로그인|회원가입|고객센터
Top
검색버튼 메뉴버튼

MIT Sloan Management Review

해커처럼 생각해야 사이버전쟁 이긴다

기예르모 드 하로,엘리자베드 라말류,호세 에스테베즈 | 226호 (2017년 6월 Issue 1)
Article at a Glance

질문
경영진은 사이버 보안을 강화하기 위해 어떤 것들을 알아야 할까?

연구를 통해 얻은 해답
- 해커들은 목표로 삼은 회사의 시스템적 허점을 찾기 위해 끈질기고 치밀하게 조사한다.
- 조직의 사이버 보안에 있어서 가장 약한 연결고리는 종종 사람들이다.
- 고위경영진부터 사이버 보안의 중요성을 강조해야 한다.



편집자주

이 글은 2017년 봄 호에 실린 ‘To Improve Cybersecurity, Think Like a Hacker’를 번역한 것입니다.


126

만약 사이버 보안에 대한 기업의 사고방식을 일신해야 한다는 데 조금이라도 의심이 든다면 매일 접하는 뉴스만 봐도 우리의 경각심을 일깨우는 증거를 충분히 찾을 수 있다. 최근 핵심 사업을 버라이즌(Verizon)에 매각하는 협상을 진행 중이던 야후(Yahoo)는 과거 사상 최대의 데이터 유출 사고를 두 번이나 당했다는 사실을 공개했다. 민감한 개인정보가 빠져나간 해킹 사고로 2013년에 10억 명 이상, 2014년엔 5억 명의 사용자 계정이 유출됐다.1 이 공격은 야후의 사이버 보안이 취약하다는 사실을 드러냈을 뿐 아니라 한창 진행 중이던 버라이즌의 사업 인수도 지연시켰다. 사고의 공개 시점과 관련해 미국 증권거래위원회(SEC)의 조사도 받아야 했다.2 이 사건은 사이버 위협이 기업의 M&A 협상에 어떤 영향을 미치는지 전반적인 의문을 던지며 정보공개 지침과 규정에도 영향을 미치는 계기가 됐다.

지난 몇 년간 내부 시스템을 해킹 당한 기업들이 급속히 증가해 왔다. 수백 개 중소기업 외에도 타깃(Target), JP모건체이스(JPMorgan Chase), 홈디포(Home Depot), 소니픽처스(Sony Pictures), 애슐리매디슨(Ashley Madison), 야후 같은 유명 기업체들도 해킹 공격의 피해자가 됐다. 사이버 보안 사고는 발견되기까지 몇 주나 몇 달이 소요되는 경우가 많다. 그래서 사건 발생 후 대응 시간은 정보 유출의 규모나 피해의 경감, 출처 파악, 공개 기간에 대한 향후 법적 이슈들에 영향을 미치는 중대한 요인이 된다. 지난 몇 년간 자행됐던 해킹 공격들은 기업에 많은 비용을 초래했을 뿐 아니라 고객과 주주, 직원들 사이에서 조직의 신뢰도 또한 뒤흔들었다. 개별 기업들이 스스로를 지키기 위해 어떤 조치를 취하든 이제 해킹 공격에서 안전한 업종은 존재하지 않는다.

그 결과 사이버 보안을 위한 기업의 투자가 가속화될 조짐이 보인다. IT 전문 조사·컨설팅 회사인 가트너(Gartner)는 전 세계적으로 정보 보안에 지출되는 총비용이 2016년에는 810억 달러, 2018년에는 1010억 달러에 육박할 것으로 예측했다. 그중에서 보안 테스팅 분야가 가장 큰 성장세를 보일 것으로 전망했다.3 안타깝게도 보안에 대한 투자 조치는 해답의 일부일 뿐이다. 전통적 방법론으로 해결할 수 있는 영역은 한계가 있기 때문이다. 더 큰 효과를 보기 위해서는 사이버 보안을 책임지는 임원들이 사고방식을 가다듬고 가능한 개방적인 자세로 상황에 적응해 나가야 한다.

