A new posture for cybersecurity
사이버 위험이 계속 가중되면서 현재의 접근 방식은 통하지 않고 있습니다. 사이버 리스크 관리에는 근본적인 점검이 필요합니다.
통상적으로 금융 회사와 정부기관이 사이버 공격의 주요 목표였습니다. 오늘날, 모든 기업이 점점 더 많은 비즈니스를 인터넷에 연결하면서, 이러한 위협은 이제 모든 조직, 기업으로 보편화되었습니다. 지난 세 가지 사건으로 인해 파괴된 대혼란을 생각해 보십시오. 2011년부터 2014년까지, 캐나다, 유럽, 미국의 에너지 회사들은 사이비간첩 단체인 드래곤플라이의 공격을 받았습니다. 2017년 5월, WannaCry 랜섬웨어는 통신, 의료 및 물류 분야의 공공 및 민간 조직을 인질로 잡았습니다. 또한 2017년에 NotPetya 랜섬웨어는 다양한 산업의 주요 유럽 회사들을 공격했습니다. 2018년 멜트다운과 스펙터는 아마도 가장 큰 사이버 위협으로 노출되어 취약점이 소프트웨어뿐만 아니라 하드웨어에도 있다는 것을 보여주었습니다.
그렇다면 이제 리스크 관리자가 사이버 위험을 비즈니스에 가장 큰 위협으로 간주해야 하는 것은 당연합니다. 맥킨지(McKinsey) 조사에 따르면, 전문가의 75%가 사이버 보안을 최우선 과제로 꼽고 있다고 합니다. 이는 은행이나 자동차와 같은 산업에서도 마찬가지입니다. 최근 몇 년 사이에 나타난 다양하고 엄청난 위험에 사로잡혀 있다고 생각할 수 있습니다.
하지만 인식이 형성되는 동안 혼란도 마찬가지이며, 경영진들은 이러한 새로운 도전과제에서 갈피를 잡지 못하고 있습니다. 아직 16%만이 그들의 회사가 사이버 위험에 대처할 준비가 잘 되어 있다고 말했습니다. 대부분의 산업이 인공지능, 애널리틱스(데이터분석), 사물 인터넷(IoT)과 같은 신기술에 의존하고 있기 때문에 위협은 더욱 심각해지고 있습니다. 이 기술은 새로운 종류의 혜택을 가져다 줄 뿐만 아니라 기업과 고객이 새로운 종류의 사이버 위험에 노출시켜 새로운 국면에 도달하게 될 것입니다.
그렇다면 경영진은 어떻게 해야 할까요? 침착하면서 하던 일을 계속 하면 되나요? 그건 선택사항이 아닙니다. 위협은 너무 심각하며, 위협이 발생하는 기본 벡터(underlying vectors, 크기와 방향으로 정해지는 양, 또는 진로)가 너무 빠르게 변화하고 있습니다. 사이버 공격에 대한 회복탄력성을 높이고 유지하기 위해 기업은 포괄적이고 전략적이며 지속적인 새로운 방식을 채택해야 합니다. 업계 최고의 기업들과의 업무와 주요 전문가들과의 대화에서 저자들은 기업에 과도한 제한을 가하지 않고서도 사이버 위험으로부터 기업을 보호할 수 있는 새로운 접근 방식이 정착될 수 있다는 것을 보았습니다.
글로벌 보험 회사의 사례에서 잠재력을 발견했습니다. 포괄적인 사이버 보안 프로그램을 위해 7천만 달러의 예산을 책정했지만 1년 후, 계획된 조치 중 극히 일부만 실행되었습니다. 사업부는 이메일 암호화 및 멀티팩터 인증과 같은 보안 조치를 희생하면서 영업 캠페인 및 일부 신규 보고서와 같이 선호하는 변경 사항을 우선 순위에 두도록 IT 부서에 압력을 가했습니다. 사업부는 또한 데이터 유실 방지를 위한 추가적인 노력과 중요한 영역에서 타사 공급업체의 사용에 대한 제한과 같은 사이버 보안 조치에 따른 제한 사항도 문제를 삼았습니다.
