娇色导航

2021년 5월, 미국의 송유관 기업 콜로니얼 파이프라인이 다크사이드 해커 그룹에게 공격을 받았다. 결국 회사의 CEO 조셉 블라운트는 440만 달러의 몸값을 지불하기로 결정했다. 그는 또 조 바이든 대통령에게 매일 브리핑을 해야 했다. 블라운트는 자신의 경력 전체를 가로질러 가장 어려운 결정이었다면서, 국가를 위해서라도 랜섬웨어 지불이 필요하다고 강변했다.

그는 미국 상원 국토안보 및 정부 문제 위원회에서 “우리는 끔찍한 상황에 처해 있었고 어떤 기업도 원하지 않는 어려운 선택을 해야 했다”라고 말했다.

2023년에 랜섬웨어로 인한 지불액이 11억 달러를 기록했다. 수많은 기업 리더들이 이 어려운 선택에 직면했던 셈이다. 공격이 발생하느냐의 문제가 아니라 언제 발생하느냐의 문제라는 인식도 자리를 잡아갔다. ISTARI와 옥스퍼드 대학교가 발표한 보고서에 따르면, 40억 달러 규모의 한 유럽 기업 CEO는 “이제 공격이 일어날 수 있다는 점을 당연시한다. 정말이지 큰 변화다. 이런 일이 일어날 수 있다고 받아들이는 조직과 이를 막을 수 있다고 생각하는 조직 사이에는 근본적인 접근 방식에 차이가 있다”라고 말했다.

침해의 불가피성을 인정하는 사고방식은 기업이 사이버 회복탄력성을 갖추는 데 도움이 될 수 있다. 여전히 많은 조직은 회복탄력성을 규제 기관을 위한 형식적인 절차로 간주하며, 이로 인해 CISO들은 회복에 필요한 자원을 확보하지 못하고 있다.

사이버 보안 사고를 견디고 복구할 수 있는 능력을 갖추려면 규정 준수를 넘어서는 사고의 전환이 필요하다고 래피드포트의 매흐란 파리마니 CEO는 강조했다. 그는 “중요한 소프트웨어와 데이터를 모두 백업했음을 나타내는 상자에 항상 체크 표시를 해왔을 것이다. 그렇다면 악성 이벤트에 대응하여 신속하게 복구할 수 있는가? 혹시 2주가 걸리지는 않는가? 이러한 모든 시스템을 지속적으로 점검하고 있는가?”라고 반문했다.
.
4월에 발표된 회복탄력성에 관한 에 따르면, 사이버 위험에 대처하는 자신감을 1점부터 10점까지 평가하라는 질문에 다수의 IT 보안 리더들은 비관적인 반응을 보였다. 그나마 금융 서비스 조직은 55%가 보안 태세가 매우 효과적이라고 평가해 높은 편이었다. 산업 및 제조 부문에 종사하는 기업의 32%만이 낙관적이라고 답했으며, 소매업의 경우 39%에 그쳤다. 일반적으로 소규모 기업일수록 사이버 위협에 대처하는 데 자신감이 떨어졌다.

지정학적 불안정, AI, 부의 불평등이 증가함에 따라 CISO는 최악의 시나리오에 대비하여 사이버 이벤트가 발생했을 때 신속하게 회복할 수 있도록 지원해야 한다.

사이버 회복탄력성의 중요성
사이버 복원력의 개념은 오늘날 전반적인 비즈니스 전략의 중요한 요소로 발전했다. 트러스트웨이브의 코리 다니엘스 CISO는 “이사회가 ‘공식적인 직책의 최고 복원력 책임자를 두는 것이 중요한가라는 질문을 던지기 시작했다”라고 전했다.

콜로니얼 파이프라인 사례와 같은 최근의 주요 사이버 공격에 비추어 볼 때, 전통적인 CIA(기밀성, 무결성, 가용성) 3요소 중 가용성에 대한 강조가 커지고 있다. 운영 중단은 고객 신뢰와 기업에 대한 전반적인 시장 인식에도 영향을 미치기 때문이다.
다니엘스는 사이버 복원력에 대한 ‘전체적인 접근 방식’을 채택함으로써 직원과 파트너, 이사회에 이르기까지 비즈니스의 모든 측면과 모든 팀을 감안하는 것이 필수적이라고 강조했다.

