CISO Insider: 1호

코로나19로 인해 조직은 업무 공간 유연성에 대한 의존도를 높이고 디지털 변환을 가속화해야 하며, 이러한 변화로 자연스럽게 보안 전술에도 어느 정도의 변화가 필요하게 되었습니다. 경계는 확장됨과 동시에 보다 하이브리드적인 성격을 띠게 되면서 다양한 클라우드와 플랫폼으로 폭을 넓혀가고 있습니다. 신기술은 많은 조직에게 있어 어려운 시절에도 생산성과 성장을 도모하게 해 주는 축복이 되어 왔지만, 동시에 이러한 변화는 보다 복잡해져 가는 디지털 환경에서 찾아낸 취약성을 악용하기 위해 활동하는 사이버 범죄자들에게도 기회로 다가왔습니다.

원격 근무와 관련된 피싱 공격의 증가는 제가 상대하는 보안 전문가들이 가장 염려하는 부분이며, 이는 조사 결과에서도 확인되었습니다. 2020년에 보안 리더를 대상으로 실시한 Microsoft 설문조사에서 55%는 팬데믹이 시작된 이후 피싱 공격이 증가했다고 했으며, 88%는 피싱 공격이 조직에 영향을 미쳤다고 답했습니다. 또한 랜섬웨어 공격의 급증, 맬웨어의 지속적인 위협, 신원 유출이 계속해서 보안팀을 괴롭히는 주요 사안이 되고 있다는 소식도 정기적으로 듣고 있습니다.

여기에 더해 국가 단위의 공격이 점점 더 공격적이고 지속된다는 사실도 알려져 있습니다. SolarWinds 플랫폼을 활용한 NOBELIUM 공급망 공격은 작년에 헤드라인을 장식한 여러 가지 새로운 공격 중 하나였습니다. 화려한 새로운 기법이 기사화되곤 하지만, CISO들의 일관된 의견은 대부분 사이버 범죄자들과 마찬가지로 이러한 지능형 위협 행위자들도 저비용 고부가가치 공격에 집중하는 경향이 있다는 것입니다.

이 점을 좀 더 구체적으로 설명하자면, 암호 스프레이 공격을 활용하는 국가 단위 공격자가 증가하고 있습니다. 보안 리더가 된다는 것은 위험을 관리하고 우선순위를 정하는 일이며, 커져 가는 디지털 공간에서 가장 흔히 발생하는 공격을 예방하기 위한 사이버 위생을 강화하는 것이 최우선 과제라고 수많은 리더들이 말합니다. 또한 데이터와 연구 결과가 이러한 생각을 뒷받침합니다. Microsoft에서는 기본적인 보안 위생이 공격의 98%를 막는다고 예상합니다(2021년 10월  Microsoft 디지털 방어 보고서 124쪽 참고).

기본 보안 단계에 대해 말하기는 쉽지만 실제로 구현하기는 훨씬 더 어렵다고 생각할 수 있습니다. 특히 팀 업무가 과중하고 인력이 부족한 경우에는 더욱 그렇습니다. 하지만 저는 보안 리더가 된다는 것은 위험과 우선순위를 모두 관리하는 일이며, 그렇기 때문에 기본에 집중하는 것은 매우 실용적인 접근 방식이라고 말하고 싶습니다. 보안 사고는 '만약'이 아니라 '언제'의 문제인 경우가 너무 많습니다. 미국에서만 매일 약 4,000건의 사이버 범죄 공격이 발생하고 전 세계 30,000개 이상의 웹사이트가 매일 해킹당하는 등 수백 건의 심상치 않은 사이버 보안 통계가 있습니다.

저는 예방과 더불어 사고 탐지 및 대응에 균형 잡힌 태도를 가지고 투자하는 것이 최선의 방어선이라 생각합니다.

새로운 수준의 예방에 투자하는 동시에 증가하는 탐지 및 대응 수요를 충족하기가 어려울 수 있지만, 두 가지 활동 사이에서 적절한 균형을 찾는 것은 꼭 필요하면서도 유익합니다. 2021년 Ponemon Institute와 IBM 보안 연구에 따르면 사고 대응팀이나 계획이 없는 조직은 데이터 유출로 인한 평균 비용이 55%나 증가한 것으로 나타났습니다. 사고 대응과 탐지 및 수정 도구에 대한 투자를 포함하는 전략 그리고 탄탄한 예방 사이에서 균형을 맞출 수 있는 보안 팀은 피할 수 없는 사고를 극복할 유리한 위치를 점할 수 있습니다.