기업이 새로운 유형의 위협에 대처할 수 있도록 필자들은 해커들이 조직을 공격하는 데 활용하는 프로세스를 이해함으로써 관련 정보를 바탕으로 대응 방법론을 개발했다. 이 방법론은 전문 해커들과 협력을 통해 설계됐고, 그 과정에서 전문가들의 지식과 의견을 활용하는 구조화된 기술인 델파이(Delphi) 기법이 사용됐다.4 필자들은 또한 20명 이상의 숙련된 해커들과 심층면접도 진행했다. (‘연구내용’ 참고.)

DBR mini box

연구 내용

필자들은 두 차례의 설문조사로 구성된 웹 기반 연구를 수행했다. 설문조사에는 익명성이 보장되는 프로세스를 통해 23명의 숙련된 해커들이 참여했다. 해커 명단은 다양한 경로(인터넷에서 해킹 및 사이버 보안 서비스를 제공하는 스크리닝 해커, 매체에 언급된 사람들, 해커들이 직접 소개한 해커들, 기업의 최고보안책임자들이 추천한 해커들, 연구진이 개인적으로 알고 있던 해커들)를 통해 확보됐다. 필자들은 해커들에게 성공적인 사이버 공격을 위해 그들이 실행하는 단계들에 이름을 붙이고 우선순위를 정해달라고 요청했다. 또한 필자들은 전문가 패널과 17건의 심층면접을 별도로 진행함으로써 사이버 공격의 또 다른 단계들에 대한 세부 정보를 얻었다. 이 기사는 필자들의 연구와 인터뷰 내용, 그리고 사이버 보안 및 디지털 정보기술에 대한 그들의 경험에서 얻은 통찰력을 기반으로 작성됐다. 필자들은 연구를 수행함에 있어 현실적 지식을 얻기 위해 1950년대 이래로 활용돼 왔던 델파이기법을 사용했다. 이 기법은 데이터를 얻고 가설을 확인하기 위해 전문가들과 설문조사를 반복적으로 시행한다. 필자들은 델파이기법을 통해 해커가 이행하는 전술들을 밝히고 이에 따라 기업이 어떤 사이버 보안 전략들을 개발해야 하는지 규정했다.


해커의 사고방식

조직이 외부에서 자행되는 해킹 공격의 피해를 줄이고 싶다면 해커의 사고방식부터 먼저 이해해야 한다.5 달리 말해 기업은 성공적 해커의 전문 기술을 파악함으로써 공격을 예측하고 대응할 수 있다. 일례로 페이스북이나 마이크로소프트 같은 기업들은 실제 해커들을 직원으로 채용해 왔다.6

해커처럼 생각하려면 유능하고 수준 높은 해커의 특징적인 자질부터 알아야 한다. 해커들은 기술과 지능이 뛰어나고 위험을 즐기는 경향이 있다. 일반적으로 그들은 컴퓨터공학을 전공하고 수년간 덕후(geek)로 불려온 경우가 많다. 성공적인 해커들은 사교나 커뮤니케이션 기술도 뛰어나서 사람들을 조종해 필수 정보를 빼내거나 중요한 행동을 유도하기도 한다.7



많은 해커들이 수천 달러에서 수백만 달러까지 수입을 올릴 가능성이 있다. 그들은 암시장에서 활동하고 자신의 주거지에서 멀리 떨어진 곳에서 범죄를 저지르는 데 익숙하다. 그들은 매우 위험한 일을 수행하면서 솟구치는 아드레날린을 즐긴다. 신경이 강철 같아서 무서울 게 없는 사람들이다. 예전 해커들은 대개 개별적으로 활동하는 사람들이 많았지만 요즘은 혼자 활동하는 경우가 드물다. 그들은 대개 조직적인 해커 집단의 일원으로 움직이는데 이런 조직들은 신용카드나 대출 사기, 지적 자산이나 개인식별정보 도용, 신분 도용이나 문서 위조 등의 불법 서비스를 제공하는 경우가 많다.8



