"사고·걱정·예산 늘었지만 기업 대응 능력은 제자리"
George V. Hulme | CSO
데이터 유출 사고가 늘어나고 있지만, 위협에 대처하는 기업의 역량은 제자리인 것으로 나타났다.
<CSO>는 최근 미국내 사이버범죄 현황을 조사한 결과, 사이버 범죄들에서 놀랄 만한 점을 발견했다. 지난해 홈디포와 JP 모건 체이스의 데이터 유출 사고가 있었고, 소니 픽쳐스의 사고, 최근에는 처음 알려진 것보다 심각한 미국 인사국(OPM)의 막대한 정보 유출 사고 등이 연이어 일어났다.
이런 계속된 사고들 속에서 사이버 범죄 의식이 역대 최고수준을 기록한 것은 놀라운 일이 아니다. 하지만 더욱 놀라운 점은 정보보안에 대해 지난 몇 년간 노력과 주의를 기울였는데도 대다수 기업들의 사이버 공격에 대한 대응 능력이 지지부진 하다는 것이다. 이런 사실은 우리가 미국의 비즈니스 중역, 법 집행 기관, 정부 기관 등 500여 곳 이상을 대상으로 한 2015년 미국 사이버범죄 현황 조사에서 드러난 가장 두드러진 사실 중 하나다. 이 조사는 PwC, <CSO>, 카네기멜론 대학의 소프트웨어 엔지니어링 인스티튜트의 CERT 부서, 미국 대통령 경호실 등의 공동 후원을 받았다.
올해 조사에서 정보보안 위험에 더 많이 걱정하게 됐다고 말한 응답자의 수는 1년 전 같은 조사의 59%에 비해 76%로 늘어났다. PwC의 최근 연례 글로벌 CEO 조사에서도 이와 비슷한 CEO들의 인식이 드러난다. PwC에 따르면, 사이버 공격이 경제 성장에 악영향을 미칠 수 있으며 이를 두려워하며 미국 내 CEO 87%가 이를 겁내고 있는 것으로 조사됐다.
현업-보안부서간 연결도 느슨하고 위험에 대한 가시성도 없어
정보보안이 이렇게 긴급한 과제인 상황에서 현업 임원들과 정보보안 팀은 좀더 공격에 강한 조직을 만드는데 왜 지금까지 계속 불화를 겪어왔던 것일까? 일리노이주 몰린에 있는 중장비 제조사 존 디어(John Deere)의 글로벌 보안 전략가 존 존슨은 “점점 더 많은 이사진들이 회사의 보안 프로그램의 격차를 인식해가고 있으며 조직 내에서 보안에 대한 더 큰 가시성과 성숙성을 요구하고 있다”고 밝혔다. 그런데도 내부의 과제들은 여전하다. 그 중에서도 중역 위계질서와 보고 체계가 가장 큰 관건이다. “문제는 보안 보고서가 CIO까지 올라가는 동안 그런 [보안] 변화들이 제시간과 효과를 잃어버릴 수 있다는 점이다”고 존슨은 지적했다.
“어떤 회사는 CISO를 CIO 아래에 두지 않고 별도로 두거나 CEO에게 직접 보고하는 체계를 만든다. 또 다른 회사들은 유출사고로 고통받을 때까지 버티고 나서 CISO 역할을 격상시킨다”고 존슨은 덧붙였다.
보안-비즈니스 접목은 모든 곳에서 느슨하거나 아예 존재하지 않는 것으로 응답자 대다수 사이에서 나타났다. 올해 조사에서는 응답자의 26%가 자신들의 CISO가 1년에 딱 1번 이사회에 보안 프레젠테이션을 하고, 28%는 어떠한 종류의 사이버보안 프레젠테이션도 하지 않는 것으로 파악됐다.
지난해에 비해 사이버보안 우려가 어떻게 달라졌나?
뉴욕시에 있는 사모펀드와 자산 관리 회사 블랙스톤 그룹(Blackstone Group)의 최고 정보보안 책임자 제이 릭은 일관성과 커뮤니케이션 부재를 전혀 느끼지 않는다고 강조했다. “나는 우리가 투명해질 수 있는 수준까지 우리의 보안 프로그램을 투명하게 운영해야 한다고 믿는다. 우리의 5대 원칙은 보호, 신뢰받는 조언자, 투명성, 의식, 측정이다”고 릭은 말했다.
“우리의 임무는 회사를 보호하는 것이지만 그보다 회사의 현업 임원들에게 신뢰받는 조언자 역할을 하는 게 더 중요하다. 리더들은 정보에 기반해 위험-기반 결정을 내릴 필요가 있고 나는 그들이 결정을 내려야 할 때 더 좋은 결정을 내리도록 조언해줘야 하기 때문이다. 우리는 회사에 더 큰 보안 의식을 불러오기 위해 이런 작업을 아주 투명한 방식으로 진행한다”고 그는 덧붙였다.