사이버 보안 프로그램을 정상 궤도에 올리기 위해 회사는 한 발 물러서서 가장 큰 "왕관 보석(crown jewels, 가장 중요한 데이터 자산)"을 식별했습니다. 또한 본사 총괄 팀이 기업 전체의 모든 사이버 위험 노력을 감독할 수 있는 권한을 부여하는 사이버 보안을 위한 새로운 거버넌스 모델을 수립했습니다. 비즈니스 소유자가 분석에 참여했기 때문에 필요한 이니셔티브를 따뜻하게 환영했습니다. Crown-jewels 프로그램은 구매를 늘리고 구현 속도를 높였을 뿐만 아니라 원래 계획에서 상당한 비용 절감으로 이어졌습니다.
바퀴를 돌리다 Spinning their wheels
수년 간의 토론과 논쟁에도 불구하고, 사이버 공격은 계속되고 심지어 증폭되고 있습니다. 대부분의 기업은 위협을 완전히 이해하지 못하고 항상 가능한 한 잘 준비하지 못하고 있습니다. 저자들도 모든 해답을 가지고 있다고 주장하는 것은 아니지만, 이러한 문제와 함정의 재점검이 기업들이 사이버 위험에 대한 현재의 자세를 교정하는 데 도움이 되기를 바랍니다.
더 많은 위협 그리고 더 강력해지는 위협 More threats, more intense
미국 정부는 사이버 보안을 "국가로서 우리가 직면하고 있는 가장 심각한 경제 및 국가 안보 과제 중 하나"라고 지적했습니다. 전세계적으로 사이버 공격의 위협은 수와 강도가 증가하고 있습니다. 이러한 수치를 생각해 보십시오. 일부 기업은 사이버 보안에 최대 5억 달러를 투자하고 있으며, 전세계적으로 매년 1,000억 줄 이상의 코드가 생성되고 있습니다. 많은 기업들이 사소한 것부터 심각한 것까지 매달 수천 건의 공격을 보고하고 있습니다. 매년 수십억 개의 데이터 세트가 침해되고 유출됩니다. 매년, 해커들은 약 1억 2천만 개의 새로운 변종 악성코드를 만들어냅니다. 일부 기업에서는 2,000명이 CISO(chief information security officer, 최고 정보 보안 책임자)에게 보고하거나 훨씬 더 큰 팀을 보유한 기업은 최고 보안 책임자(chief security officer, CSO)에게 보고합니다.
역설적이게도, NotPetya와 WannaCry와 같은 사이버 공격에 희생양이 된 대부분의 회사들은 공격 당시 잘 보호되어 있었다고 말했을 것입니다. 기업이 주요 타깃이 아닐 경우에도 대상이 지정되지 않은 악성 프로그램과 널리 사용되는 소프트웨어 및 중요 인프라에 대한 공격으로 인해 부수적인 피해를 입을 위험이 있습니다. 그리고 모든 새로운 방어에도 불구하고 기업들은 여전히 은밀한 공격을 탐지하는 데 평균 99일이 걸립니다. 발각되지 않은 공격자가 그 시간에 입힐 수 있는 피해를 상상해 보세요.
복잡성이 증가함에 따라 기업은 더욱 취약해지고 Growing complexity makes companies more vulnerable
해커들이 사이버 공격 기술을 연마하는 동안, 비즈니스는 디지털화되고 있으며, 이로 인해 기업은 사이버 공격에 더욱 취약해집니다. 신제품 설계에서 유통 네트워크 및 고객 데이터에 이르는 다양한 자산이 위험에 처해 있습니다. 디지털 가치 사슬은 또한 수천 명의 사용자, 수많은 애플리케이션, 수많은 서버, 워크스테이션 및 기타 장치를 연결하는 디지털 연결의 단순성을 사용하여 점점 더 복잡해지고 있습니다.
기업은 최신 방화벽과 최신 악성 프로그램 탐지 소프트웨어를 보유하고 있을 수 있습니다. 또한 보안 운영 및 사고 대응 프로세스를 적절하게 조정했을 수 있습니다. 하지만 기업 가치 사슬의 가장 약한 고리일 수 있는 제3자 공급업체(third-party suppliers)는 어떨까요? 아니면 회사의 지적 재산권(IP)에 액세스할 수 있는 유명한 디자인 스튜디오는 어떨까요? 고객이 기밀 유지 계약(nondisclosure agreement)에 서명했을 수도 있지만, 기업이 사이버 보안에 성공했다고 확신할 수 있을까요? 사이버 공격자의 진입 지점은 기업 워크샵에서 사진을 찍을 때 사용하는 Wi-Fi 지원 카메라만큼이나 매우 사소한 것일 수 있습니다. 최근 언론사의 IP 도용 사례 중 일부는 사이버 보안이 취약한 타사 사후 운영 서비스(third-party postproduction services)를 대상으로 했습니다.