해커처럼 생각하기

기업이 조직의 데이터를 완벽히 보호한다는 건 쉬운 일이 아니다. 미국 표준기술연구소(National Institute of Standards and Technology) 산하 정보보안 및 개인정보보호 자문위원회(Information Security and Privacy Advisory Board)의 전 의장인 댄 체녹(Dan Chenok)은 이런 주장을 해왔다. “당신 조직을 사이버 공격으로부터 100% 보호하는 유일한 방법은 컴퓨터를 전부 꺼버리는 겁니다.”9 그럼에도 불구하고 해커의 사고방식을 배우면 그들이 어떤 일을 벌일지 예측하고 공격의 위험을 줄일 수 있는 조치를 취하는 데 도움이 된다. 그렇다면 해킹을 하는 사람들의 의식구조는 어떨까? 또 그에 따라 조직은 사이버 보안에 대해 어떤 접근방식을 취해야 할까?

필자들은 해커들이 공격의 단계에 따라 2가지 다른 사고방식을 갖는다는 것을 발견했다. 바로 ‘탐색적(explorative)’ 사고방식과 ‘활용적(exploitative)’ 사고방식이다. (그림 1) 공격 초기에 해커들은 보통 신중한 사고와 직관적 사고를 결합한 탐색적 방식으로 철저한 실험에 돌입한다. 예를 들어 숙련된 해커는 회사가 이제 막 가동을 시작한 시스템은 공격하지 않는다. 대신 좀 기다리면서 신규 시스템의 가장 취약한 연결 부위(협력업체나 신입사원, 혹은 조직의 보안 표준에 부합되지 않는 상황 등)를 찾아 나설 것이다. 일단 시스템에 접근하는 방법을 파악하면 해커들은 목표 달성을 위해 활용적 사고방식에 의지한다. 이를테면 데이터를 되팔아 수익을 올리기 위해 가능한 많은 정보를 빼낸다. 이렇게 진행되는 해킹 전략은 보통 4단계로 구성된다. 처음 2단계는 탐색에 집중하고, 나머지 2단계는 활용을 강조한다.

129


1단계 취약성 파악. 해커는 인내심이 강하고 학구적이며 영리하다. 당신 회사가 공격할 만한 가치가 있다고 판단되면 그들은 네트워크 정보와 조직 정보, 보안 정책을 파악하면서 회사 보안의 약점들을 철저하게 조사할 것이다. 해커들은 이런 정보수집 과정을 풋프린팅(footprinting)이라 부른다. 그들은 당신 회사의 자회사뿐 아니라 협력하는 공급업체나 계약업체들도 연구할 것이다. 해커들은 사이버 공격을 단행하기 전에 목표 네트워크와 시스템의 지도를 그린 다음 모든 허점과 취약점, 잠재적 해킹 개시 지점 및 공격에 장애가 될 만한 보안 메커니즘을 모두 기록할 것이다. 이 단계에서 서버 명이나 IP 주소, 사용자 계정에 대한 정보는 그들이 공격을 준비하는 데 도움을 줄 수 있다. 앞서 언급한 대로 해커들은 정상적인 환경에서는 쉽게 획득하기 어려운 주요 정보를 갖고 있을 수 있는 회사 내부자를 접촉할 때도 있다. 이렇게 하면 회사 시스템에 접근할 수 있기 때문이다.

