[넋두리 3] 11. 정보보안과 위기관리
미래의 위험까지 예측하는 것
예전에는 보지 못했으나 최근 들어 자주 보게 되는 기업 임원직책에 CRO라는 것이 있다. 풀어쓰면 Chief Risk Officer, 우리말로는 최고위기관리자(또는 최고위험관리자)라고 하며, 잠재적인 경영위험을 파악, 측정하고 이에 대한 계획을 세워 대비하도록 함으로써 기업이 안전하게 운영될 수 있도록 관리하는 임원을 뜻한다.
CRO를 임명하여 운영하는 기업이 아직 많은 편은 아니지만, 위기관리를 전담하는 임원을 임명한다는 것만으로도 기업 운영 전반에 걸쳐 노출 혹은 잠재된 다양한 위험을 사전에 파악하고 관리하는 것이 중요하게 생각되는 상황이라는 것만은 분명하다.
그런데 이러한 CRO의 업무는 주로 지진, 화재 등 물리적 재해 관련된 안전과 근로자의 부상 같은 산업안전, 기업 경영 과정에서 발생할 수 있는 재무적 위험 등의 분야에 치중되어 있고, 정보보안 분야의 위험은 대체로 보안조직의 책임이라고 판단하고 있는 듯하다. 물론 정보보안조직이 존재한다면 IT위협에 대한 관리의 책임은 정보보안조직이 우선 담당하는 것이 맞다. 하지만 정보보안 영역에서도 CRO 조직에서 관리해야 하는 위기(위험)가 존재하는데 정성적 위험들이 그것이다.
정보보안에도 CRO 조직의 위기관리와 같은 개념의 위험관리방법론이란 것이 있다. 해커나 내부자를 통해 발생가능한 위협과 기업 내부에 존재하는 취약점, 사고의 발생가능성 등을 상호 조합하여 향후 기업이 직면할 수 있는 침해사고 위험을 사전에 분석하여 대비하는 것을 목적으로 한다.
정보보안 위험관리방법론의 큰 단점은 탐지 가능하고 확인된 위협과 실제 존재하는 취약점을 대상으로 위험을 식별하기 때문에 그 위험의 범위가 대체로 확인 가능한 기술적 영역에 제한된다는 것이다. 추론, 식견, 상상력이라는 정성적 판단에 기반하여 발굴된 잠재위기보다는 구체적이고 수치화 가능한 정량적 판단에 기반해 위기를 관리하는 것이 유리하기 때문이다. 그러므로 정보보안 분야 정성적 위험에 대해서는 CRO 조직에서 파악하고 관리할 필요가 있다. 단, 막연히 정성적 위험이라고 하면 정보보안 분야에만 한정한다고 해도 범위가 넓고 대상이 많을 수 있는 단점이 생기므로 위기 수준(위험도)이 높아 기업 경영에 큰 영향을 끼칠 수 있는 잠재위험으로 제한할 필요는 있다.
CRO 조직의 위기관리가 필요한 보안위협의 정성적 사례 중 하나로 "패스워드리스 도입의 시작"을 들 수 있다.
최근 발생하는 해킹을 통한 침해사고의 대부분은 크리덴셜스터핑(계정대입) 공격에 의해 발생하고 있다. 이미 유출된 인증정보에 기반하여 공격이 이루어지므로 성공 가능성이 높고, 실제 인증정보를 통해 시도되는 공격이어서 보안설루션을 통한 탐지/차단도 어려운 특징을 가지고 있다. 여기까지만 살펴보면 보안조직이 담당할 기술적/전문적 영역으로 보이며, 실제 기술적 혹은 전문적인 대책 부분은 보안조직이 담당해야 할 역할이기도 하다.
그런데 최근 국내에서 크리덴셜스터핑 공격에 대한 근본적 대책으로 "패스워드리스"의 전면 도입을 선언한 기업("A기업"이라 하자)이 나타났다. 아직 아무도 시도하지 않는 방식을 과감히 시도한 "선도기업"이 나타난 것이다. 관련 시장에 묵직한 울림을 주는 "선도기업"이 나타난 시점부터가 기업의 전사적인 경영관리 차원에서 CRO 조직이 참여하여 정성적 판단을 하는 것이 필요한 부분이다.