리소스가 여러 부서에 흩어져 있을 수 있으며, 사이버 복원력 구축을 담당하는 각 그룹은 조직 내 역량을 온전히 파악하지 못할 수 있기 때문이라는 설명이다. 그는 “가령 네트워크 및 보안 운영 부문에는 다른 부서에서 활용할 수 있는 풍부한 인텔리전스가 있다”라고 말했다.

많은 기업이 사이버 회복탄력성을 기업 리스크 관리 프로세스에 통합하고 있다. 이들은 취약성을 식별하고, 위험을 평가하고, 적절한 제어를 구현하기 위한 사전 조치를 취하기 시작했다. 가트너의 안젤라 자오 책임 애널리스트는 “여기에는 노출 평가, 침투 테스트와 같은 정기적인 검증, 위협을 실시간으로 탐지하고 대응하기 위한 지속적인 모니터링이 포함된다”라고 설명했다.

한편 이러한 사전 예방적 조치는 종종 조직의 경계를 넘어 공급업체와 파트너로까지 확장된다고 FS-ISAC의 글로벌 비즈니스 복원력 담당 이사인 카메론 디커는 덧붙였다. 그는 “서비스 제공업체와 소프트웨어 공급망을 심층적으로 분석하여 보안 위험이 어디에 있는지 파악하고 그에 따른 사고 대응 계획을 수립하는 것이다”라고 말했다.

소프트웨어 공급망: 회복탄력성 방정식의 중요한 부분
트러스트웨이브의 다니엘스가 지적했듯이 사이버 회복탄력성에서 소프트웨어 공급망 분석은 포함되어야 한다. 그럼에도 불구하고 이에 대한 논의는 아직 부족하다. 그는 “공급망에 대한 철저한 침투 테스트와 위험 평가를 수행하고, 공급업체에 대한 사이버 보안 요구 사항을 구현하고, 공급망 중단이 운영에 미치는 영향을 완화하기 위한 비상 계획을 수립해야 한다”라고 말했다.

가이드포인트 보안의 비즈니스 연속성 팀장 바비 윌리엄스는 보안 리더의 책임을 언급했다. 보안 리더가 잠재적 공급업체, 특히 회사의 사설 네트워크에 연결할 공급업체를 검토할 때 계약 또는 마스터 서비스 계약(MSA)에 사이버 및 비즈니스 전반의 복원력에 대해 매우 구체적으로 명시되어 있는지 확인해야 한다는 주문이다.

그는 “공급업체가 정의된 비즈니스 연속성, 재해 복구 및 정보 보안 프로그램에 대해 계약상 책임을 지도록 하는 것이다. 공급업체의 복원력을 입증하기 위한 정의된 테스트 프로그램이 계약서에 포함되어야 하며, 회사가 테스트 결과를 검토할 수 있어야 한다”라고 말했다.

아울러 공급업체가 소프트웨어 서비스나 애플리케이션을 제공하는 경우, 계약서에 정의된 복구 시간 목표(RTO)와 정의된 복구 지점 목표(RPO)가 있어야 한다. 윌리엄스는 “공급업체가 테스트를 통해 RTO와 RPO를 입증할 수 있어야 한다. 또한 공급업체는 고객의 데이터를 백업하고 데이터 보존 일정을 제공하는 방법을 계약서에 명시해야 한다”라며, 데이터 미러링이 고객 데이터 백업을 대체하는 것으로 받아들여져서는 안 된다고 덧붙였다.

사이버맥스의 아론 샤하 CISO 또한 “최근 소프트웨어 공급망과 관련한 사이버 공격 사례가 몇 건 있었다. 계속해서 중요한 감독이 필요한 분야다”라고 주의를 촉구했다.
복잡성을 더하는 AI
생성형 AI를 활용한 공격 가능성이 부상하면서 조직의 복원력 전략은 더욱 복잡해졌다. 생성형 AI는 숙련도가 낮은 개인에게도 복잡한 사이버 공격을 실행할 수 있는 수단을 제공하기 때문다. 그 결과 공격의 빈도와 심각도가 증가할 수 있다.

