2021.06.11

'비용 줄이려면?' 데이터 침해를 대비하는 10가지 수칙

Mary K. Pratt | CSO
데이터 침해 양상이 갈수록 심각해지고 있고, 그에 따른 비용도 증가하고 있다는 보고서가 발간됐다. 

사이버시큐리티 벤처스(Cybersecurity Ventures)가 발간한 ‘최고 임원의 사이버 전쟁(Cyber wafare in the C-Suite)’ 보고서에 따르면 2021년의 사이버 범죄에 따른 비용은 세계적으로 6조 달러에 이를 전망이다. 그러나 세계 사이버 범죄 비용이 계속 증가할 것이라는 예상이 이보다 더 걱정스럽다. 향후 5년 동안 연간 15%의 비용 증가가 예상되고, 2025년에는 비용이 10조 5,000억 달러에 이를 것이다. 2015년의 3조 달러에 비해 증가한 수치다.

이 비용은 전 세계 수 천 명의 피해자가 부담하지만, 성공적인 해킹에 타격을 받은 개별 조직은 심각하고 복잡한 손실 가능성에 직면할 것이다. 컨설팅 업체인 인포시스의 장기적인 데이터 침해 비용에 관한 보고서에 따르면 65%의 소비자가 데이터 침해 사건 시 기업에 대한 신뢰를 잃고, 85%는 이들과 더 이상 거래하고 싶지 않다고 응답했다. 

비용 증가의 주 원인은 현실을 외면하는 접근법이다. IT 거버넌스 단체인 ISACA의 2021년 보고서에서는 응답에 참여한 불과 32%의 조직만이 공격에 대비가 되어 있다고 느끼는 것으로 나타났다. 

그러나 준비는 그만한 가치가 있다. 전문가들에 따르면 사건에 앞서 엄격한 조치를 취하는 CISO는 더 능숙하게 공격을 방어하고 대응할 수 있을 뿐 아니라 연관 비용을 최소화할 수 있다. 

CISO가 향후 일어날 수 있는 보안 침해 사건 관련 비용을 줄이는 데 도움이 될 10가지 방법을 소개한다. 
 

1. 기업 환경의 복잡성을 이해하고, 기업에게 돈이 되는 것이 무엇인지 파악하라 

복잡한 IT 시스템은 조직의 사업 방식과 확장의 원동력이다. 그러나 동시에 공격에 대한 방어, 그리고 성공적 공격 시의 복구를 어렵게 하는 원인이기도 하다. 베테랑 CISO인 앤드리어스 우츠너는 따라서 이에 앞서가야 한다고 말했다. 우츠너는 현재 세계적인 금융기관의 상임 보안 총괄이자 컨설팅 서비스 회사인 사이보베이트(Cybovate)의 공동 설립자이다. 

우츠너는 “지형에 대한 이해, 다시 말해 기업의 최대의 수익원에 대한 이해가 높을수록 더 신속하게 정상화할 수 있고, 사업 영향을 최소화할 수 있다”면서 “사람들은 출혈을 중단시키고 사업을 즉시 시작하기를 원한다”라고 말했다. 

최근의 콜로니얼 파이프라인(Colonial Pipeline) 폐쇄는 이 점을 잘 설명한다. 초기의 의혹은 회사의 운영 기술(OT) 시스템이 훼손되었는가에 집중되었지만, 이후 CNN은 여러 정보원이 “회사의 대금 청구 시스템이 훼손되었기 때문에 사업을 중단했고….. 소비자에게 연료 비용을 얼마나 청구해야 할지 파악할 수 없을 것임을 우려했다”라고 말했다고 보도했다.
 

2. 문제에 대처할 사람을 파악하라 

보안 침해 사건 대응은 혼자서 할 수 없다. 보안 팀은 여러 분야의 여러 전문가의 도움을 필요로 할 것이다. CISO는 실제 사건이 일어나기 전에 사건에 대처할 담당자를 미리 파악해야 한다. 그리고 유사 시 모두가 정연히 자기 할 일을 할 수 있도록 계약되어 있어야 한다. 이는 조직의 신속한 대응을 보장해 실제적 및 평판 상의 피해 및 연관 비용을 제한할 수 있다고 우츠너는 말했다. 또한 이는 필수 전문가가 비상 시 할증료가 아니 계약 금액으로 일할 수 있도록 보장한다. 

