테마 1: 파괴적 기술 혁신의 양면성 기술 붕괴는 일반적으로 긍정적인 것으로 여겨진다. 새로운 시장과 가치 사슬의 창출로 이어지기 때문이다. 하지만 이 원리는 다른 사람들과 마찬가지로 악당들에게도 그대로 적용된다고 ISF의 상무이사 스티브 더빈은 말했다. 그는 "우리가 현재 목격하는 많은 위협이 기술에 의한 것이다. 인류는 파괴적인 혁신에 갈채를 보냈지만, 착한 사람들만 이를 활용할 수 있는 것이 아니다"라고 말했다.
강력한 연결성이 방어를 압도한다 합리적인 가격에 엄청난 속도를 자랑하는 기가비트(Gigabit) 연결성은 잠재력이 어마어마하다. 기업에 엄청난 시장과 기회를 열어줄 수 있다. 특히 텔레프레즌스, 엔터테인먼트, 임베디드 기기 등의 부문에서 더욱 그렇다. 하지만 범죄자들에게도 새로운 기회가 된다. 더빈은 "더욱 강력한 연결성의 문제를 실제로 다루는 방법에 관해 고민해야 한다. 특정 공격과 파괴에 대한 노출 증가를 의미하게 될 것"이라고 말했다. 이 위협에 대비하기 위해 ISF는 공급자들과 탄탄한 복원 계획을 수립하고 임베디드 기기의 위험을 확임 및 평가하라고 조언했다.
범죄 조직들이 디지털 기술로 협업하고 있다 범죄조직은 일찍이 인터넷의 잠재력을 파악했다. 디지털 역량을 개발하면서 자체 활동을 온라인의 영역으로 확장했다. 이런 공격자들은 예산이 넉넉할 뿐 아니라 뛰어난 기술과 정교한 툴을 갖추고 있다. 더빈은 "그들은 매우 효율적이고 효과적으로 의사를 소통하고 있다. 또 탁월한 조직을 구축해 협업하고 있다"라고 진단하며 "이 때문에 우리 또한 더욱 효과적으로 소통하고 협업해야 한다"라고 강조했다. 즉 조직들은 개별 위협 정보 공유에 참여해야 한다. 더빈은 또 사이버 보험의 비용과 이점을 평가하라고 조언했다.
지역별 경제 위기·사회적 불안 가능성 과거 제조 부문의 노동자들은 자동화 및 효율성의 기술적 발전으로 인해 일자리를 잃었던 바 있다. 오늘날 이런 자동화는 제조 부문을 넘어 널리 확산되고 있다. 이로 인한 사회경제적 불평등이 발생하고 지역별로 경제와 공급망을 파괴될 가능성이 크다. 그리고 이는 사회적 불안으로 이어질 가능성이 있다. "우리는 향후 2년 이내에 급격한 기술 발전으로 인해 사회적 불안이 발생하지 않을까 우려하고 있다. 점차 많은 사람들이 보유하고 있는 기술로 가치를 평가 받고 있다. 살기 어려워지는 계층이 발생하는 것"이라고 더빈은 예상했다. 이런 위협에 대비하기 위해 ISF는 기업이 지역별 위협 평가를 수행하고 위험 수용범위를 검토할 것으로 권고했다. 또 기업이 국제적 경제 및 사회적 책임을 고려하는 것도 좋은 생각이라고 덧붙였다.
테마 2: 복잡성이 취약성을 숨긴다 인터넷은 본래 복구 수단의 일환으로 개발됐다. 그러나 이제는 기술과 네트워크가 필수적이고 핵심적인 요소다. 몇몇 핵심 영역의 장애(또는 공격)만으로 치명적인 영향을 받을 수 있는 수준에 이르렀다.
중요 인프라에 대한 의존성이 위험수준이다 전 세계의 여러 사회가 중요 인프라에 의존하고 있다. 특정 기술은 종종 복수의 중요 영역에서 핵심적인 기능을 담당한다. 때로는 노후화되고 유지보수가 부실한 인프라들인 경우도 있다. 한 예로, 더빈은 미국 내 15개의 주요 인프라 시스템이 핵심 구성요소로써 GPS 에 의존하고 있음을 발견한 2011년 국토안보부(Department of Homeland Security)의 연구를 언급했다. 만약 이런 시스템에 장애가 발생한다면 한꺼번에 극도의 혼란 상황이 발생할 수도 있었다. 또 다른 예로 2013년 4월 AP 통신사의 트위터(Twitter) 계정을 훔친 공격자들이 있다. 그 공격자들은 해당 계정을 이용해 백악관에서 폭발 사고가 발생하여 대통령이 부상을 당했다는 가짜 정보를 흘렸다. 이 정보가 거짓이라고 밝혀지기까지의 5분 동안 주식 시장이 폭락했다. 이런 위험에 대비하기 위해 ISF는 비즈니스 연속성 계획을 업데이트 하고 주기적으로 시뮬레이션을 실시하라고 조언한다. 또한 클라우드 서비스 등 주요 인프라에 대해 붕괴 영향을 평가하라고 조언한다.
