로그인|회원가입|고객센터
Top
검색버튼 메뉴버튼

MIT Sloan Management Review

보안 망치는 ‘반(半)의식적 의사결정’

스튜어트 매드닉(Stuart Madnick) | 360호 (2023년 01월 Issue 1)

편집자주

이 글은 2022년 6월21일 MIT 슬론매니지먼트리뷰(SMR) 온라인에 실린 ‘The Rest of the Cybersecurity Story’를 번역한 것입니다.

Article at a Glance

사이버 공격 사고의 주범은 위험의 존재를 인지하고 있지만 그 가능성을 무시하는 '반(半)의식적 의사결정'이다. 보안을 강화하는 데 비용이 들거나 업무상 변경이 불가피해서 혹은 실질적 효과가 나타나는 다른 업무에 투자하기 위해 보안이 우선순위에서 밀리게 된다. 경영진은 사이버 공격 사건에 대해 학습하고, 새로운 프로세스를 도입하기 전에 보안을 먼저 점검해야 한다.



필자 소개

스튜어트 매드닉(Stuart Madnick)은 MIT슬론경영대의 정보기술 명예 교수이자 MIT 슬론 연구 컨소시엄 사이버 보안의 창립 이사이다.



솔라윈즈(SolarWinds), 콜로니얼파이프라인(Colonial Pipeline), 캐피털원(Capital One), 이퀴팩스(Equifax) 등 최근 사이버 보안과 연루된 뉴스 기사가 너무도 흔해졌다. 사이버 공격 사건이 발생하면 일반적으로 ‘어떻게(how)’와 ‘왜(why)’에 대해서는 언급하지 않고 일어난 결과에만 초점을 맞춘다. 그러나 ‘왜’를 조사하지 않으면 사이버 공격을 가능하게 만드는 취약점은 거의 해결되지 않은 채 지나가게 된다. 사건의 내막이 무엇이었는지가 중요하다.

간단한 예를 들어보자. ‘은행이 강도를 당한 사건’은 ‘무엇’에 해당된다. ‘어떻게’는 ‘도난 경보기가 고장 나 울리지 않아서’일 수 있다. 불행하게도 ‘경보기 오작동으로 강도를 막지 못했다’와 같은 식으로 이야기는 끝난다.

그러나 더 깊이 내막을 파고들면 경보 시스템은 일시적인 고장을 일으킨 게 아니다. 원래부터 오래되고 신뢰할 수 없는 상태였다. 교체를 위해 예산이 편성됐지만 경영진 중 누군가가 이 예산을 더 많은 고객을 유치하겠다는 명목으로 마케팅 캠페인에 써버렸다.

이를 ‘반(半)의식적 의사결정(semiconscious decision-making)’이라고 부르고자 한다. 누군가가 현금을 잃을 수 있다는 리스크를 생각하지 않은 채 도난 경보기를 교체하지 않기로 결정했기 때문이다. 실제로 그 결정은 강도를 당하는 상황으로 이어졌다.

이것은 단지 흥미로운 가상의 예가 아니다. MIT슬론경영대의 사이버 보안 연구 그룹(CAMS, Cybersecurity at MIT Sloan)은 수많은 사이버 공격을 연구했는데 대부분의 조직이 실제 사이버 공격을 당하더라도 상세한 분석과 개선을 이루지 않았다. 결국 지금의 사이버 공격은 조직의 반의식적 의사결정 행태로 인한 결과라는 것이다.

103


다중 계층 방어
(Multiple Layers of Defense)

방어자는 모든 문이 잘 잠겨 있는지 확인해야 하지만 공격자는 침투를 위해 한 방향만 공략하면 되기 때문에 유리하다는 말이 있다. 하지만 실제로는 방어자가 유리할 때도 많다.

사이버 공격에서는 공격자가 여러 단계를 모두 성공적으로 통과해야 한다. 방어자에게 각 단계는 침입을 막거나 그 영향을 최소한으로 완화할 기회를 갖는다. 즉, 공격자는 사이버 공격이 성공할 수 있도록 하는 단 하나의 방법이 아니라 정확한 순서로 여러 단계를 공략해야 한다.

앞서 언급한 은행 강도 사례 뒤에 숨겨진 내막을 알아보자. 은행장이 비서의 책상 위에 금고 비밀번호가 적힌 메모지를 붙였다는 사실이 보고되지 않았을 수도 있다. 금고 비밀번호가 강도에게 노출되기 쉬운 환경에 놓였던 것이다. 더욱이 사건을 정상적으로 녹화해 강도를 식별해 낼 수 있을 것이라 예상했던 보안 카메라도 무용지물이었다. CCTV 비밀번호도 제조업체가 설정한 초기 비밀번호 그대로였다. 공격자가 CCTV를 미리 비활성화하고 녹화된 비디오를 지울 수 있도록 방치돼 있던 것이다. 공격자가 발견한 이 모든 결점을 방어자는 간과했다.

가입하면 무료

  • 스튜어트 매드닉(Stuart Madnick)

    MIT 슬론경영대 명예교수

    필자는 MIT슬론경영대의 정보기술 명예 교수이자 MIT 슬론 연구 컨소시엄 사이버 보안의 창립 이사이다.

    이 필자의 다른 기사 보기
인기기사

질문, 답변, 연관 아티클 확인까지 한번에! 경제·경영 관련 질문은 AskBiz에게 물어보세요. 오늘은 무엇을 도와드릴까요?

Click!