이 단계에서 해커에게 필요한 가장 중요한 특징은 호기심과 인내심, 커뮤니케이션 기술과 사회성이다. 이런 특징들을 이제 당신 회사에 유리한 쪽으로 활용해야 한다. 회사 시스템과 이런 시스템이 보안상 약점과 어떻게 관련돼 있는지 호기심을 갖고 살펴보라. 미국의 최대 은행 중 하나인 JP모건체이스는 2014년에 사이버 공격을 받았다는 보고를 했다. 회사는 그로 인해 7600만 가구 및 700만 개의 소기업 데이터를 유출 당했다. 다행히 고객의 로그인 정보와 비밀번호, 사용자 ID, 생년월일, 사회보장번호는 유출되지 않았지만 e메일 주소나 우편번호, 전화번호같이 신분 도용에 사용될 수 있는 다른 정보가 빠져나갔다. 어떻게 이런 일이 생겼을까? 대형 은행들은 대부분 2단계 인증 방식을 채택한다. 사용자가 정한 암호와 실제 기기에서 그때그때 생성되는 코드를 결합하는 방식을 말한다. 하지만 JP모건의 IT 보안팀은 불행히도 2단계 인증을 시행하는 네트워크 서버 중 하나를 업데이트하지 않았고, 이로 인해 은행의 보안 시스템을 취약하게 만들었다.10 해커들은 은행 직원을 통해 훔친 증명서와 시스템상의 허점을 이용해 조직 내부의 약 90개 서버에 접근할 수 있었다.

기업들은 보안 조건이 반복적으로 계속 조정되는 프로세스를 채택하고 고도의 시스템 ‘풋프린트’를 정기적으로 수행함으로써 조직을 보호할 수 있다. 또한 직원들에게 정보 공유에 대한 지침을 숙지시키고 해커들이 정보를 유출하는 다양한 방법을 주기적으로 알려야 한다. 예를 들어 모르는 사람이 은행 직원에게 친절한 태도로 접근했을 때, 그 사람의 목적은 그만큼 친절하지 않을 수도 있다는 점을 염두에 둬야 한다.

2단계 네트워크 스캔과 테스트. 해커가 회사 네트워크에 침입하면 시스템에서 작동하는 응용 프로그램에 내재된 약점들이 더 광범위한 무단 침입으로 이어지는 길이 될 수 있다. 해커들이 일단 네트워크에 들어가면 거기서 실행되는 응용 프로그램들을 스캔 도구들로 살펴본다. 보안상의 사소한 취약점들과 설계의 약점들이 쌓여 결국 치명적인 보안 허점이 될 수 있다.

이런 위험으로부터 회사를 보호하기 위해서는 시스템의 풋프린트를 생성한 후 잠재적 약점들을 파악해야 한다. 회사 네트워크의 모든 구성요소(하드웨어, 소프트웨어, 프로토콜)들을 살펴보라. 네트워크 보안 상태를 테스트할 때 가능한 많은 각도에서 사용 방식 및 오용 사례를 평가한 다음, 일반 사용자가 아닌 ‘파워 사용자(power users)’, 심지어는 해커의 입장에서 회사의 응용 프로그램들에 대한 침투 테스트를 실행해 보라.



이런 조치를 취하지 않으면 당신의 회사도 사이버 공격에 노출될 수 있다. 2015년 10월, 영국 최대의 광대역 통신망 및 전화 서비스 공급사 중 하나인 톡톡텔레콤그룹(Talk Talk Telecom Group PLC.)에서도 보안 사고가 발생했다. 이 데이터 유출 사고로 톡톡의 고객 정보 15만 건 이상이 빠져나갔다. 사고를 계기로 회사는 고객을 잃었고 영국 정부로부터 40만 파운드의 벌금형도 받았다. 정부는 톡톡이 소프트웨어 업데이트와 정기적인 시스템 모니터링 등 기본적인 사이버 보안 조치를 이행하지 않아 해커들의 침입을 용이하게 만들었다고 비난했다.11

3단계 접근 경로 확보. 해커가 특정 시스템에 무단으로 접근할 수 있는 기회를 얻는 데 영향을 미치는 요소로는 시스템의 아키텍처 및 구성, 해커의 기술 수준, 해커가 확보 가능한 초기 접근 경로의 수준 등이 있다. 예를 들어 해커는 종종 개인에게 로그인 ID와 패스워드 정보를 묻는 전화나 ‘피싱(phishing)’ e메일 캠페인, 위조된 e메일 메시지, 또는 인스턴트 메시지를 통해 조직과 접촉한다. 그리고 회사의 고위 임원이나 IT 지원센터 기술자처럼 대개 자신을 신뢰할 수 있는 사람으로 위장한다.

