보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

보안을 가로막는 가장 거대한 장애물 ‘No’, 어떻게 극복하나

입력 : 2024-05-28 18:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
디지털 기술이 매일처럼 새로 나오고, 공략 방법도 계속해서 등장하는 이 때에 보안은 아무리 강화해도 충분하지 않다. 그런데 다들 충분하다고 생각해서 문제다.

[보안뉴스=타일러 파라 CISO, Exabeam] 뭔가를 보호하려면 여러 가지 장애물을 뛰어넘어야 한다. 그 중 가장 고질적이면서 악질적인 것을 꼽자면 ‘안 돼’를 꼽을 수 있다. 우리는 온갖 거절을 극복하고 또 극복해야 한다. 예산에서 막힐 때도 있고, 인재 영입에서 거절에 익숙해져야 할 때도 있고, 각종 정책과 전략을 마련할 때에도 온갖 거절에 막힌다. 아주 작은 실천 사항에서부터 기업 전체, 더 나아가 사회 전체에 영향을 주는 거대 보안 전략까지, 우리가 하는 모든 말은 속속들이 ‘안 돼’에 가로막힌다.

[이미지 = gettyimagesbank]


그러나 ‘안 돼’를 말하는 사람들은 보안 사고가 발생했을 때 책임을 지지 않는다. CISO가 제안한 것을 CEO가 거절했어도, 결국 보안 사고에 대한 책임을 져야 하는 건 CISO일 때가 많다. 최근 많은 사람들이 보안의 중요성을 인지하고 있다는 소리가 많이 나오는데, 그럼에도 보안 전문가들이 현장에서 ‘안 돼’를 자주 듣는 이유는 무엇일까? 왜냐하면 사람들이 보안의 중요성을 인지했다는 건 ‘말도 안 돼’에서 ‘이 정도면 충분해’의 수준에까지 올라왔다는 뜻이기 때문이다. 그래서 대화는 이렇게 흘러간다.

보안 담당자 : 보안 강화를 위해 이런 정책을 새로 도입해야 합니다.
예전 결정권자 : 말도 안 돼!
지금 결정권자 : 얼마 전 구매한 EDR만 있으면 충분하니까 안 돼!

보안 담당자 : 전사적으로 비밀번호를 새로 설정하겠습니다.
예전 결정권자 : 6개월 전에도 바꿨으니까 안 돼!
지금 결정권자 : 3개월 전에 바꾼 거면 아직 충분하니까 안 돼!

물론 발전이 없다고 할 수는 없다. 분명히 보안에 대한 인식은 좋아졌다. 하지만 ‘이 정도면 충분해’ 정도로는 충분하지 않기 때문에 문제고, 우리는 더 높은 수준에 도달해야 한다는 과제를 아직 해결하지 못하고 있다. 보안의 중요성을 모두가 알게 된 것도 맞고, 보안 담당자가 끊임없이 거절을 당한다는 것도 맞는 건 서로가 생각하는 ‘이 정도면 충분하다’의 선이 다른 곳에 그어져 있기 때문이다. 그 인식의 격차라는 공간에서 사이버 범죄가 하나의 산업으로서 번창하는 중이다.

해커들은 반드시 최첨단 기술과 전략, 해킹 실력만을 가지고 공격하는 것도 아니다. 일반적으로 생각하는 ‘충분하다’는 것보다 조금 더 위에서 그들은 자신들의 배를 불리고 있다. 다행히 생각보다 닿을 만한 곳에 있는데, 그렇기 때문에 우리는 우리 사이에 있는 ‘안 돼’부터 해결해야 한다. 즉 ‘충분하다’의 수준을 높였을 때, 그래서 서로가 ‘안 돼’가 아니라 ‘더 충분하도록 해보자’라고 했을 때 공격자들은 장벽에 가로막히게 될 것이다. 그렇다면 이 ‘안 돼’의 사고방식을 어떻게 다뤄야 할까?

조직 전체의 사고방식 바꾸기
일단 CISO와 보안 담당자들부터 생각을 바꿔야 한다. 안 그런 전문가들도 있겠지만, 보안을 순수 IT 기술력 문제라고 여기는 사람들도 있다. 또한 단기적, 혹은 임박한 위협들에 대응하느라 멀리 내다보는 방법을 잊은 사람들도 있다. 보안은 오히려 장기 과제에 가깝다는 걸 스스로에게 상기시켜야 할 필요가 있다. ‘안 돼’는 어쩌면 가장 길고 지독한 싸움을 벌여야 하는 상대일지도 모른다. 단기적인 효과에만 치중하다가는 긴 싸움을 이어갈 수 없다.