나아가 이는 대응 시 모든 핵심 기술이 동원되는 것을 보장한다. 홀드 시큐리티(Hold Security LLC)의 CISO이자 ISACA 이머징 트렌드 워킹 그룹(ISACA Emerging Trends Working Group)의 구성원인 알렉스 홀든은 랜섬웨어 피해자가 해커가 요구한 전액을 지급하기로 한 것을 목격한 적이 있다고 말했다. 상황 수습에 나설 협상 전문가가 없었기 때문이다. 이 실수로 인해 피해 금액은 수백만 달러가 늘어났다. 
 

3. 누가 무엇을 하는지 분명히 하라 

마찬가지로 CISO는 이들의 기술과 권한의 한계를 미리 알아두어야 하고, 데이터 침해가 발생할 때 누가 어떤 단계 또는 행동을 담당할 것인지 상세히 문서화해야 한다. 

타타 컨설턴시 서비스(Tata Consultancy Services)의 위험 및 사이버 전략 담당 글로벌 경영 파트너인 시오브한 맥더머트는 “모두 정확한 역할이 있어야 하고, 누가 환자를 안정시킬 것인지를 따질 때가 아니다”라고 말했다. 
 

4. 침해 대응을 연습하라 

실제 사건이 발생할 때 공포와 공황을 줄이려면 대응 프로세스를 연습해야 한다. 홀든은 “소방 훈련은 그럴만한 이유가 있다. 그러나 사이버 보안에서 충분한 연습을 하지 않는다. 연습을 하더라도 대부분의 경우 제대로 하지 못한다”라고 지적했다. 

정밀하게 구성된 모의 훈련을 정기적으로 실시하는 조직은 실제 사건을 신속히 처리하고 전략적으로 대응할 떄 필요한 근육 신경망을 발달시킨다. 따라서 사업 손실, 평판 손상, 높은 비용을 만드는 지연과 실수를 피할 수 있다. 

5. 침해 사건을 체험한 적이 있는 보안 전문가를 고용하라 

초기의 대서 특필된 침해 사건들 이후 보안 전문가들은 해킹된 회사에서 일했던 보안 전문가가 취업에서 어려움을 겪을 것이라고 생각했다. 이는 사실이 아니었고, 거기에는 그럴만한 이유가 있었다. 이들은 귀중한 경험을 한 것이다. 

CISO는 이러한 전문가를 고용해 대비 태세를 향상해야 한다. 멕더머트는 “사람들은 수술을 해본 적이 있는 있는 경력자를 원한다”라고 말했다. 
 

6. 규제적 요건을 간략히 정리하고 준비하라 

미국에서는 침해 사건에 대한 법규를 시행하는 주 및 연방정부가 늘고 있다. 이 법규는 조직이 침해를 어떻게 처리해야 하는지, 예를 들어 개인 정보가 침해되었을 때 개인에게 얼마나 빨리 통지해야 하는지, 이들 개인에게 제공해야 할 서비스는 어떻게 되는지, 어떤 상황에서 어떤 조치를 취해야 하는지 등을 명시한다.

EU의 개인정보보호규정(GDPR)은 예컨대 데이터 침해에 대한 적시 보고 의무를 포함하고, 위반한 조직은 연 매출의 최대 4%에 해당하는 벌금을 내야 한다고 규정한다. 

맥더머트는 CIOS가 기업 경영진 내의 다른 사람들과 협력하며 어떤 상황에서 어떤 법이 적용되는지를 미리 이해하고, 여러 시나리오에서 유효한 통용 언어를 준비해야 한다고 말했다. 

또 “각 데이터 침해를 개별 사건으로 취급한다. 80%의 언어가 반복적으로 사용될 수 있고, 불과 20%의 언어만 각 사건에 따라 수정하면 된다”라고 말했다. 

이는 막대한 시간 낭비이고, 시간은 곧 돈이다. 
 

