Offcanvas

CSO / 리더십|조직관리 / 비즈니스|경제

블로그 | 제로트러스트 '침해 가정'의 난제

2024.04.29 Steven Sim  |  CSO
침해 가정(Assumed Breach)은 제로트러스트의 주요 원칙이기도 하지만 종종 간과된다. 보안에 대해 '만약이 아니라 언제(Not if but when)'의 태도로 접근해야 한다고 말할 때, 이는 단지 립서비스에 불과한 걸까, 아니면 정말로 이를 믿고 내면화한 걸까?
 
ⓒ Getty Images Bank

기업 보안 침해의 발생은 불가피하다. 게릴라성 공격과 융단 검사가 비대칭적이기 때문이다. 규모에 관계없이 모든 기업이 보안 침해를 당하고 있다. 보안 리더들은 수년 동안 무결점 보호 원칙의 신화를 논하고 탐지, 대응, 복구를 개선해야 할 이유에 대해 이야기했다. 이들은 위협 인텔리전스, 고급 위협 헌팅, 모의 훈련을 통한 대응, 보안 정보 및 이벤트 관리(SIEM)와 보안 오케스트레이션, 자동화 및 대응(SOAR)을 긴밀히 통합해 침해를 신속하게 억제해야 할 필요성을 언급했다.

하지만 침해 가정 사고방식은 디지털 경계를 흐리는 것을 넘어 소프트웨어, 하드웨어, 서비스의 공급망까지 깊숙이 파고들 수 있다. 디지털화와 클라우드 도입이 확대되면서 공격 표면이 기하급수적으로 늘어나 서드파티 리스크가 점점 더 큰 문제로 대두되고 있으며, 바로 이 지점에서 경계는 모호해지고 있다.

아웃소싱을 한다는 것은 일부 책임을 덜고 그에 따른 위험을 감수하는 것을 의미할까? 보안 리더들은 종종 거버넌스에 대해 "올바른 일을 제대로 하는 것"이라고 말하지만, 실제로 현장에서 일이 올바르게 이뤄지도록 하려면 어떻게 해야 할까?

아웃소싱 서비스의 관리자는 사이버 보안에 대해 기업만큼 중요하게 느끼지 못한다. 이로 인해 보안의 가장 취약한 연결 고리가 사람이라는 불행한 진실이 조직을 괴롭힐 수 있다. 다시 말해 부족한 것은 바로 사람이다.

따라서 기업은 인소싱 또는 더 많은 통제 및 감독 등의 결정을 내려야 하는 단계에 도달할 수도 있다. 하지만 이는 아웃소싱의 근본적인 가치 제안에 반하는 일이다. 그렇기 때문에 어려운 결정이다. 또한 근본적인 질문도 제기될 수 있다. 아웃소싱과 클라우드 우선 전략을 채택해야 하는 이유는 무엇인가? 내재된 위험이 명백하게 밝혀지고, 잔존하는 위험이 진정으로 받아들여졌는가?

많은 사람들이 두 마리 토끼를 다 잡기를 원하며, 어떤 사람들은 0과 1의 이진수로만 답하길 원한다. 그러나 침해 가정 사고방식을 내재화하려면 좀 더 성숙한 문화가 필요하다.

감독 횟수와 상관없이 아웃소싱에는 기본적으로 추가 위험이 존재한다. 벤더의 약속이 순전히 거래를 위한 것이라면, 그들은 실제 상황에 별 다른 관심이 없고 절박함도 없을 것이다. 만약 벤더가 조직 대신 서비스 제공업체에 의무가 있는 경우라면 최소한의 일만 할 가능성도 높다.

그러면 사이버 보안 전문가들은 어떤 상황에 놓이게 될까? 서드파티의 포스처링 도구(posturing tools)와 추가 감독으로는 할 수 있는 일이 많지 않다. 단순히 인소싱하는 것보다 훨씬 더 많은 비용과 노력을 들이고 싶지 않다면, 더 높은 수준의 잔존 위험을 관리하고 수용하기 위해 강력한 RACI(실무 담당자, 의사 결정권자, 업무 수행 조언가, 결과 통보 대상자) 프레임워크와 모두가 믿고 따르는 철저한 위험 관리 원칙이 필요하다.

위험 최적화 및 사이버 보안 제어의 성공 여부는 무엇보다도 위험 수용, 사고 관리 및 복구로 확장되는 RACI 프레임워크에 달려 있다. 위험 평가는 벤더의 보안 침해가 불가피하다는 점을 고려해야 하며, 위험 관리자는 이런 불가피성에 대해 잘 알고 있어야 한다.

이 불가피성을 이해하며 항상 벤더가 침해할 수 있다고 가정하고 그 위험을 관리할 수 있는 능력에 집중하라. 또한 벤더의 조직 내 측면 이동을 차단해 핵심 인력을 노리는 외부 침입을 방지하는 것도 중요하다.

궁극적으로 오늘날 사이버 보안에 성공하려면 침해를 예방하는 능력이 아니라 침해를 방해해 조직에 미치는 중대한 영향을 차단하는 능력이 중요하다. 이 능력은 적절한 주의 이상으로 침해의 불가피성을 받아들이는 성숙한 사고방식, 명확한 역할과 책임, 강력한 위험 관리 및 수용 체계를 갖추고 침해를 성공적으로 차단하도록 집중하는 데 달려 있다.

* Steven Sim은 25년 이상의 사이버 보안 경력을 갖고 있다. 현재 42개국에서 사업을 운영하는 다국적 기업의 사이버 보안을 이끌고 있으며, 거버넌스, 기술 관리 및 사고 대응과 사이버 보안 마스터플랜 사무소를 총괄하고 있다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.