사람들이 보안의 제안을 거부하게 되는 가장 근본적인 이유는 보안을 ‘기술의 싸움’으로 오해하고 있다는 것이다. 그렇기에 최근 보안 솔루션 구매 서류에 서명을 한 CFO나 CEO로서는 추가적으로 날아오는 각종 요구사항들에 손을 내저을 수밖에 없다. 일반 임직원들도 자신의 장비에 새로운 뭔가를 설치했고, 바로 엊그제 윈도도 업데이트 했으며, 보안 담당자가 모니터링을 계속하고 있으니 자신들이 뭘 더 해야 한다는 것을 이해하지 못한다.

이런 상황에서 보안 담당자들이 해야 할 일은 현재의 ‘충분하다’고 느끼는 상황과, 정말로 ‘충분한’ 상황 사이에 어느 정도 격차가 있는지 최대한 생생하게 설명해주는 것이다. 지금의 상태가 왜, 어떤 면에서 불충분한지 여러 가지 각도로 알려주고 이해시켜야 한다. 최근 공격자들이 어떤 공격을 실시하며, 실제 어떤 사례가 있는지, 그래서 어떤 피해가 일어나는지를 설명해주는 게 괜찮은 대화의 방법이 될 수 있다. 직원의 사소한 실수로 수천만 달러를 잃은 기업이 있는데, 우리도 보안 교육을 좀 더 자주시켜야 하지 않겠느냐, 라는 식으로 말이다. 이게 첫 단추다.

다른 회사에서 일어난 큰 사고 사례 하나가 사고방식을 뒤집지는 못한다. 만연한 ‘안 돼’를 막기에는 한참 역부족이다. 그러니 일단 첫 단계로는 ‘교육의 기회를 더 많이 확보’ 하는 데에까지 가는 것으로 목표를 정하는 게 좋다. 사람의 사고방식이 바뀌는 건 교육을 통해서이기 때문이다. 그러니 자주 교육하여 현실을 더 많이 알려줄 창구만 확보해도 절반의 승리는 가져온 것이나 다름 없다. 어떤 일이 벌어지고 있고, 어떤 식의 방어 전략이 필요한지 반복해서 알려준다면 ‘안 돼’의 톤이 조금은 부드러워지고 거부감이 잦아들 것이다.

또 하나 중요한 거절의 요인은 ‘돈’이다. 보안이 중요하다는 걸 아무리 잘 알고 있어도 지갑 사정이 뻔하면 그 누구도 흔쾌히 보안 강화를 허락할 수 없다. 이런 경우 보안 담당자의 할 일은 조금 더 복잡해진다. 각종 보안 사고를 가지고 협박해봐야 없는 돈이 생기지 않으니, 예산을 좀 더 전략적이면서 가장 효율적으로 사용할 방안을 마련해야 한다. 그런 노력을 하는 과정 중에 정말 필요한 구멍을 메운다는 차원에서 보강을 요청하면 ‘안 돼’를 극복할 가능성이 높아진다.

보안 담당자는 네트워크 상에 있는 온갖 구멍들을 찾아서 막는 사람이다. 그리고 우리가 다루는 네트워크는 구멍이 끝도 없이 생겨난다는 특징을 가지고 있다. 태산이 오르고 또 올라야 하는 것이라면, 네트워크는 막고 또 막아야 하는 것이다. 때로는 기술로 막고, 때로는 돈으로 막고, 때로는 교육으로 막아야 한다. 하지만 늘 한 가지 정답만 있는 건 아니다. 기술이 필요한 듯 보이지만 의외로 교육으로 막을 수 있을 때가 있고, 돈으로 막아야 할 것 같지만 의외로 정책이나 규정을 살짝 바꿔서 막을 수 있기도 하다. 물론 돈 아니면 안 될 때도 있긴 하다.

결국 구멍 막기 전략을 다채롭게 가지고 있는 것이 보안 전문가의 진짜 덕목일지도 모르겠다. 남들이 다 아는 방법으로 보안을 강화하려면 보안 전문가가 필요 없을 테니까. 남들이 ‘안 돼’라고 할 때, 우리는 되는 방법을 발견할 수 있어야 한다.

글 : 타일러 파라(Tyler Farrar), CISO, Exabeam
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)