7. 공급망에 유의하라 

VM웨어의 사이버보안 전략 책임자이자 윌슨 센터(Wilson Center)의 사이버 정책 글로벌 펠로우인 탐 켈러먼은 해커가 해킹 당한 조직을 이용해 다른 조직을 공격하는 사례가 늘고 있기 때문에 이러한 시나리오에 대비해야 한다고 말했다. 솔라윈즈 해킹이 최근에 일어난 대표적 사례이다. 

아울러 켈러먼은 기업이 해커의 베이스 캠프로 이용된 조직을 고소하기 시작할 것으로 예상한다. 그는 이러한 사건에 대해 “올해부터 주주 소송과 규제적 처벌이 있을 것이다”라고 예측했다. 

값비싼 법적 분쟁을 경계하기 위해 CISO는 회사가 위와 같은 상황에 처하지 않도록 보장해야 하고, 피치 못할 경우 신속히 움직일 수 있도록 보장해야 한다. 나아가 CISO는 정당한 조직을 공격 발판으로 삼는 공격을 보다 부지런히 주시해야 한다. 심지어 공식 공급업체나 파트너 관계가 아니더라도 그렇게 해야 한다.  
 

8. 검출 및 은밀하게 행동하는 능력을 강화하라 

값비싼 해킹에 대처하는 가장 효과적인 방법 중 하나는 적들이 네트워크에 있는 시간을 줄이는 것이다. CISO는 통합 네트워크 및 엔드포인트 검출, 실시간 텔레메트리 및 애널리틱스 역량, 위협 감지 및 여타 최고의 보안 모범 관행에 투자해야 한다고 켈러먼은 말했다. 

악의적 행위자를 조기에 감지하는 일은 이들의 활동을 무력화시키고, 피해를 제한하거나 심지어 예방하는 데 유익하다. 이는 물론 중요하지만, 적들이 정체가 발각되었음을 모른 체하는 것이 점점 결정적인 요인이 된다. 켈러먼은 일부 해커, 특히 적대 국가가 지원하는 해커는 고의적으로 방해를 받으면 복수하려고 하기 때문이라고 말했다. 

그는 “사건 대응 및 위협 수색 시 더욱 은밀해질 필요가 있다”라고 말했다. 
 

9. 정치 상황에 적응하라 

CISO가 침해에 신속히 대응하고 싶다면 지정학적 뉴스에 대한 이해를 높여야 한다. 전문가들이 지적하는 것처럼 다수의 악의적 행위자가 국가의 지원을 받고, 이들의 명령에 따라 행동한다. 이들은 조직 내에 존재하는 기술적 취약점으로 돈을 벌뿐 아니라 회사가 국제적 긴장에 취약함을 인지하지 못하는 경영진의 약점을 파고든다.  

맥더먼트는 “침해에 앞서가기 위해서는 지정학적 환경을 이해하는 것이 중요하다”면서 “세계에서 무슨 일이 벌어지고 있는지, 국가 간에 무슨 일이 일어나고 있는지에 관해 생각하고, 이게 자신의 입장과 무슨 상관이 있는지 파악해야 한다. 이는 주로 최고위험임원이 생각하는 것이다. 그러나 CISO 역시 이에 관해 생각해야 한다. 지정학적인 게임에 말려들 것임을 안다면 더욱 신속하게 대응할 수 있고, 협력 업체를 준비시킬 수 있을 것이다”라고 말했다. 
 

10. 손실 감소 필요성에 입각해 임원들을 대비시켜라 

SANS의 학장이자 최고 커리큘럼 책임자인 롭 T. 리는 CISO는 공격 발생 시 이사회 및 임원진이 선택해야 할 어려운 선택지들을 미리 제시해야 한다고 말했다. 그는 “공격이 발생하면 어려운 선택을 해야 할 것이다. 데이터 침해 사건에서 승리란 없다”라고 말했다. 

그는 “조직의 붕괴를 막기 위해 어떻게 피해를 제한할 것인가?”라고 질문하면서 데이터 침해의 여파 속에서 걱정을 하거나 남을 비난하거나 이의를 제기할 시간은 없을 것이라고 덧붙였다. 
그는 “분초가 시급하다. 며칠 내에 조직은 돌이킬 수 없는 피해를 입을 수 있기 때문이다”라고 말했다. editor@itworld.co.kr 



2021.06.11

'비용 줄이려면?' 데이터 침해를 대비하는 10가지 수칙

Mary K. Pratt | CSO
데이터 침해 양상이 갈수록 심각해지고 있고, 그에 따른 비용도 증가하고 있다는 보고서가 발간됐다. 