그런 노력의 큰 부분은 중역들이 사이버 범죄, 사이버 도청, 내부 위협, 해킹 행동주의 유형 조직들의 차이점을 이해하는데 도움을 줘서 각각 공격 이면의 동기에 대해 이해하고 왜 그 동기가 중요한지를 이해하는데 도움을 준다고 릭은 설명했다. “최근 18~24개월 사이에 우리가 발견한 새로운 위협들은 파괴, 보복, 불편 유발이었지 무엇을 훔치려는 시도가 아니었다. 이 점을 이해하는 것이 중요한데 이런 위협은 들어와서 나갈 것까지 걱정하는 게 아니라 그냥 들어오는 것만 신경 쓰면 되기 때문이다”고 그는 설명했다.
독립 보안 컨설턴트이자 시티그룹의 정보보안 책임자인 케네스 스윅은 그 이해와 교육 수준이 CEO와 이사진에게 중요한 접목이 잘못돼 있을 경우 조직의 보안이 효과적일 수 없게 된다고 말했다. “안전한 환경에 대한 욕구는 최고 경영진부터 시작해 전 조직으로 흘러가야만 한다”고 스윅은 전했다.
적절한 정보 위험 관리와 비즈니스 리더십의 필요를 접목시키는 것 이외에 조사에서는 기업이 어떤 공격이 시스템 내에서 진행 중인지 파악하는 능력이 정체돼 있는 반면 너무나도 많은 조직들(25%)은 이런 공격들로부터 그들의 회사가 받는 영향의 성격을 여전히 이해하지 못하는 것으로 나타났다. 조사에 따르면 사이버 범죄의 피해를 입은 응답자의 28%는 그 공격이 내부 공격자가 유발시킨 것인지 외부 공격자가 유발시킨 것인지조차 파악하지 못했다.
예상대로 규모가 큰 회사일수록 보안 침투를 더 많이 감지하는 것으로 조사됐다. 대기업은 자사의 소규모 협력사들 보다 31배 더 많은 위협을 감지하는 것으로 나타났다.
이 시점에서 기업과 정부 기관을 어떻게 더 개선할 수 있을까? 스윅은 바로 지금 조직들이 가장 기본에 대해 본격적으로 들어가야 할 시점이라고 말했다. 그들은 가장 비즈니스 핵심적인 자산을 분류하고 우선순위를 정하며 의심스러운 상황을 감지하기 위해 필요한 도구를 배치할 필요가 있다. 그 작업이 완료되면 예산과 자원이 허용하는 대로 가장 핵심적인 비즈니스 자산과 조직 전반에서 나와야 한다. “이 부분이 어려운데, 제대로 하기 위해 아주 많은 자원이 들어가고 네트워크를 재 고안할 잠재성도 있기 때문이다. 그냥 환경에 들어가서 이걸 해내는 건 불가능하다”고 그는 말했다.
데이터 유출도 늘고 예산도 증가하고
지난 12개월 동안 보안 사고를 감지했다는 응답자의 수는 79%로 그대로지만 한 회사당 감지된 사고의 수는 작년 대비 21% 증가했다. 올해 가장 큰 사고 증가율을 보인 산업으로는 소매, 소비, 교육, 정부, 정보, 통신 등이 들어간다.
다행히도 사이버보안 사고에 쏠리는 모든 관심은 보안 예산을 증가시키고 있다. 올해 조사에서 작년보다 예산을 올렸다고 밝힌 응답자는 45%로 집계됐다.
예산을 늘린 회사가 직면한 과제는 보안 팀이 필요한 만큼 예산 인상을 받은 후에도 그 예산을 지키고 장기적으로 지속 가능한 결과물을 구축하는 것이라고 네티튜드 그룹(The Nettitude Group)의 선임 eGRC 컨설턴트 벤 로트케는 이야기했다. “보안은 결과가 아니라 과정이다. 당신이 효과적일 수 있고 비즈니스처럼 보안을 운영한다면 경영진에게 인상을 남기고 필요한 예산을 따올 수 있을 것이다”고 그는 말했다.
존슨은 여기에 동의하면서 CISO도 이사회가 이해해야 할 거버넌스와 비즈니스 위험 관리 기준과 정보보안의 기술 측면을 접목시킬 수 있는 리더가 되어야 한다고 강조했다. 성숙하지 않은 조직의 보안 상태가 하루아침에 개선되지는 않는다는 게 존슨의 주장이다. “이세상에 완벽이란 없고 100% 보안도 달성할 수 없다. 위협은 변화하고 당신이 할 수 있는 것은 오직 계획을 개발 정렬하기 위해 노력하고 최고 우선 순위의 작업에 먼저 손대는 것이다. 비즈니스 환경, 규제, 위협 변화에 따라 이 계획을 다시 참고하고 기준을 잡음으로써 당신의 프로그램을 안전하게 유지하고 당신이 효과적임을 보여줄 수 있을 것이다”고 존슨은 강조했다.
ciokr@idg.co.kr