해킹 사고의 여파를 체험한 적이 있는가? 결제 카드나 기타 정보가 해킹되었을 수 있다는 내용의 메일을 받은 적이 있는가? 청중들에게 이런 질문을 던질 때마다 손을 드는 사람들의 수가 늘어나고 있다.
그렇다면 모든 보안 침해를 예방할 수 있을까? 이제는 많은 이들이 "보안 사고란 일어나게 마련이다"라는 반응을 보인다. 여기에서 더 나은 질문을 던질 수 있다. '보안 사고를 예방할 필요가 있을까?'라는 질문이다. 다음의 슬라이드를 이용해 이 질문에 대한 답을 생각해 보자. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
침해 사고(breach)는 그저 증상일 뿐이다
필자는 '보안사고 속으로'(Into the Breach)라는 서적에서 "인간 역설"의 개념을 소개했다. 이 개념을 정리하는 과정에서 필자는 보안 침해가 사실은 증상에 지나지 않는다는 사실을 깨달았다.
"문제는 사람들이 의도와 상관 없이 - 그리고 시스템적으로 - 자신이 내린 결정의 결과로부터 분리되고 있다는 점이다. 그들은 직접적으로 책임지지 않는다. 보안 침해를 문제로 다루게 되면 상황만 악화될 뿐이다."
우리는 변곡점에 봉착해 있다. 보안 침해의 속성, 영향, 보고 방식 등 모든 것이 바뀌고 있다. 그리고 이것은 긍정적인 현상이다.
'차단할 수 있다'는 편견이 문제
변화를 위해서는 보안 침해 차단에 대한 편견을 없애야 한다. 예방에 대한 편견이 맹점을 야기하고 있다. 사실 보안 침해 사고가 발표될 때마다 제기되는 질문들이 있다. 왜 발생 했을까. 그리고 왜 예방하지 못했는가. 그리고 이는 이런 일의 재발을 방지하기 위해 "무엇이든 하라"는 요구로 이어진다.
여기에 함정이 있다. 해킹을 차단한다는 솔루션을 위한 자금과 지원이 타성적으로 발생한다. 오해하면 안 된다. 예방을 포기하자는 뜻이 아니다. 하지만 예방(차단)에 대한 오해 때문에 발견과 대응에 필요한 관심이 축소된다.
보고 양태는 변화 중
침해 사고 이후의 애매한 대답에 대해 염증을 느끼는 이들이 늘고 있다. 모든 공격이 정교하거나 복잡하거나 최초의 기법인 것은 아니다. 그러나 소송과 기업 이미지를 우려하는 기업들은 스스로에게 죄가 없다는 접근방식을 취했다. 그리고 이는 '피해자 비난'(victim shaming)으로 이어지곤 한다. 피해 기업들이 잘못한 모든 것을 지적하는 모습들이 나타나는 것이다.
그러나 이제 새로운 트렌드가 등장하고 있다. 상대적으로 작은 기업들을 중심으로 침해 사고를 설명함에 있어 보다 투명한 태도를 보이는 현상이 증가하고 있다. 그들은 어떤 일이 있었는지 공유하고 세부 정보를 제공한다. 그들은 자신들이 무엇을 깨달았는지 설명한다.
이는 발견과 대응의 중요성을 나타낸다. 문제를 발견하고 적절히 대응한 기업들은 비난 대신 호감을 받는다. 분명히 환영할 만한 트렌드다.
마음가짐이 성공을 부른다
더 나은 보안의 핵심은 리더십과 소통이다. 이를 위해서는 성공의 마음가짐이 필요하다.
우선, 부정적인 뉴스를 꾸준히 소비하는 행위부터 멈출 필요가 있다. 부정적인 소식은 흔한 문제점을 하나 초래하는데, 보안이 과연 중요한지조차 의문스럽게 만드는 것이다.
하지만 보안은 중요하다. 부정적인 뉴스를 접한 이후 자신에게 하는 이야기를 변화시켜야 한다. 다른 사람들에게 들려줄 이야기를 검토해보자. 침해 사고는 발생하기 마련이다. 공백에 집중하는 대신에 다른 대안을 찾기 위해 동료들과 협력하라.
이제 침해 사고를 예견할 시점이다
희망의 여지는 있다. 침해 사고를 예견(anticipate)함으로써 보안을 한층 고도화시킬 수 있다.