미네소타주 미니애폴리스에 본사를 둔 소매유통 업체인 타깃(Target Corp.)을 공격한 해커들은 이 회사에 에어컨 서비스를 제공하는 협력업체를 통해 도용한 증명서로 회사 네트워크에 침입했다. 그런 다음 악성 소프트웨어(일반적으로 ‘맬웨어(malware)’라 불리는)를 설치함으로써 미국 전역에 있는 1800개 타깃 매장에서 회사 네트워크 및 판매시점관리(POS·point-of-sale) 시스템에 침투해 고객 정보를 빼돌렸다.

타깃을 공격한 해커들이 사용한 맬웨어는 사이버범죄포럼에서 약 2000달러에 구입할 수 있는 것이었다. 해커들은 협력업체를 통해 진입 지점을 파악하기 전 타깃 시스템에 들어갈 수 있는 다양한 방법들을 모색했다. 그리고 일단 네트워크 내부에 침입한 해커들은 매장의 금전 등록기에 접근할 수 있었다.12

해커들이 타깃에 사용한 전술은 이례적인 것이었다. 2015년 미국 최대 건강보험 회사 중 하나인 앤덤(Anthem Inc.)에 발생한 사이버 보안 사고의 경우, 해커들은 고객과 임직원(심지어 회사 CEO까지)에 대한 거의 8000만 건의 개인정보를 훔치기 위해 도난 당한 로그인 ID 및 비밀번호를 사용했다.13 해커들은 네트워크에 침입한 후 이름과 사회보장번호, 생일, 주소, e메일 주소, 직원 정보(급여 데이터 등)를 포함한 개인정보를 확보했다. 이 모든 데이터는 신분 도용을 위해 암시장에서 상당히 높은 값으로 거래되는 것들이다.

회사를 보호하려면 처음 두 단계에서 당신이 수집한 정보를 기초로 해커가 조직의 시스템에 어떤 식으로 접근할 수 있을지 판단해야 한다. 이 두 단계는 보안 취약성을 확인하기 위해 설계됐지만 3단계는 그런 취약성을 악용하기 위해, 즉 해커들의 세계에서는 ‘시스템 장악’으로 통하는 작업을 향해 진행된다.

2016년 2월5일, 해커들은 로스앤젤레스(LA)에 있는 할리우드장로교의료센터(Hollywood Presbyterian Medical Center) 직원들에게 맬웨어로 연결되는 링크가 포함된 e메일을 보냈다. 한 직원이 그 링크를 클릭하자 갑자기 시스템이 잠기면서 병원의 전자통신 시스템 전체가 마비됐다. 해커들은 이후 1주일 이상 할리우드장로교의 데이터에 자유롭게 접근할 수 있었다(병원은 실제 유출된 데이터는 없었다고 보고했지만). 이런 악몽은 병원이 약 1만7000달러의 가치에 달하는 40비트코인을 시스템 몸값으로 지불한 직후 해커들이 시스템 잠금을 해제할 수 있는 디지털 해독키를 보내 줌으로써 종료됐다.14

해커는 회사의 보안 정보를 빼내기 위해 정교한 기술적 지식과 소통 기술을 발휘한다. 따라서 당신도 해커들이 일반적으로 사용하는 전술에 대해 그들과 똑같이 정교한 지식을 갖게 되면 조직의 보안을 효과적으로 방어할 수 있다. 회사 내부 직원은 물론 계약업체와 협력업체 직원들에게도 해커들이 사용하는 일반 전략을 알리는 일은 조직 방어의 중대한 요소다.



4단계 접근 상태 유지. 해커들은 향후 또 다른 공격을 염두에 두고 회사가 눈치 채지 못하게 시스템 장악력을 유지하려 한다. 이들은 독점적인 접근 경로를 확보하고 보통 ‘백도어(backdoor)’라 불리는 코드를 업로드함으로써 보안 담당자들(그리고 다른 해커들)이 손쓰지 못하도록 시스템을 ‘경화(harden)’할 때도 있다.