애석하게도 생성형 AI 도구는 방어 측면에서는 그다지 효과적이지 않다. 주로 보조적인 역할로 사용된다. 단 좀더 넓은 범위의 AI 기술들이 위협 탐지 및 분석, 이상 징후 탐지, 행동 모니터링, 자동화된 대응 시스템, 위험 관리와 코드 검토에 사용된다. 액센츄어 시큐리티의 발레리 아벤드는 “AI 알고리즘의 경우 방대한 양의 데이터를 신속하게 분석하고, 패턴을 식별하며, 인간 운영자가 알아차리지 못할 수 있는 잠재적 위협이나 취약점을 탐지할 수 있다”라고 말했다. 

그러나 현재 사이버 보안에서 AI는 인간의 감독을 대체하기보다는 보조 수단으로 남아 있다. 코사크 랩스의 보안 엔지니어링 책임자인 아나스타시아 보이토바는 “AI가 특정 도구적 측면을 지원할 수는 있지만, 현 단계에서는 위험 관리에 대한 AI의 기여도가 제한적이다”라며 “보안 전문가를 위한 도구이지 보안 전문가 그 자체는 아니다”라고 말했다. 

래피드포트의 파리마니도 이에 동의하며, AI 도구는 복원 계획을 수립하고 전달하는 데 확실히 도움이 될 수 있지만 자동 조종 장치에 넣고 시스템을 보호한다고 가정할 만큼 신뢰할 수 있는 것은 아니라고 덧붙였다. 

하지만 AI 기반 도구가 실시간으로 위협을 탐지하고 대응하는 능력이 향상됨에 따라 사이버 보안 복원력에서 AI의 역할은 향후 몇 년 동안 더욱 확대될 가능성이 있다. 또한 AI는 사용자 인증 및 액세스 제어 메커니즘을 강화하고 중요 인프라 시스템의 전반적인 복원력을 개선하는 데 활용될 가능성이 높다고 아벤드는 전했다.

규제 또한 복잡성 더하는 요인
전 세계적으로 변화하는 규제 환경으로 인해 보안 리더가 준수해야 하는 모든 규정을 최신 상태로 유지하는 것이 어려울 수 있다. 하지만 이러한 법적 요건을 준수하면 위험을 완화하고 조직의 평판을 유지하는 데 도움이 된다.

비숍 폭스의 레드팀 실무 책임자인 트레빈 에지워스는 “조직이 기업 리스크 관리 노력에 더 집중하고 복원력 전략에 대한 책임감을 높이는 데 규정이 도움될 수 있다”라며, 이러한 규정을 준수하면 침해 및 보안 관행에 대한 투명성을 높일 수 있다고 전했다.

실제로 유럽연합의 과 미국 증권거래위원회(SEC)의 관련 규정은 기업이 사이버 복원력에 접근하는 방식을 바꾸고 있다. 2025년 1월 17일부터 시행되는 DORA는 은행, 보험사, 투자 회사 등 금융 기관의 보안을 강화하기 위해 고안됐다. EU 지역 외부의 금융 기관 및 정보 통신 기술 서비스 제공업체도 EU 기반 금융 기관에 중요한 기술 서비스를 제공하는 경우 DORA를 준수해야 한다.

모건플랭클린 컨설팅의 사이버 및 운영 복원력 책임자 타마라 놀란은 “이 새 규정과 지속적인 사이버 공격에 대한 우려로 인해, 우리와 같은 자문 회사들은 IT 복원력, 특히 비즈니스 프로세스와 지원 애플리케이션 및 인프라 간의 연결에 더 많은 시간을 투자하고 있다”라고 말했다. 

그녀는 이어 기업들이 단순히 DORA와 같은 규정에서 요구하는 상자에 체크하는 것을 넘어 “규정은 DORA 요건을 충족하기 전에 기본적인 운영 복원력 요소가 이미 갖추어져 있다고 가정하기 때문에 복원력의 모든 측면을 포괄하기 위해 노력해야 한다”라고 조언했다.

