사이버 위험 관리는 조직 안전망의 큰 사각지대가 될 수 있다. 다행히 오늘날에는 여러 조직과 기업이 사이버 위험 관리에 대한 이해도를 높이기 위해 노력하고 있다. 특히 경영진 등 의사결정자들이 사전 예방적 접근과 사후 대응 조치가 조직의 리스크 프로파일에 미치는 영향을 주의 깊게 지켜보는 긍정적인 변화가 관찰된다.
그러나 사이버 위험 관리를 대할 때 사이버 보안 성숙도 점수를 높이는 데만 초점을 맞추면 문제가 발생할 수 있다. 보안 성숙도 점수가 높다고 해서 실제 시스템 내 취약점이 제대로 관리되고 있다고 늘 장담할 수는 없기 때문이다.
기업들은 사이버 위험이 결국 다른 비즈니스 리스크와 다르지 않음을 이해해야 한다. 사이버 위험은 조직 전체에 존재하는 위협과 취약점의 집합체이며, 이를 외부에서 악용할 경우 재정적 손실, 평판 손상, 규제 문제로 이어질 수 있다. 이러한 위험을 제대로 방지하려면 '점수'보다는 조직에서 사용하고 있는 기술 또는 프로세스, 공격자가 악용할 수 있는 기회인 위협과 취약점이 무엇인지에 대해 명확한 가시성을 확보하고 있어야 한다. 리스크 환경 전반에 대한 가시성을 확보하면 악용될 수 있는 잠재적 위협과 공격 벡터를 식별할 수 있다.
안타깝게도 사이버 위험의 범위는 너무나 광범위하고 이를 모두 한 번에 해결할 수 있는 만병통치약과 같은 프로세스나 기술, 솔루션은 존재하지 않는다. 성숙도 기반의 프로그램이 보안 프로그램의 전반적인 방향성에 큰 영향을 미치기는 한다. 하지만 더 촘촘하고 튼튼한 보안을 꾀한다면 조직의 보안 방향과 허용범위(Tolerance)를 정의·조정하고, 끝없이 진화하는 위협 지표에 이를 적용시킬 수 있는 기능들의 집합체로 보안 프로그램을 설계해야 한다. 보안 프로그램을 설계할 때 고려해야 할 여섯 가지 사항은 다음과 같다.
먼저 조직의 가장 중요한 비즈니스 자산이 무엇인지를 이해해야 한다. 공격자가 목표 대상으로 삼았을 때 비즈니스에 가장 큰 타격이 될 주요 자산에 대한 이해도를 구축하고, 공격자의 침투에 방치되지 않도록 지속적으로 관찰해야 한다. 두 번째로 조직 전체의 사이버 위험 허용 범위를 정의하고 조정한다. 이때 하향식 관찰 접근방식을 취해 조직에 우선순위가 높은 위협부터 확인하고 경영진의 리포팅 요구사항을 명확히 함으로써 조직의 위험 허용 범위를 설정하고 타기팅하는 것이 중요하다. 세 번째는 중요 시스템의 보안 아키텍처 리스크를 식별하고 모델링하는 일이다. 이를 통해 미션 크리티컬 시스템을 구성 요소와 연결 요소로 나누고 위협과 취약점을 식별할 수 있다. 또한 각 위협에 리스크를 할당하고 조직에 미치는 영향을 미치는 허용 범위 내로 맞출 수 있다.
네 번째 고려사항은 주요 파트너와 포트폴리오다. 조직이 크게 의존하고 있는 파트너와 기타 조직을 식별하고 이를 대상으로 통합, 공급망 등의 위험 수준을 평가하는 실사를 진행해야 한다. 외부와의 접점에서 조직이 위험에 노출될 수 있을 뿐만 아니라 리스크 프로파일 수준이 허용치 이상으로 높아질 수도 있기 때문이다. 다섯 번째는 운영 취약점을 식별하고 조직의 위험 허용 범위를 조정하는 것이다. 취약점과 취약점 공격 강도를 식별하여 미션 크리티컬 시스템의 침투 가능성과 연결한 후 조직이 정의한 사이버 위험 허용 범위에 따라 이를 검증해야 한다. 마지막으로는 조직의 보안 역량이 올바른 방향으로 나아가고 있는지에 대한 효율성 평가다. 기존의 보안 프로그램 이니셔티브를 모범 사례와 비교하고 업계와 지역 표준 차이점을 확인하고 효율성을 평가해 보안 역량의 방향을 수립할 수 있다.
사이버 위험에 대비한 보안 성숙도를 발전시키는 일은 하루아침에 완성되지 않는다. 프로그램을 구축하고 방향을 설정하며 이를 지속하는 과정을 거듭해야 비로소 이뤄진다. 따라서 사이버 보안의 관점에서 조직에 유의미한 방법으로 위험을 식별·매핑하고, 이를 리스크 프로파일에 통합하며 위험 요소를 줄여 나가야 한다. 간단한 방법론이지만 우리가 가장 흔히 사용하는 프로그램에서 이러한 과정을 발견할 수 없는 경우가 종종 있다. 조직에 막대한 영향을 끼치고 위기를 초래할 수 있는 위협과 취약점을 표면화해 예방하는 것이 최선의 사이버 위험 관리가 추구하는 목표다. 앞에서 나열한 여섯 가지 필수 사항을 고려해 적절한 프로그램을 설계한다면 사이버 위험 관리를 위한 효과적인 접근방식을 구축할 수 있을 것이다.
오진석 맨디언트 코리아 상무 jinsuk.oh@mandiant.com
-
이준희 기자기사 더보기