수십억 개의 새로운 진입 지점을 방어해야 Billions of new entry points to defend
과거에는 사이버 리스크가 주로 IT에 영향을 미쳤습니다. 그러나 IoT가 성장하고 더 많은 기업들이 프로덕션 시스템을 인터넷에 연결함에 따라 운영 기술(OT, operating technology)도 위협을 받고 있습니다. 취약한 장치의 수가 급격히 증가하고 있습니다. 과거에는 대기업 네트워크의 엔드 포인트가 5만~50만 개 사이였을 수 있습니다. IoT를 사용하면 시스템이 수백만 개 또는 수천만 개로 확장됩니다. 안타깝게도 이들 장치 중 다수는 보안이 불충분하거나 보안이 전혀 없는 구형 장치이며 일부는 제조업체에서 더 이상 지원하지도 않습니다. 2020년까지 IoT는 최대 300억 개의 장치로 구성될 수 있으며, 그 중 다수는 기업의 통제 밖에 있습니다. 이미 스마트 자동차, 스마트 홈 및 스마트 의류는 분산 서비스 거부 공격을 위해 이들을 악용할 수 있는 악성 프로그램이 발생하기 쉽습니다. 2020년까지, 모든 인터넷 연결의 46%가 인간 운영자 없이 기계 대 기계로 연결될 것이고, 이 숫자는 계속 증가할 것입니다. 물론 수십억 개의 칩이 멜트다운과 스펙터 공격에 취약한 것으로 밝혀졌습니다. 이 취약점들은 해결되어야 합니다.
매우 흔한 함정 Common pitfalls
기업의 사이버 보안은 사이버 리스크의 엄청난 변화 속도를 따라잡기 위해 고군분투하고 있습니다. 다음 세 가지 일반적인 문제를 살펴 보겠습니다.
문제를 IT부서에 위임 Delegating the problem to IT : 많은 경영진이 사이버 위험을 기술적인 문제로 간주하여 IT 부서에 위임해 버립니다. 사이버 보안이 많은 기술적 문제를 야기한다는 점을 감안할 때 이는 자연스러운 반응입니다. 그러나 비즈니스를 보호하는 것은 서버시스템을 보호하는 것과는 다릅니다. 비즈니스를 보호하려면 비즈니스 우선 순위, 비즈니스 모델 및 가치 사슬, 기업의 리스크 문화, 역할, 책임 및 거버넌스에서 파생된 리스크에 대한 인식이 필요합니다. IT만으로는 사이버 보안을 해결할 수 없습니다.
문제를 해결하기 위해 자원을 투여 Throwing resources at the problem : 회사들은 만약 유명한 해커들을 고용하여 방어한다면 위협이 사라질 것이라고 가정하고 실제로 그렇게 노력하는 경우가 있습니다. 하지만 아무리 뛰어난 해커라도 복잡한 네트워크 내의 수백만 대의 장치에 대한 수만 건의 공격을 예측하고 막을 수는 없습니다.
문제를 규정 준수 문제로 처리 Treating the problem as a compliance issue : 일부 기업은 이틀에 한 번꼴로 새로운 사이버 보안 프로토콜과 체크리스트를 도입합니다. 그러나 이러한 노력은 종종 진정한 회복탄력성보다는 공식적인 규정 준수에 지나치게 초점을 맞추게 됩니다. CISO의 보안 체크리스트에 있는 모든 상자가 준수되고 있다고 체크 표시되더라도, 회사는 이전과 마찬가지로 사이버 공격에 취약할 수 있습니다.