체계적 취약점이 무기화된다 기술 일변적 문화가 확산됨에 따라 악당들이 개별 기술 기업의 소프트웨어 시스템에서 체계적인 취약성들(systemic vulnerabilitie)을 무기화하게 될 것이라고 더빈이 예상했다. 그리고 이로 인해 인터넷 인프라의 무결성이 위협받을 것이라는 전망이다. 더빈은 "예를 들어, 오라클은 광범위한 수직 시장과 애플리케이션 영역에 걸쳐 확산되는 광범위한 애플리케이션을 제공할 수 있다. 이런 제공 기업을 목표로 삼을 수 있다"라고 말했다. 그리고 이것은 비단 오라클만의 문제가 아니다. 애플 iOS, 안드로이드, 시스코의 라우터, 취약성이 존재하는 기타 수단을 널리 사용하면 엄청난 규모의 해킹이 발생할 수도 있다. ISF는 위험 평가 대상에 널리 사용하는 기술과 공급자도 포함시키라고 조언한다. 또한 체계적인 취약성에 맞추어 조직 대응 계획을 업데이트 하도록 조언한다.
레거시 기술이 발목 오늘날 조직들은 비용 등의 이유로 기존 기술의 수명을 연장하기 위해 노력하고 있다. 이는 레거시 기술 지원의 지속을 의미한다. 그러나 연결성 증가로 인해 레거시 기술은 공격자들에게 더욱 노출될 전망이다. 한 예로, 지난 해 미국 내 ATM 의 95%는 보안 지원이 종료된 윈도우 XP 운영체조로 구동되고 있었다. 더빈은 "이런 것들로 인해 유지보수 비용이 증가할 수 있다"라며, 레거시 기술에 대한 조직의 노출을 파악하고 평가하라고 조언했다. 또한 시스템 아키텍처를 업데이트 하고 현대화를 계획해야 한다고 그는 덧붙였다.
디지털 서비스 붕괴로 인한 사망사고 점차 많은 디지털 시스템이 물리적인 자산을 통제하고 있다. 이에 따라 교통 또는 의료 서비스 등의 영역에서 이런 시스템의 붕괴로 인해 사망 사건이 발생할 것이다. 그리고 이는 대중의 압박을 불러일으킬 전망이다. 더빈은 "영국만 하더라도 2017년까지 5건의 사망 사건이 사이버 문제로 발생한다는 예측이다. 여기에서 핵심은 수치가 아니다. 기업이나 서비스 입장에서 이런 사망 사건에 책임이 있는 조직이 되고 싶지는 않다는 것"이라고 말했다. ISF는 사이버 물리 시스템에 대한 자신의 노출과 법적 책임을 평가하고 기업 의사소통 및 위기대응 메커니즘을 수정하라고 조언한다.
테마 3: 현실에 안주하면 화를 입는다 오늘날 조직들이 현실에 너무 안주하고 있다고 더빈이 말했다. 그들은 감춰진 위협에 충분한 주의를 기울이고 있지 않다.
지배적 사업자, 국제적 통합으로 인한 위험 구글 등의 대형 정보 제공자는 전 세계 시장으로 계속해서 확장하고 있다. 그들의 지배적인 위치와 상업적 경쟁의 부재가 문제를 불러일으킨다는 전망이다. 더빈은 고객들이 잠재적인 서비스 파괴와 장애에 취약하게 됐다고 진단했다. 플랫폼 분야도 마찬가지다. 오늘날 애플 iOS 생태계는 앱 생산자부터 결제 네트워크까지 모든 영역을 포함하고 있다. 파괴에 한층 더 취약해진 것이다. ISF는 대안이 거의 없는 지배적인 제공자로부터의 위험을 파악하고 평가하라고 조언한다. 또한 중요 서비스에 대해서는 공급자 다양화를 모색하라고 조언한다.
데이터 누출의 위험성이 증가한다 데이터 해킹의 수와 피해가 지속적으로 증가하고 있음에도 불구하고 조직들은 현실에 안주하고 있다는 지적이다. 더빈은 "기업들은 점차 데이터 해킹에 대해 안일한 자세를 취하고 있다. 무감각해졌다. 주가에 장기적인 영향이 없을 것이라고 간주한다"라고 말했다. 그는 실제로 단기적으로 대규모 데이터 해킹이 발생해도 이를 이겨낼 수 있다면 주가에 대한 장기적인 영향은 낮을 수 있다고 인정했다. 하지만 EU(European Union) 등의 단체는 철저한 조사를 통한 PII(Personally Identifiable Information)을 중심으로 규제를 만들어가고 있다. 무사안일주의를 탈피하지 못한다면 새로운 법률 및 규제 수립으로 인해 조직이 발목을 잡힐 수 있다고 그는 지적했다. ISF는 취급하는 데이터의 위치와 양에 기초하여 모든 잠재적인 관할상의 법적 책임을 검토하라고 조언한다. 또한 데이터 해킹에 대한 법적 책임을 공급자 계약에 명확히 명시하라고 조언한다.
2015.03.19
Thor Olavsrud | CIO
추천기사