일단 해커들이 시스템을 ‘장악’하면 이를 베이스캠프로 만들어 새로운 사이버공격을 개시할 수도 있다.15 이런 식으로 장악된 시스템을 종종 ‘좀비’ 시스템이라 부른다. 해커들은 공격의 마지막 단계에 보안 담당자들이 침입을 감지하지 못하게끔 공격 경로를 덮어버리고, 법적 문제들을 피하기 위해 해킹의 증거도 제거한다. 숙련된 해커들은 시스템이 어떤 식으로 불법 활동을 감지하는지 자신들의 기술적 지식을 활용한다. 따라서 조직은 시스템 로그에 의심스런 활동이 감지되지 않는지 지속적으로 경계하고 시스템이 최신으로 업데이트됐는지 늘 모니터링하는 자세가 필요하다.



해커의 사고방식 가동하기

이런 기본적인 사항들을 숙지한 기업들은 사이버 공격으로부터 조직을 보호하기 위해 이제 어떻게 해야 할까? 사이버 보안이 효과적으로 이행되기 위해서는 조직의 위에서 아래로, 또 아래에서 위로 쌍방향적 실천이 필요하다. 필자들은 이런 접근법을 보조하기 위해 5가지 지침을 개발했다.

1. 고위경영진을 참여시켜라. 고위경영진의 지속적인 지원은 사이버 공격의 위험을 낮추는 행동 조치들이 제대로 작동되는 데 매우 중요하다. 하나의 기업으로서 ‘우리’가 좀 더 안전한 보안 환경을 구축해야 한다는 메시지가 조직의 상부에서 내려오면 직원들의 조직 참여를 더욱 높일 수 있다. IT 부서의 기술적 역량이 얼마나 뛰어나든 그들이 회사의 비전까지 바꿀 수는 없다. 대신 고위경영진이 직원들의 전폭적인 협조를 구하고, 라인 매니저들과 정기적으로 회의를 주관하며, 메시지를 상명하달식으로 전달해야 한다.

경영진급의 의사결정자를 참여시키기 위해서는 시장과 개인정보보호, 기술, 규제 리스크 및 그 요구사항들에 대처하는 데 사이버 보안의 역할이 중요하다는 것을 강조해야 한다. 이를 위해서는 최고관리자들이 사업 계획을 추진하고 목표를 달성하는 데 사이버 보안 전략이 어떤 역할을 하는지 설명하고, 효과적인 보안 관리가 어떻게 비용 효율도 높이면서 모든 이해당사자들(고객, 사업부, 직원, 감사원 등)의 이익을 향상시킬 수 있는지 부각해야 한다.

회사의 장기 수익성과 회복탄력성이 보안에 달려 있다는 점을 증명하는 것도 매우 중요하다. 회사는 조직 전체에 대해 보안 소통 계획을 만들어야 하며 그 계획에는 경영진용 콘텐츠도 포함해서 정기적으로 내용을 업데이트해야 한다. 그 밖에도 자료에는 보안 유출 가능성을 어떻게 관리하고 알릴 것인지 그 지침과 프로세스가 수록돼야 한다.

2. 보안 전략을 설계하라. 앞서 언급했듯이 기술만으로는 조직을 지킬 수 없다. 기업은 기술적, 비기술적 측면 모두에서 사이버 보안 문제를 다뤄야 한다. 많은 조직의 경우 사이버 보안의 가장 취약한 영역 중 하나가 인적 요인이다. 보안 전문가들은 해커 관점에서 보안을 살펴보는 ‘위협 중심(threat-centric)’의 보안 관리 모델을 채택할 것을 조직에 권장한다. 이를 위해서는 사이버 보안을 내부에서 외부로의 관점(직원들과 전략적 사업 파트너, 기타 협력업체들이 조직 안에서 어떤 일들을 하고 있고, 그들이 조직의 시스템이나 시설, 데이터 같은 고가치 자산과 어떻게 상호작용을 하는지 이해)은 물론 외부에서 내부로의 관점(외부의 적들이 무엇을 통해 조직의 약점을 찾아낼지 판단)에서도 모두 살펴봐야 한다. 흔히 후자를 ‘지도를 돌려 보기(turning the map around)’란 말로 표현하는데, 이 작업의 목표는 수행할 임무에 대해 포괄적 계획을 세우고, 향후 적이 취할 수 있는 행동에 맞서 회사가 준비태세를 갖출 수 있도록 돕는 것이다.16