A기업을 포함해 국내를 대표하는 쇼핑몰이 15개가 있다고 가정해 보자. 현재 15개 쇼핑몰 모두 해커의 크리덴셜스터핑 공격에 시달리고 있다. 그런데 과감히 A기업이 "패스워드리스"의 도입을 선언하고 변화하면서 기존 크리덴셜스터핑 공격 대상에서 열외가 되어버린다. 이제 15개의 기업 중 14개의 기업이 남아있고, 해커는 이렇게 말할 것이다.
"나에게는 아직 공격 가능한 14개의 쇼핑몰이 남아 있습니다"
A기업의 도입 경과를 지켜보던 14개의 기업들 중 머지않아 일부(4개로 가정)가 역시 "패스워드리스"의 도입을 선언하고 크리덴셜스터핑 공격 대상에서 열외가 된다. 5개의 기업이 "선두그룹"을 형성한 것이다. 이제 15개의 기업 중 10개의 기업이 남아있고 해커는 이렇게 말할 것이다.
"나에게는 아직 공격 가능한 10개의 쇼핑몰이 남아 있습니다"
아직 크리덴셜스터핑 공격의 효과는 유효하므로 이제 해커의 공격은 남은 10개의 쇼핑몰에 집중되게 된다. 또 머지않아 도입을 망설이며 남아있던 10개의 기업 중 일부(5개로 가정)가 역시 "패스워드리스"의 도입을 선언하고 크리덴셜스터핑 공격 대상에서 열외가 된다. 5개의 기업이 "중위그룹"을 형성한 것이다. 이제 예산 등을 핑계로 차일피일 도입을 망설이던 5개의 기업만 남았고, 해커는 이렇게 말할 것이다.
"나에게는 아직 공격 가능한 5개의 쇼핑몰이 남아 있습니다"
여전히 크리덴셜스터핑 공격의 효과는 유효하므로 이제 해커의 공격은 남은 5개의 쇼핑몰에 집중되게 된다. 잦은 공격의 포화에 노출된 남은 5개의 기업도 결국은 울며 겨자 먹기로 "패스워드리스"의 도입을 선언하고 크리덴셜스터핑 공격 대상에서 열외가 된다. 남은 5개의 기업이 "후발그룹"을 형성한 것이다. 이제 더 이상 크리덴셜스터핑 공격의 약발은 먹히지 않게 되고 해커는 새로운 공격방식을 개발해야만 한다.
다른 신기술의 전파과정과 마찬가지로 이러한 전개과정은 "선도기업"이 나타났을 때 이미 결정된 것이나 같다. 그리고 이 과정에서 CRO의 역할이 필요하다. 자신이 속한 기업이 "선두그룹", "중위그룹", "후발그룹" 중 어디에 속할지를 결정해야 하기 때문이다. 어느 그룹에 속하는가에 따라 기업이 감당해야 할 위험의 규모가 달라지며, 결정된 결과가 미래 기업경영 및 매출에 큰 영향을 미칠 수도 있다.
혹자는 말할 것이다. IT영역이라면 CISO(혹은 CPO)가 역할을 해도 되지 않냐고. 물론 가능하고 그럴 수 있기를 바란다. 다만, 안타깝게도 아직 확인되지 않아 증명할 수 없는 미래위기에 대한 대비책을 펼치기에는 대부분 CISO들의 기업 내 권한과 입지는 약하다. 이것은 CISO에게 예측할 수 있는 지식과 식견이 있는가의 질문인 동시에 그 뜻을 능히 시러펼 권한이 있는가의 질문이기도 한 것이다.
어쩌면 가까운 미래에 "후발그룹"에 속한(또는 "후발그룹"에도 속하지 못한) 어느 기업이 해커의 공격에 시달리다 만신창이가 된 가엽고 힘없는 정보보안조직을 책하는 경우를 보게 될지도 모르겠다.