보안 및 IT분야의 최신 뉴스를 확인해보세요!

보안 뉴스

보안 및 IT분야의 최신 뉴스를 빠르고 정확하게 전달해드립니다.

보안 사고 전부는 못 막지만 10가지만 따라 해도 크게 줄인다

사이버 보안 사고는 기업 평판, 가치, 일자리 등에 큰 손실 낼 수 있어

사고 미연에 막을 수 있는 방법부터 사고 발생 이후에도 참고할 절차 정리

사이버 공격이 연일 헤드라인을 장식하고 있지만 기업은 시스템과 데이터를 여전히 취약한 상태로 방치하는 중이다. 사이버 사고가 나면 평판부터 기업 가치, 일자리에 손실이 발생할 뿐만 아니라 규제 당국으로부터 벌금을 맞거나 민사 소송을 당할 수도 있다. 카스퍼스키 랩과 포네몬에 따르면 90%의 기업이 사이버 공격을 경험했으며, 각 공격에 대해 평균 40억 원(360만 달러)을 지출한 것으로 나타났다. 포네몬은 27.7%의 기업이 향후 2년 안에 다시 데이터 침해를 겪게 될 것이라고 추산했다.

[이미지=iclickart]


모든 사이버 사고를 막는 건 불가능하다. 그러나 데이터 관리 및 정보 거버넌스를 보안과 결합한 ‘통합 거버넌스’ 접근법을 사용하면 방어를 강력하게 구축하기 위한 기업 문화를 조성하는 데 도움이 될 것이다. 사이버 보안 문화를 조성하려는 기업이 참고할 수 있는 10가지 절차를 다음과 같이 정리했다.

1. 모든 사람을 논의에 포함시켜라
고위급 경영진은 필수로 참여해야 한다. 여기에다 정보 기술, 정보 보안, 법률, 지식 관리, 컴플라이언스, 프라이버시, 금융, 커뮤니케이션, 인사 부서까지 포함시켜라. 참여도가 떨어진다는 건 보안을 위한 노력을 유지하는 데 필요한 투자나 협력이 떨어진다는 것과 같다.

2. 피해를 자초하지 마라
필요한 기술, 트레이닝, 비즈니스 절차 등에 투자해라. 사고 대응·회복·벌금·소송부터 평판·사업·기업 가치에 입은 손실까지 장기적으로 더 큰 비용을 치르는 걸 피하기 위해서다. 만약 사고가 터졌다면 투명하게 공개하고 사법 당국에 보고하라. 결과를 두려워하면 아무런 행동도 취하지 않게 될 것이고 사이버 사건과 관련된 여러 해악을 더 악화시키게 될 것이다.

3. 법만 잘 지키면 된다는 마인드를 버려라
컴플라이언스는 필수적이지만 충분하지는 않다. 사이버 위험을 줄이고 사건 대응을 향상시키는 데 있어서 말이다. 사이버 보안에 대한 컴플라이언스는 피해자를 만들지 않기 위한 것이지 기업 내부의 잘잘못을 따지려는 것은 아니다.

4. 정보 거버넌스의 모범 경영(best practice) 사례를 따라라
알려지지 않은 것을 보호할 방법은 없다. 데이터를 보호하고 데이터 침해를 성공적으로 관리하기 위해서 기업은 자사의 데이터, 데이터의 위치, 데이터의 가치, 접근권을 가진 사용자, 적용할 수 있는 법적인 의무에는 무엇이 있는지 반드시 확인해야 한다. 이런 것들을 확인함으로써 법적인 컴플라이언스를 확실하게 밝혀둘 수 있고, 필요치 않은 데이터는 삭제할 수도 있다. ‘방어를 위한 폐기(Defensible disposal)’는 진짜 가치 있는 것들을 가려내고 보호하는 걸 훨씬 수월하게 만든다. 정보 거버넌스의 모범 경영 사례는 CGOC(Compliance, Governance and Oversight Counsel)가 개발한 최신 IGPMM(Information Governance Process Maturity Model)과 IGRM(Information Governance Reference Model)에 성문화돼있다. 정보 거버넌스는 끊임없이 성숙해가는 과정이지, 이것 아니면 저것 하는 식으로 처리할 문제가 아니다.

5. 정보 자원을 활용하라
사이버 보안에 대해 배우고 기업의 위험 수준을 개선하기 위한 수많은 자원이 존재한다. 미국 연방수사국(FBI)과 비밀경호국(Secret Service), 국토안보부(DHS), 그리고 주정부와 지방정부에서 후원하는 사이버 아웃리치(outreach)나 정보 공유 프로그램에 참여할 수도 있다. 정보공유분석센터(ISAC)와 정보공유분석조직(ISAO) 등 업계 모임에 참여하는 것도 고려해보자.