사이버시큐리티 벤처스(Cybersecurity Ventures)가 발간한 ‘최고 임원의 사이버 전쟁(Cyber wafare in the C-Suite)’ 보고서에 따르면 2021년의 사이버 범죄에 따른 비용은 세계적으로 6조 달러에 이를 전망이다. 그러나 세계 사이버 범죄 비용이 계속 증가할 것이라는 예상이 이보다 더 걱정스럽다. 향후 5년 동안 연간 15%의 비용 증가가 예상되고, 2025년에는 비용이 10조 5,000억 달러에 이를 것이다. 2015년의 3조 달러에 비해 증가한 수치다.

이 비용은 전 세계 수 천 명의 피해자가 부담하지만, 성공적인 해킹에 타격을 받은 개별 조직은 심각하고 복잡한 손실 가능성에 직면할 것이다. 컨설팅 업체인 인포시스의 장기적인 데이터 침해 비용에 관한 보고서에 따르면 65%의 소비자가 데이터 침해 사건 시 기업에 대한 신뢰를 잃고, 85%는 이들과 더 이상 거래하고 싶지 않다고 응답했다. 

비용 증가의 주 원인은 현실을 외면하는 접근법이다. IT 거버넌스 단체인 ISACA의 2021년 보고서에서는 응답에 참여한 불과 32%의 조직만이 공격에 대비가 되어 있다고 느끼는 것으로 나타났다. 

그러나 준비는 그만한 가치가 있다. 전문가들에 따르면 사건에 앞서 엄격한 조치를 취하는 CISO는 더 능숙하게 공격을 방어하고 대응할 수 있을 뿐 아니라 연관 비용을 최소화할 수 있다. 

CISO가 향후 일어날 수 있는 보안 침해 사건 관련 비용을 줄이는 데 도움이 될 10가지 방법을 소개한다. 
 

1. 기업 환경의 복잡성을 이해하고, 기업에게 돈이 되는 것이 무엇인지 파악하라 

복잡한 IT 시스템은 조직의 사업 방식과 확장의 원동력이다. 그러나 동시에 공격에 대한 방어, 그리고 성공적 공격 시의 복구를 어렵게 하는 원인이기도 하다. 베테랑 CISO인 앤드리어스 우츠너는 따라서 이에 앞서가야 한다고 말했다. 우츠너는 현재 세계적인 금융기관의 상임 보안 총괄이자 컨설팅 서비스 회사인 사이보베이트(Cybovate)의 공동 설립자이다. 

우츠너는 “지형에 대한 이해, 다시 말해 기업의 최대의 수익원에 대한 이해가 높을수록 더 신속하게 정상화할 수 있고, 사업 영향을 최소화할 수 있다”면서 “사람들은 출혈을 중단시키고 사업을 즉시 시작하기를 원한다”라고 말했다. 

최근의 콜로니얼 파이프라인(Colonial Pipeline) 폐쇄는 이 점을 잘 설명한다. 초기의 의혹은 회사의 운영 기술(OT) 시스템이 훼손되었는가에 집중되었지만, 이후 CNN은 여러 정보원이 “회사의 대금 청구 시스템이 훼손되었기 때문에 사업을 중단했고….. 소비자에게 연료 비용을 얼마나 청구해야 할지 파악할 수 없을 것임을 우려했다”라고 말했다고 보도했다.
 

2. 문제에 대처할 사람을 파악하라 

보안 침해 사건 대응은 혼자서 할 수 없다. 보안 팀은 여러 분야의 여러 전문가의 도움을 필요로 할 것이다. CISO는 실제 사건이 일어나기 전에 사건에 대처할 담당자를 미리 파악해야 한다. 그리고 유사 시 모두가 정연히 자기 할 일을 할 수 있도록 계약되어 있어야 한다. 이는 조직의 신속한 대응을 보장해 실제적 및 평판 상의 피해 및 연관 비용을 제한할 수 있다고 우츠너는 말했다. 또한 이는 필수 전문가가 비상 시 할증료가 아니 계약 금액으로 일할 수 있도록 보장한다. 

