 개선에 중요하지만 플레이어 모두가 시나리오에서 ‘승리’해야 한다는 압박을 느낄 필요가 없다. 프로액티브의 드라이어와 렐레우스키는 “활동의 목적이 개선임을 참여자들이 이해하는 것이 중요하다. 공백이 있을 수 있다. 모의 훈련은 팀이 총체적으로 전체적인 강점과 약점을 논의할 수 있는 책임 없는 포럼을 제공한다”라고 말했다.

셸먼의 안사리는 직원들이 상사 앞에서 ‘시연’하는 경우가 많기 때문에 압박을 느낄 수 있다고 설명했다. 그는 “이에 따라 사람들이 이 상황에서 자유롭게 활동할 수 있도록 명확한 기본 규칙을 수립해야 한다. 어쨌든 가상의 시나리오이며 계획 자체, 교육, 조정, 기타 중요한 측면의 약점을 발견하기 위해 고안된 것이기 때문”이라고 말했다.
 
ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.