'예견'이라는 말이 핵심이다. 예견에는 준비의 의미가 포함돼 있다. 긍정적이며 우호적인 개념이다. "해킹을 가정하라"는 주장과 맞닿아 있는 것이기도 하다. 침해 사고를 예견하는 것이야 말로 경영진이 기업을 보호할 수 있는 길이다.
질문을 이용해 접근방식을 바꾼다
침해 사고를 예견하는 방법 중 하나는 질문을 던지는 것이다. 고위직에서부터 시작하고 상호 이해에 초점을 맞춘다. 이것은 대화이자 탐색할 기회이며, 함께 배우는 기회이기도 하다.
기본적인 질문부터 시작한다. 예방, 발견, 대응에 관한 기본적인 질문으로 되돌아간다. 하지만 순서를 달리해 발견부터 시작한다. 다음 질문들을 참고하자.
우리가 침해를 당하면 어떻게 될까?
시작하기 좋은 질문은 "우리 조직에 침해 사고가 발생하면 어떻게 될까?"다.
오늘날의 공격자들은 원하는 것을 얻을 수 있게 해주는 취약점을 지속적으로 탐색하고 있다. 하지만 적들이 무엇을 어떻게 노리고 있다는 것을 안다는 것은 큰 기회일 수 있다.
현업 임원들과 같이 공격자와 같이 생각해본다. 시스템/솔루션이 어떻게 움직이는지 파악한다. 무엇이 문제를 발생시킬 수 있는지 분석한다. 그것을 어떻게 입증할 수 있는지 조사한다. 어떤 신호를 찾아야 할까? 피해는 무엇일까? 어떤 조치를 취할 수 있을까?
침해 사고를 얼마나 빨리 발견할 수 있을까?
속도가 생명이다. 정확도는 더욱 중요하다. 경보와 확인 사이의 차이를 감안해야 한다. 핵심은 팀의 부담을 증가시키지 않고 무엇인가 잘못되었을 때를 발견하는 능력을 키우는 것이다.
한편 이 질문에는 숨겨진 핵심이 있는데, '무엇인가 잘못될 경우 그것을 얼마나 빨리 찾아낼 필요가 있는가?'다.
우리는 얼마나 잘 대응할 수 있는가?
적절성이 중요하다. 최고의 대응은 무엇일까? 이상적 상황을 기준으로 지금은 얼마나 잘 하고 있는가? 어떤 변화를 통해 좀더 이상적일 수 있을까?
발생하는 일련의 일들을 기준으로 참여할 사람이 누구인지 계획한다. 대응 전, 중, 후에 어떻게 조율할지 파악한다. 시간과 노력을 들여 시나리오를 연습한다. 배우고 함께 노력한다.
예방책의 실효성은 어떠한가?
예방, 발견, 대응의 과정에서 이 질문을 마지막으로 물어본다. 대부분은 예방에 집중하고 너무 일찍 꺼내는 바람에 잘못된 것에 집중하는 경향이 있다. 발견과 대응에 대한 명확한 청사진이 그려진 이후 예방에 대해 질문해야 한다.
시간을 갖고 예방책이 어떻게 작용하는지 분석한다. 예상했던 결과를 제공하고 있는지 질문한다. 값을 측정하면 더욱 좋다.
예방책이 실제로 적절한 대상을 보호하고 있는가? 그렇지 않다면 일부 조정이 필요할 것이다. 한편 이 질문은 발견 노력을 어디에 집중할지에 대한 통찰을 안겨줄 수도 있다.
보안은 단거리 경주가 아니다
이러한 질문들을 통해 기회를 포착할 수 있다. 가장 큰 가치를 창출하는 것을 우선시하고 집중해야 한다. 경험을 통해 배우며, 성공 사례를 증폭시킨다. 그리고 질문을 다시 던진다.
보안은 단거리 경주가 아니다. 마라톤도 아니다. 이것은 여행이다. 목적지가 없다. 경험이다. 마음가짐이다. 보안을 무한히 지속되는 게임으로 생각해야 한다. 삶의 여정으로 보아도 좋겠다.
'무한한 게임'에서 중요한 것은 자신이 어제보다 오늘이 더 나은지 여부다. 그리고 뛰어난 리더는 주변 사람들도 나은 사람으로 만든다. 자, 이제 보안 침해를 예견할 준비가 되었는가?