새로운 대응 자세 A new posture
글로벌 기업이 모든 것을 아우르는 연결의 시대에 대비하기 위해 경영진은 사이버 위험에 대한 보다 적응적이고 철저하며 협력적인 접근 방식이 필요합니다(아래 그림). 세계 유수의 사이버 보안 팀이 글로벌 기업에서 사용하는 원칙은 다음과 같습니다.
사이버 위험은 IT 문제가 아니라 리스크 관리 문제로 취급되어야 Cyberrisk needs to be treated as a risk-management issue, not an IT problem : 사이버 리스크는 복잡하고 중대한 비재무적 리스크와 매우 유사합니다. 경영의 핵심 요소에는 관련 위협의 우선순위 지정, 기업의 리스크 선호도(일부 리스크 수용 의향, risk appetite (its willingness to accept some risk)) 결정, 리스크를 최소화하기 위한 이니셔티브 정의 등이 포함됩니다. 또한 기업은 투명성을 확보하고 실시간 리스크 관리를 지원하는 조직 구조와 거버넌스 접근 방식을 구축해야 합니다.
기업은 비즈니스 맥락에서 사이버 위험을 해결해야 Companies must address cyberrisk in a business context : 기술 전문가는 기본적인 비즈니스적 및 조직적 요구사항을 파악하지 않고서 문제를 해결할 수 없습니다. 기업은 기술적 솔루션, 도구에만 과도하게 투자하고, 공급업체 리스크 관리와 같은 전체 가치 사슬에 대한 복잡성 감소 및 일관된 적용 범위에 투자하지 않는 경향이 있습니다. 결과적으로 비효율적인 시스템이 됩니다.
기업은 여러 수준에서 사이버 위험을 탐색하고 완화해야 Companies must seek out and mitigate cyberrisk on many levels : 데이터, 인프라, 애플리케이션 및 인력은 다양한 위협 유형과 수준에 노출됩니다. 이러한 모든 자산을 포괄적으로 등록하는 작업은 지루하고 시간이 많이 걸립니다. 기업은 자동화된 툴을 활용하여 자산을 카탈로그화하고, 대부분의 위험에 처한 자산에 더 잘 집중해야 합니다.
적응은 필수적 Adaptation is essential : 조만간 모든 조직이 어떤 식으로든 사이버 공격의 영향을 받게 될 것입니다. 기업의 조직, 프로세스, IT, OT 및 제품은 사이버 위협이 진화함에 따라 검토 및 조정되어야 합니다. 특히 기업은 위협 수준의 변화에 대응하기 위해 비즈니스 연속성 및 위기 관리 (business-continuity and crisis-management) 구조와 프로세스를 미세 조정해야 합니다.
사이버 리스크는 포괄적이고 협력적인 거버넌스가 관리에 필요 Cyberrisk calls for comprehensive, collaborative governance : 전통적으로 많은 기업은 물리적 보안과 정보 보안, IT와 OT, 비즈니스 연속성 관리 및 데이터 보호, 사내 보안과 외부 보안을 구분합니다. 디지털 시대에 이러한 구분은 더 이상 쓸모가 없습니다. 분산된 책임 때문에 조직 전체가 위험에 처할 수 있습니다. 중복을 줄이고, 대응 속도를 높이고, 전반적인 디지털 복원력을 높이기 위해 기업은 사이버 위협의 영향을 받는 모든 비즈니스 부분, 즉 비즈니스의 모든 부분, 공급업체와 고객도 해결해야 합니다. 가장 앞선 공격으로부터 회사를 보호하는 것은 어렵거나 불가능할 수 있지만, 대부분의 일상적인 공격으로부터 체계적인 거버넌스가 최선의 보험입니다.
이러한 원칙을 고수하는 기업은 다른 기업보다 대부분의 공격에 훨씬 더 탄력적인 경향이 있습니다. 한 국가의 국방부(defense ministry)가 조직 전체에 걸쳐 사이버 복구 기능(cyberresilience)을 강화하기 시작했습니다. 시나리오 연습은 잠재적인 공격자의 사고방식과 방어 사슬의 가장 약한 고리의 개념(the weakest link in the chain of defense)에 초점을 맞춤으로써 사이버 위험 인식을 높이고 긴박감을 심어주는 데 도움이 되었습니다. 광범위한 교육 프로그램을 통해, 이러한 사고방식은 전문가에서 전문가로 기술이 전달될 수 있도록 전체 기관에 적용되었습니다. 정보국(intelligence unit)는 사이버 보안 전문지식의 거점이자 변화의 촉매 역할을 했습니다. 이와 동시에 IT 아키텍처를 검토하고 조정하여 현재 데이터 및 백업을 손상시켜 복구할 수 없는 상황을 초래하는 파괴적인 공격에 대한 복원력을 높였습니다.