우리는 모두 대규모 사직에 대해 들어본 적이 있습니다. 전 세계 인력의 40% 이상이 올해 이직을 고려하고 있으며, 보안 리더들과 보안 팀들은 이미 인력 부족을 느끼고 있습니다. 저는 CISO들과 전반적인 상황에 대해 이야기를 나눌 때가 많은데, 최고 인재를 확보하고, 찾고, 유지하는 것은 그들의 가장 큰 관심사 중 하나입니다. 또한 최고 인재가 떠나면 새로운 최고 인재를 찾거나 남은 인재의 기술을 향상시켜야 하는 문제에 직면하게 됩니다. 더욱 효율적이고 통합적이며 자동화된 기술이 도움이 될 수 있지만 그것만으로는 충분하지 않습니다.

사이버 공격이 뉴스에 자주 등장하고 이러한 공격과 그에 대한 뉴스가 기업에 큰 영향을 미치면서 보안이라는 단어는 일상 용어가 되었습니다. 하지만 그거 아세요? 이 모두가 나쁜 소식은 아닙니다. 사이버 보안이 조직의 모든 영역에서 익숙한 주제가 되면서 “보안은 모두의 책임”이라는 개념이 조직 전반에 공감을 불러일으키기 시작했다는 소식이 들려오고 있습니다. 특히 새로운 하이브리드 업무 모델과 보안 경계가 다양하고 새로운 방식으로 추진되면서 보안 리더들은 인재와 기술 격차에 직면한 가운데서도 모두의 안전을 지키기 위해 혁신적인 방법에 점점 더 의존하고 있습니다. “적은 자원으로 더 많은 일을 하는 것”이 아닌 “다른 방식으로 더 많은 일을 하는 것”이 오늘날 혁신적인 보안 리더의 핵심입니다.

인재와 기술 부족은 분명 긍정적인 일이 아니지만, 보안 문화 조성이 현실화되고 있다는 작은 희망의 빛은 있습니다. 많은 CISO가 인력난 속에서 보안 문제를 해결하는 가장 효과적인 방법 중 하나는 보안을 모두의 책임으로 여기는 보안 문화를 구축하는 것이라고 말합니다. 특히 인력 부족이나 자금 문제로 어려움을 겪고 있는 기업에서는 조직 전체가 보안을 책임질 수 있다는 개념을 더욱 강화하고 있습니다.

개발팀, 시스템 관리자 그리고 물론 최종 사용자도 자신과 관련된 보안 정책을 이해해야 합니다. 정보 공유는 기본이며 보안팀은 개발자, 관리자, 비즈니스 프로세스 소유자와 협력하여 위험을 파악하고 조직 전체에 도움이 되는 정책과 절차를 개발하는 새로운 방법을 점점 더 적극적으로 찾고 있습니다.

인재 부족과 기술 격차(특히 끊임없이 변화하는 사이버 보안 분야에서)로 인해 CISO는 새롭고 혁신적인 방법을 모색하며 앞서나가기 위해 노력하고 있습니다. 계속해서 듣는 한 가지는 보안팀 외부의 직원을 '대리'하는 진화하는 전략입니다. CISO는 특히 최종 사용자를 솔루션의 일부로 교육하고 인접 팀의 지원을 구축하는 데 중점을 두어 조직 전체를 활용하려 합니다.

피싱과 교묘한 공격의 징후를 이해하는 등 보안 위협에 대한 최종 사용자의 지식을 높이고 강화하는 것은 보안 팀의 눈과 귀를 늘리는 데 큰 도움이 되며, 특히 최종 사용자가 공격의 진입점이 되는 경우가 많은 “창끝” 전략으로서 큰 도움이 됩니다. 마술처럼 최종 사용자가 모든 것을 탐지하도록 훈련할 수 있다는 말은 아니지만, 사용자가 대비하고 경고를 받으면 보안팀의 부담을 크게 줄일 수 있습니다.

또 다른 전략은 IT를 보안의 일부로 대리하는 것입니다. IT 팀을 보안 팀과 긴밀하게 연결하고 보안 전략에 대한 브리핑을 받도록 하면 많은 보안 리더가 임무를 조직의 모든 영역으로 확장하는 데 도움이 됩니다.

자동화와 기타 사전 예방적 워크플로 및 작업 관리 전략에 대한 지침과 지원을 제공하는 것은 CISO가 팀을 확장하고 IT를 활용하여 견고한 보안 태세를 유지하는 데 도움이 되는 근본적인 방법입니다.

인용된 모든 Microsoft 연구는 개인 정보를 보호하면서도 분석의 정확성을 제고하도록 질적 연구 및 양적 연구를 위해 독립적인 연구 업체를 통해 보안 전문가를 접촉하도록 하여 수행된 것입니다. 본 문서에 포함된 인용 및 연구 내용은 달리 밝히지 않는 한 Microsoft 연구의 결과입니다.