임원 및 정보 관리자들은 조직의 사이버 보안 수준을 평가하기 위해 회사의 정보 시스템이 현재 어떻게 관리되고 있는지 살펴보고 각 자산에 대한 보안 수준을 결정해야 한다. 또한 잠재적 사이버 보안 위협을 예측하고 대응할 수 있는 적절한 역량과 조직 구조를 갖고 있는지도 판단해야 한다.



기업은 이런 전략들을 수립할 때 자체적으로 보안 역량을 완벽히 구축할 것인지, 외부 전문가에게 의지할 것인지, 혹은 이 두 방식을 결합할 것인지 선택해야 한다. 구글의 보안 및 개인정보보호 제품 관리자인 스테판 소모기(Stephan Somogyi)는 이렇게 말한다. “다 잘할 수 있는 회사는 없습니다.” 그는 많은 기업들에 외부 전문가와 계약을 맺으라고 제언한다. 그렇게 해야 “회사는 계속 자신들의 핵심 역량에 집중하면서 정보 보안 전문가들이 가진 규모와 기술을 최대한 활용”할 수 있기 때문이다.17

3. 보안에 대한 인식을 구축하라. 효과적인 보안 인식 교육은 필수 사항이다. 사이버 보안에 대한 경각심을 일으키는 것은 매우 중요하며, 조직 내 모든 부문이 사이버 보안 모범사례들에 익숙해져야 한다. 영업, 마케팅, 인사, 재무, 임원, 심지어 임시직 직원까지, 기밀 정보에 접근할 수 있는 직원이라면 누구나 사이버 보안 인식 교육을 받아야 한다.

기업들은 정보보안을 일상 업무로 편입시키는 행동과 프로세스를 장려하고 그 이유를 확실히 설명해야 한다. 사이버 보안 교육을 윤리 및 규정준수(compliance) 교육과 유사한 방식으로 접근하는 기업들도 있다. 세일즈포스닷컴(Salesforce.com) 같은 몇몇 회사들은 게이미피케이션(gamification, 게임 방식으로 비게임 콘텐츠의 수용을 높이는 방법-역주) 프로그램을 통해 사이버 보안 관련 행동을 개선하려 한다. 세일즈포스닷컴의 최고신뢰책임자(chief trust officer)인 패트릭 하임(Patrick Heim)은 이렇게 전했다. “보안 관련 게이미피케이션 프로그램에 참여한 직원들은 피싱 메일을 클릭할 확률이 50% 더 낮았고 피싱 메일을 보고할 확률은 80%나 더 높았습니다.”18

4. 동맹관계를 맺어라. 최근에 일어난 데이터 유출 사고들을 보면 능숙한 해커들은 성공한 공격을 복제할 수 있음을 알 수 있다. 해커들이 어떤 보안상 허점을 파악하고 이를 악용하면 이후 같은 방법으로 또다른 목표물을 겨냥하는 경우가 많다. 이런 가능성을 고려할 때, IT 보안 담당자들은 회사 내부는 물론 동종 업계, 경쟁사 간에도 정보를 공유하고 협력할 필요가 있다. 또한 다른 기업 및 정부 기관들과 동맹 관계를 맺는 것도 중요하다.

사이버 보안 문제를 해결하기 위해서는 민간 부문과 공공 부문의 협력이 필요하다. 북대서양조약기구(NTAO·North Atlantic Treaty Organization)는 사이버 범죄와 싸우기 위해 회원국들의 동맹을 촉구해 왔다.19 민간 기업들은 함께 힘을 모음으로써 포괄적인 사이버 보안 전략을 좀 더 경제적으로 개발할 수 있다.