또한 새로운 접근 방식을 통해 사이버 보안 리소스와 자금을 보다 효율적으로 활용할 수 있습니다. 중요한 자산에 대한 투자를 다시 집중하기만 하면 사이버 보안 비용을 최대 20% 절감할 수 있습니다. 경험상 회사, 조직 시스템의 최대 50%가 사이버 보안 측면에서 중요하지 않습니다. 또한 특정 보안 솔루션을 구현하는 데 드는 비용이 동급 기업마다 5배 정도 차이가 날 수 있다는 사실도 확인했는데, 이는 많은 기업이 상당한 효율성을 간과하고 있음을 시사합니다.
다른 이점으로는 운영 중단을 줄이는 것이 있는데, 이는 사이버 보안 이니셔티브가 종종 초래합니다. 또한 처음부터 비즈니스 소유자를 참여시킴으로써 기업은 사이버 보안 아키텍처의 설계 및 구현 속도를 크게 높일 수 있습니다.
회복탄력성을 단계별로 구축 Building resilience, step by step
성공적인 사이버 전략은 한 번에 한 단계씩 구축되어 관련 비즈니스 프로세스와 잠재적인 공격자의 사고 방식을 종합적으로 파악합니다. 세 가지 주요 단계는 자산과 리스크의 우선순위를 정하고, 통제와 프로세스를 개선하고, 효과적인 거버넌스를 구축하는 것입니다.
중요도에 따라 자산과 리스크의 우선순위를 지정 Prioritize assets and risks by criticality
기업은 먼저 자사의 사이버 리스크 기능을 살펴보고 이를 업계 벤치마크와 비교할 수 있습니다. 이러한 지식을 통해 복원력 수준에 대한 현실적인 실현 목표를 설정할 수 있습니다. 세계 최고가 되겠다는 등의 일반적인 비전은 대개 생산적이지 않습니다. 오히려 이러한 열망은 업계와 현재의 위협 수준에 맞춰져야 합니다.
거의 모든 기업이 자동화된 공격(automated attacks)과 간접적으로 업계 전반의 공격에 노출되어 있습니다. 이러한 특정 타켓이 없는 위협(unspecified threats) 외에도 다른 공격 범주의 관련성은 업계와 회사의 규모 및 구조에 따라 크게 다릅니다. 경영진은 사이버 디펜스에 투자하기 전에 가장 관련성이 높은 리스크(다음 그림 참조)를 명확히 하기 위해 노력해야 합니다.
회사의 자산으로 눈을 돌리면 기업은 무엇을 확보해야 할지 알아야 합니다. 자동화된 툴을 통해 경영진은 회사 네트워크에 연결된 모든 자산(IT, OT 및 IoT)의 인벤토리 구성을 지원할 수 있습니다. 일부 추가 작업을 통해, 이들은 회사의 급여 내에(울타리 안에) 있든, 공급업체, 고객 또는 서비스 공급업체에서 근무하던 상관없이 네트워크에 액세스할 수 있는 모든 인력의 카탈로그를 작성할 수 있습니다. 자산 목록 및 개인 등록부를 조사하여 기업이 보안 이니셔티브의 우선 순위를 정하고 공격 및 복구에 대한 사후 대응에 도움이 될 수 있습니다.
차별화된 제어 및 효과적인 프로세스를 구축 Establish differentiated controls and effective processes
모든 자산에 대한 통제 기능의 무딘(blunt) 구현은 사이버 보안 낭비 및 생산성 손실의 주요 요인입니다. 모든 자산에 동일한 제어가 필요한 것은 아닙니다. 자산이 중요할수록 통제력이 강화되어야 합니다. 강력한 제어의 예로는 중요한 자산에 액세스할 수 있는 직원의 이중 인증 및 신원 확인이 있습니다.