나아가 이는 대응 시 모든 핵심 기술이 동원되는 것을 보장한다. 홀드 시큐리티(Hold Security LLC)의 CISO이자 ISACA 이머징 트렌드 워킹 그룹(ISACA Emerging Trends Working Group)의 구성원인 알렉스 홀든은 랜섬웨어 피해자가 해커가 요구한 전액을 지급하기로 한 것을 목격한 적이 있다고 말했다. 상황 수습에 나설 협상 전문가가 없었기 때문이다. 이 실수로 인해 피해 금액은 수백만 달러가 늘어났다. 
 

3. 누가 무엇을 하는지 분명히 하라 

마찬가지로 CISO는 이들의 기술과 권한의 한계를 미리 알아두어야 하고, 데이터 침해가 발생할 때 누가 어떤 단계 또는 행동을 담당할 것인지 상세히 문서화해야 한다. 

타타 컨설턴시 서비스(Tata Consultancy Services)의 위험 및 사이버 전략 담당 글로벌 경영 파트너인 시오브한 맥더머트는 “모두 정확한 역할이 있어야 하고, 누가 환자를 안정시킬 것인지를 따질 때가 아니다”라고 말했다. 
 

4. 침해 대응을 연습하라 

실제 사건이 발생할 때 공포와 공황을 줄이려면 대응 프로세스를 연습해야 한다. 홀든은 “소방 훈련은 그럴만한 이유가 있다. 그러나 사이버 보안에서 충분한 연습을 하지 않는다. 연습을 하더라도 대부분의 경우 제대로 하지 못한다”라고 지적했다. 

정밀하게 구성된 모의 훈련을 정기적으로 실시하는 조직은 실제 사건을 신속히 처리하고 전략적으로 대응할 떄 필요한 근육 신경망을 발달시킨다. 따라서 사업 손실, 평판 손상, 높은 비용을 만드는 지연과 실수를 피할 수 있다. 

5. 침해 사건을 체험한 적이 있는 보안 전문가를 고용하라 

초기의 대서 특필된 침해 사건들 이후 보안 전문가들은 해킹된 회사에서 일했던 보안 전문가가 취업에서 어려움을 겪을 것이라고 생각했다. 이는 사실이 아니었고, 거기에는 그럴만한 이유가 있었다. 이들은 귀중한 경험을 한 것이다. 

CISO는 이러한 전문가를 고용해 대비 태세를 향상해야 한다. 멕더머트는 “사람들은 수술을 해본 적이 있는 있는 경력자를 원한다”라고 말했다. 
 

6. 규제적 요건을 간략히 정리하고 준비하라 

미국에서는 침해 사건에 대한 법규를 시행하는 주 및 연방정부가 늘고 있다. 이 법규는 조직이 침해를 어떻게 처리해야 하는지, 예를 들어 개인 정보가 침해되었을 때 개인에게 얼마나 빨리 통지해야 하는지, 이들 개인에게 제공해야 할 서비스는 어떻게 되는지, 어떤 상황에서 어떤 조치를 취해야 하는지 등을 명시한다.

EU의 개인정보보호규정(GDPR)은 예컨대 데이터 침해에 대한 적시 보고 의무를 포함하고, 위반한 조직은 연 매출의 최대 4%에 해당하는 벌금을 내야 한다고 규정한다. 

맥더머트는 CIOS가 기업 경영진 내의 다른 사람들과 협력하며 어떤 상황에서 어떤 법이 적용되는지를 미리 이해하고, 여러 시나리오에서 유효한 통용 언어를 준비해야 한다고 말했다. 

또 “각 데이터 침해를 개별 사건으로 취급한다. 80%의 언어가 반복적으로 사용될 수 있고, 불과 20%의 언어만 각 사건에 따라 수정하면 된다”라고 말했다. 

이는 막대한 시간 낭비이고, 시간은 곧 돈이다. 
 