5. 모범사례를 파악하고 따르라. 최근에 일어난 여러 데이터 유출 사례들을 보면 회사에 보안 정책이 있다 하더라도 규제 준수 사항을 적극적이고 지속적으로 모니터링하지 않으면 의미가 없다는 것을 알 수 있다. 사이버 보안에 대한 위협은 보안상의 새로운 취약성이 발견되고 새로운 유형의 맬웨어가 개발되면서 계속 진화하고 있다. 때로는 잘 통제되고 있다고 여겼던 예전 위협이 남모르게 복수의 칼날을 숨기고 있는 경우도 있다. 현대적 사이버 보안 위협에 대응하는 유일한 방법은 방어 프로세스를 계속 업데이트하고, 인력 교육을 지속적으로 실시하며, 정보보안 상태를 최신으로 관리하고, 보안 사고를 주도적으로 감지·분석·대응할 수 있는 제어 도구들을 사용하는 것뿐이다.

비록 해커들은 침입을 위한 새로운 방법을 늘 모색하고 있지만 조직들 또한 ‘적을 안다’는 자세로 계속 나아지고 있다. 일부 기업들은 조직의 보안 취약성을 파악하기 위해 해커들을 초대하는 수준으로까지 발전했다. 일례로 2016년 3월, 미국 국방부(U.S. Department of Defense)는 4주간 버그 포상금 프로그램(bug bounty program)을 진행했다. 참가자들은 자신의 해킹 기술을 통해 선별된 국방부 공용 웹 페이지를 침입한 후 버그를 잡은 경우 상금 및 표창을 받을 수 있었다. 당시 국방 장관이었던 애시톤 B. 카터(Ashton B. Carter)에 따르면, 250명 이상의 참여자들이 적어도 1개의 취약성 보고서를 제출했으며 그중 절반 이상은 “타당하고, 독특하며, 포상 자격이 있었다”.20 MIT와 같은 다른 조직들도 사이버 보안을 위해 좀 더 전통적인 접근법과 더불어 버그 포상금 프로그램21 을 활용한다.

사이버 보안(그리고 새로운 위협들)에 대한 신규 접근 방식은 의심할 여지없이 계속 진화해나갈 것이다. 사이버 보안은 고양이와 쥐 사이의 게임과 같다. 이 게임에선 늘 고양이가 먼저 움직인다. 하지만 우리가 해커처럼 생각한다면 조직을 좀 더 잘 보호할 수 있을 것이다.



번역 |김성아 dazzlingkim@gmail.com

호세 에스테베즈(José Esteves)는 마드리드에 있는 IE 경영대학원의 정보시스템 & 디지털 혁신 분야의 부교수다. 엘리자베드 라말류(Elisabete Ramalho)는 구글의 유럽, 중동, 아프리카 총괄 프로그래밍 고객 전략(programmatic client strategy) 부문의 수장이다. 기예르모 드 하로(Guillermo de Haro)는 마드리드에 있는 후안카를로스 국왕대(King Juan Carlos University)의 응용경제학과 부교수다. 이 기사에 의견이 있는 분은 http://sloanreview.mit.edu/x/58314에 접속해 남겨 주시기 바란다. 저자와의 연락을 원하시는 분은 smrfeedback@mit.edu로 e메일을 보내 주시기 바란다.
  • 기예르모 드 하로 | -마드리드에 있는 후안카를로스 국왕대(King Juan Carlos University)의 응용경제학과 부교수

    이 필자의 다른 기사 보기
  • 엘리자베드 라말류 | -구글의 유럽, 중동, 아프리카 총괄 프로그래밍 고객 전략(programmatic client strategy) 부문의 수장

    이 필자의 다른 기사 보기
  • 호세 에스테베즈 | -마드리드에 있는 IE 경영대학원의 정보시스템 & 디지털 혁신 분야의 부교수

    이 필자의 다른 기사 보기
인기기사