미국 시장에서만 활동하는 기업일지라도 경계를 늦추지 말고 진화하는 규정을 준수해야 한다. 2023년 7월, 미국 증권거래위원회(SEC)는 상장 기업에 대한 새로운 보고 요건을 도입했다. 이 규정은 중대한 사이버 보안 사고에 대한 8-K 공개를 의무화하고, 기업이 매년 사이버 보안 위험 관리, 전략 및 거버넌스에 관한 중요한 정보를 제공하도록 요구한다.

이러한 요건을 충족하기 위해 대부분의 상장 기업은 사고를 평가, 평가 및 대응할 수 있는 시스템을 갖추기 위해 움직이고 있다. 놀린은 “그러나 안타깝게도 많은 경우 이러한 프로세스는 운영 복원력 프레임워크 외부에 구축되어 있어 회사의 위기 관리 프로그램과 통합되지 않는다”라고 지적했다. 

그녀는 조직이 법률 및 규제 프레임워크에 적극적으로 참여하고 이를 사이버 복원력 전략에 통합할 필요가 있다고 주문하며, 이러한 접근 방식이 벌금을 최소화하고 전반적인 사이버 복원력 태세를 강화하는 데 도움이 될 수 있다고 강조했다.

가트너의 자오에 따르면 DORA와 SEC가 발표한 규정은 전 세계에 영향을 미치는 양상이다. 그녀는 “전 세계에서 활동하는 다국적 기업은 여러 규제 프레임워크를 준수해야 한다. 즉 한 관할권의 규제 변화가 국경을 넘어 영향을 미치는 경우가 많다. 이로 인해 조직은 여러 시장에 걸쳐 사이버 복원력 전략을 조화시켜 일관된 보안 관행과 다양한 규정 준수를 보장해야 할 필요성이 생겼다”라고 말했다.

규정은 사이버 복원력의 중요성에 대한 인식을 높이는 데도 중요한 역할을 했다. 액센츄어 시큐리티의 아벤드에 따르면 이러한 규제는 기업이 보안 태세와 이사회의 감독 및 거버넌스를 평가하도록 권장한다. “그러나 우리는 이러한 위험에 대한 CEO, 최고 경영진, 이사회의 인식이 규제 때문만이 아니라 진정한 비즈니스 관심사에 의해 높아지고 있음을 목격하고 있다”라고 그녀는 설명했다.

규정이 도움이 되기는 하지만 규정 준수만으로 반드시 회복탄력성을 확보할 수 있는 것은 아니다. “조직은 강력한 규정 준수 태세가 곧 강력한 보안 태세와 같다는 잘못된 안전감에 빠질 위험이 있다”라고 비숍 폭스의 에지워스는 지적했다.

사람의 중요성
많은 조직이 사이버 복원력을 위한 기술 솔루션에 투자하지만, 적절한 인력을 배치하고 보안 인식 문화를 조성하는 것의 중요성을 간과하는 경우가 많다. 사이버맥스의 샤하는 보안 리더가 진화하는 인재 요구 사항을 충족하기 위해 강력하고 다양한 소싱 전략을 개발해야 한다고 주문했다.

또한 피싱 이메일과 비밀번호 보안에 대한 기본적인 인식을 넘어서는 교육 프로그램에도 투자해야 한다고 트러스트웨이브의 다니엘스는 말했다.

“사이버 위협에 대한 심층적인 이해, 데이터 보호의 중요성, 사이버 복원력 유지를 위한 모든 사람의 역할을 교육에 포함시켜야 한다”라고 그는 덧붙였다.

연습과 위기 시뮬레이션도 도움이 된다. 가이드포인트의 윌리엄스는 “계획과 프로세스가 적절하고 최신 상태로 유지된다면 이러한 블랙 스완 이벤트에 자신 있게 대처할 수 있다”라고 말했다.

이러한 훈련은 정기적으로 실시해야 하며 난이도가 높아야 한다. 팀, 정책 및 절차의 한계를 뛰어넘는 도전적인 훈련을 수행해야만 조직은 자신의 한계와 개선이 필요한 부분을 파악할 수 있다. FS-ISAC의 디커는 “실제 사고가 대응 계획을 처음으로 테스트하는 경우여서는 안 된다”라고 말했다.

dl-ciokorea@foundryco.com