마찬가지로 프로세스를 보다 효과적으로 만들 수 있습니다. 규정 준수, 체크리스트에 대한 확인란, 문서 제출 등 기존의 규정 준수에 초점을 맞추던 것이 급변하는 사이버 위협 환경에 더 이상 적합하지 않습니다. 기업은 계속 증가하는 경고 및 인시던트에 대응하기 위해 자동화, 빅데이터 솔루션 및 인공지능을 수용하고 채택해야 합니다. 그리고 디지털 및 분석적 재능이 부족하고 사이버 보안 기술이 더욱 부족한 세상에서, 그들은 능력의 격차를 메우기 위해 파트너 네트워크(network of partners)를 구축해야 합니다. 기업은 지적 재산을 보호하거나 높은 리스크를 방지하기 위해 아웃소싱할 수 있는 프로세스와 사내에서 처리해야 하는 프로세스를 점검하면서 파트너 전략을 계속 검토해야 합니다.
조직을 통합하고 보편적인 거버넌스를 구축 Consolidate the organization and establish universal governance
대부분의 현재 보안 조직은 여전히 아날로그 위험(analog dangers)에 시달리고 있습니다. 그 결과 발생하는 구조, 의사결정권 및 프로세스는 사이버 위험을 처리하기에 불충분합니다. 최첨단 사이버 보안 기능/조직(다음 그림 참조)은 물리적 보안, 정보 보안, 비즈니스 연속성 및 위기관리 간의 과거(기존) 책임 분리를 연결하여 이해 충돌과 프로세스의 중복을 최소화해야 합니다. 사이버 보안 작업을 관련 업계 표준과 연계하여 다른 회사와 보다 효과적으로 협력하여 사고를 관리해야 합니다. 조직 구조는 기업 본사, 지역 팀 및 자회사 간의 책임과 관계를 명확하게 정의해야 합니다. 또한 데이터, 시스템 및 보안을 위한 강력한 아키텍처를 구축하여 "보안을 고려한 설계(security by design)"을 보장하고 장기적인 디지털 복원력(long-term digital resilience)을 구현해야 합니다.
그러나 효과적인 운영을 위해서는 강력한 사이버 위험 문화를 기반으로 한 전사적 거버넌스 구조가 필요합니다. IT, OT, IoT 및 제품의 거버넌스는 하나의 운영 모델로 통합되어야 하며, 제3자(third parties)를 포함한 전체 비즈니스 시스템을 포함해야 합니다. 이상적인 거버넌스 구조를 특징짓는 10가지 요소는 다음과 같습니다. 사이버 보안 부서는 회사 전체의 사이버 보안에 대한 책임을 져야 합니다.
이사회에 직접 보고 라인을 갖춘 경험이 풍부한 선임 CSO가 주도합니다.
전반적인 사이버 위험 예산을 확보합니다.
사이버 보안 이니셔티브 포트폴리오의 구현을 책임집니다.
이사회 및 책임 경영진에게 위험 해결 진행 상황에 대해 정기적으로 보고합니다 (이 작업은 최고 리스크 책임 임원(CRO, chief risk officer)이 담당하여 처리할 수 있음).
아웃소싱, 공급업체 선정 및 보안 통제 예외와 같은 모든 사이버 위험 관련 의사결정에 대한 거부권을 유지합니다.
이사회에서 아래쪽으로 효과적인 위원회 구조(effective committee structure)를 수립하여 모든 비즈니스 및 법인에 걸쳐 모든 사이버 위험 관련 활동(아웃소싱, 공급업체 관리 및 타사 관리 등)을 포괄합니다.
인식 캠페인 및 교육 프로그램을 구축하고 최신 위협에 대처하도록 정기적으로 조정합니다(이 작업도 CRO에서 담당할 수 있음).
사이버 보안 통제를 시행하기 위해 명확하고 효과적인 커뮤니케이션과 인센티브 구조를 설정합니다.
빈번하고 현실적인 공격 및 위기 시뮬레이션을 조직 내에서 파트너와 함께, 그리고 업계의 다른 참가자들과 함께 실시합니다.
법 집행 기관 및 규제 기관과 효율적인 인터페이스를 구축합니다.
번역 : 류종기
출처 : 맥킨지 보고서
A new posture for cybersecurity in a networked world