7. 공급망에 유의하라 

VM웨어의 사이버보안 전략 책임자이자 윌슨 센터(Wilson Center)의 사이버 정책 글로벌 펠로우인 탐 켈러먼은 해커가 해킹 당한 조직을 이용해 다른 조직을 공격하는 사례가 늘고 있기 때문에 이러한 시나리오에 대비해야 한다고 말했다. 솔라윈즈 해킹이 최근에 일어난 대표적 사례이다. 

아울러 켈러먼은 기업이 해커의 베이스 캠프로 이용된 조직을 고소하기 시작할 것으로 예상한다. 그는 이러한 사건에 대해 “올해부터 주주 소송과 규제적 처벌이 있을 것이다”라고 예측했다. 

값비싼 법적 분쟁을 경계하기 위해 CISO는 회사가 위와 같은 상황에 처하지 않도록 보장해야 하고, 피치 못할 경우 신속히 움직일 수 있도록 보장해야 한다. 나아가 CISO는 정당한 조직을 공격 발판으로 삼는 공격을 보다 부지런히 주시해야 한다. 심지어 공식 공급업체나 파트너 관계가 아니더라도 그렇게 해야 한다.  
 

8. 검출 및 은밀하게 행동하는 능력을 강화하라 

값비싼 해킹에 대처하는 가장 효과적인 방법 중 하나는 적들이 네트워크에 있는 시간을 줄이는 것이다. CISO는 통합 네트워크 및 엔드포인트 검출, 실시간 텔레메트리 및 애널리틱스 역량, 위협 감지 및 여타 최고의 보안 모범 관행에 투자해야 한다고 켈러먼은 말했다. 

악의적 행위자를 조기에 감지하는 일은 이들의 활동을 무력화시키고, 피해를 제한하거나 심지어 예방하는 데 유익하다. 이는 물론 중요하지만, 적들이 정체가 발각되었음을 모른 체하는 것이 점점 결정적인 요인이 된다. 켈러먼은 일부 해커, 특히 적대 국가가 지원하는 해커는 고의적으로 방해를 받으면 복수하려고 하기 때문이라고 말했다. 

그는 “사건 대응 및 위협 수색 시 더욱 은밀해질 필요가 있다”라고 말했다. 
 

9. 정치 상황에 적응하라 

CISO가 침해에 신속히 대응하고 싶다면 지정학적 뉴스에 대한 이해를 높여야 한다. 전문가들이 지적하는 것처럼 다수의 악의적 행위자가 국가의 지원을 받고, 이들의 명령에 따라 행동한다. 이들은 조직 내에 존재하는 기술적 취약점으로 돈을 벌뿐 아니라 회사가 국제적 긴장에 취약함을 인지하지 못하는 경영진의 약점을 파고든다.  

맥더먼트는 “침해에 앞서가기 위해서는 지정학적 환경을 이해하는 것이 중요하다”면서 “세계에서 무슨 일이 벌어지고 있는지, 국가 간에 무슨 일이 일어나고 있는지에 관해 생각하고, 이게 자신의 입장과 무슨 상관이 있는지 파악해야 한다. 이는 주로 최고위험임원이 생각하는 것이다. 그러나 CISO 역시 이에 관해 생각해야 한다. 지정학적인 게임에 말려들 것임을 안다면 더욱 신속하게 대응할 수 있고, 협력 업체를 준비시킬 수 있을 것이다”라고 말했다. 
 

10. 손실 감소 필요성에 입각해 임원들을 대비시켜라 

SANS의 학장이자 최고 커리큘럼 책임자인 롭 T. 리는 CISO는 공격 발생 시 이사회 및 임원진이 선택해야 할 어려운 선택지들을 미리 제시해야 한다고 말했다. 그는 “공격이 발생하면 어려운 선택을 해야 할 것이다. 데이터 침해 사건에서 승리란 없다”라고 말했다. 

그는 “조직의 붕괴를 막기 위해 어떻게 피해를 제한할 것인가?”라고 질문하면서 데이터 침해의 여파 속에서 걱정을 하거나 남을 비난하거나 이의를 제기할 시간은 없을 것이라고 덧붙였다. 
그는 “분초가 시급하다. 며칠 내에 조직은 돌이킬 수 없는 피해를 입을 수 있기 때문이다”라고 말했다. editor@itworld.co.kr 

X