6. 내부자 위협에 대응하라
너무 많은 기업이 내부자 위협을 형식적으로 다루는 선에서 그치고 있다. 그런 프로그램을 듣는 직원들은 자는 시간으로 보내거나 아예 참석하지 않기도 한다. 내부자 위협은 의도적이든 의도적이지 않든 경영진의 최고 걱정거리에 올라야 하고 직원 교육의 필수적인 부분으로 구축돼야 한다. 참고로, 의도적인 내부자 위협은 민감한 정보를 훔치거나 시스템에 해를 가하는 직원을 말하고, 의도적이지 않은 내부자 위협은 악성 링크나 첨부 파일을 클릭하는 직원들을 말한다. 물론 직원 교육만으로는 보안을 유지하기에 충분치 않다. 이런 교육이 가져야 할 현실적인 목표는 사이버 위험을 제거하는 것이 아니라 줄이는 것이 돼야 한다.

7. 제3자 위협을 관리하라
기업은 이제 거대한 사슬의 일부분으로 존재한다. 그 사슬은 기술적으로 상호 의존적인 컴퓨터 사용자들이 구성한 전 세계적인 사슬이다. 민감한 데이터는 지속적으로 움직이고, 어떤 컴퓨터든 연결된 다른 컴퓨터를 익스플로잇하는 데 사용될 수 있다. 그러므로 기업은 계약서를 쓸 때, 민감한 정보를 주고받거나 보호하는 것과 관련된 모든 권리와 의무를 명시해야만 한다. 사이버 사고가 발생했을 때 대응을 위해 어떻게 협력할 것이냐는 부분도 포함해서 말이다. 이런 일을 지원하는 기술적인 솔루션이 현재 나와 있기도 하다.

8. 엔드포인트를 제어하라
기기를 제어할 수만 있다면 민감한 데이터도 보호할 수 있다. 공격자는 무엇이 됐든 기기를 통해 데이터에 접근하기 때문이다. 기업은 네트워크에 연결된 기기와 민감한 데이터에 접근하는 기기를 모두 관리할 수 있어야만 한다. 여기에는 노트북, 태블릿PC, 휴대전화, 웨어러블 기기, 사물인터넷 기기, 휴대용 스토리지 매체, 클라우드 계정도 포함된다. 기기를 종류별로 제어해야 할 뿐만 아니라 사용한 애플리케이션, 접근한 데이터를 포함해 누가 무엇에 접근할 수 있는지도 제어해야 한다. 모바일 기기 관리 솔루션을 사용하면 기업이 민감한 데이터를 어디에 위치시키고 모니터하고 삭제해야 하는지 까지도 해결할 수 있다.

9. 가장 최근에 나온 보안 모범 경영 사례를 적용하라
사이버 보안 모범 경영 사례와 툴을 적용하는 건 필수적이다. 이런 모범 경영 사례에는 다중 인증, 암호화, 망 분리 등이 있을 수 있고, 툴에는 안티 바이러스, 안티 스팸, 안티 피싱, 데이터 손실 방지, 침입 탐지 및 차단 소프트웨어 등이 있다. 그러나 적절하게 정보 거버넌스를 실천하지 않으면서 이런 것들만 활용하는 것은 이곳저곳에 보안 취약점을 뻥 뚫어놓기만 할 것이다.

10. 사이버 보안 사고가 끝났다고 절대로 추측하지 마라
복구 절차가 시작되자마자 사이버 사고가 격리됐다거나 ‘끝났다’고 추측하는 것은 위험하다. 최초의 공격 매개는 무엇이었나? 어떤 게 침해됐나? 모든 취약점에 대해 조치가 취해졌는가? 공격자들이 아직 우리 네트워크 안에 있지는 않은가? 누가 누구를 공격했고 왜 공격했나? 공격이 다른 방식으로도 벌어질 수도 있었나? 어떤 공격들이 일어날 수 있었나? 이번 사건을 우리 기업의 사이버 보안 역사와 현재 수준에서 바라볼 때 어떻게 평가할 수 있나? 과학 수사는 반드시 법적인 특권 하에 철저하고 객관적으로 진행돼야 한다. 외부로부터의 공격을 조사하는 것은 사건 대응 전문가들을 외부에서 초청해야 한다는 것을 의미한다. 조사를 제대로 하지 못하면 다음에 사건이 터졌을 땐 기술, 평판, 법률의 차원에서 더 큰 피해를 입게 될 것이다.