로그인|회원가입|고객센터
Top
검색버튼 메뉴버튼

MIT Sloan Management Review

보안 망치는 ‘반(半)의식적 의사결정’

스튜어트 매드닉(Stuart Madnick) | 360호 (2023년 01월 Issue 1)

편집자주

이 글은 2022년 6월21일 MIT 슬론매니지먼트리뷰(SMR) 온라인에 실린 ‘The Rest of the Cybersecurity Story’를 번역한 것입니다.

Article at a Glance

사이버 공격 사고의 주범은 위험의 존재를 인지하고 있지만 그 가능성을 무시하는 '반(半)의식적 의사결정'이다. 보안을 강화하는 데 비용이 들거나 업무상 변경이 불가피해서 혹은 실질적 효과가 나타나는 다른 업무에 투자하기 위해 보안이 우선순위에서 밀리게 된다. 경영진은 사이버 공격 사건에 대해 학습하고, 새로운 프로세스를 도입하기 전에 보안을 먼저 점검해야 한다.



필자 소개

스튜어트 매드닉(Stuart Madnick)은 MIT슬론경영대의 정보기술 명예 교수이자 MIT 슬론 연구 컨소시엄 사이버 보안의 창립 이사이다.



솔라윈즈(SolarWinds), 콜로니얼파이프라인(Colonial Pipeline), 캐피털원(Capital One), 이퀴팩스(Equifax) 등 최근 사이버 보안과 연루된 뉴스 기사가 너무도 흔해졌다. 사이버 공격 사건이 발생하면 일반적으로 ‘어떻게(how)’와 ‘왜(why)’에 대해서는 언급하지 않고 일어난 결과에만 초점을 맞춘다. 그러나 ‘왜’를 조사하지 않으면 사이버 공격을 가능하게 만드는 취약점은 거의 해결되지 않은 채 지나가게 된다. 사건의 내막이 무엇이었는지가 중요하다.

간단한 예를 들어보자. ‘은행이 강도를 당한 사건’은 ‘무엇’에 해당된다. ‘어떻게’는 ‘도난 경보기가 고장 나 울리지 않아서’일 수 있다. 불행하게도 ‘경보기 오작동으로 강도를 막지 못했다’와 같은 식으로 이야기는 끝난다.

그러나 더 깊이 내막을 파고들면 경보 시스템은 일시적인 고장을 일으킨 게 아니다. 원래부터 오래되고 신뢰할 수 없는 상태였다. 교체를 위해 예산이 편성됐지만 경영진 중 누군가가 이 예산을 더 많은 고객을 유치하겠다는 명목으로 마케팅 캠페인에 써버렸다.

이를 ‘반(半)의식적 의사결정(semiconscious decision-making)’이라고 부르고자 한다. 누군가가 현금을 잃을 수 있다는 리스크를 생각하지 않은 채 도난 경보기를 교체하지 않기로 결정했기 때문이다. 실제로 그 결정은 강도를 당하는 상황으로 이어졌다.

이것은 단지 흥미로운 가상의 예가 아니다. MIT슬론경영대의 사이버 보안 연구 그룹(CAMS, Cybersecurity at MIT Sloan)은 수많은 사이버 공격을 연구했는데 대부분의 조직이 실제 사이버 공격을 당하더라도 상세한 분석과 개선을 이루지 않았다. 결국 지금의 사이버 공격은 조직의 반의식적 의사결정 행태로 인한 결과라는 것이다.

103


다중 계층 방어
(Multiple Layers of Defense)

방어자는 모든 문이 잘 잠겨 있는지 확인해야 하지만 공격자는 침투를 위해 한 방향만 공략하면 되기 때문에 유리하다는 말이 있다. 하지만 실제로는 방어자가 유리할 때도 많다.

사이버 공격에서는 공격자가 여러 단계를 모두 성공적으로 통과해야 한다. 방어자에게 각 단계는 침입을 막거나 그 영향을 최소한으로 완화할 기회를 갖는다. 즉, 공격자는 사이버 공격이 성공할 수 있도록 하는 단 하나의 방법이 아니라 정확한 순서로 여러 단계를 공략해야 한다.

앞서 언급한 은행 강도 사례 뒤에 숨겨진 내막을 알아보자. 은행장이 비서의 책상 위에 금고 비밀번호가 적힌 메모지를 붙였다는 사실이 보고되지 않았을 수도 있다. 금고 비밀번호가 강도에게 노출되기 쉬운 환경에 놓였던 것이다. 더욱이 사건을 정상적으로 녹화해 강도를 식별해 낼 수 있을 것이라 예상했던 보안 카메라도 무용지물이었다. CCTV 비밀번호도 제조업체가 설정한 초기 비밀번호 그대로였다. 공격자가 CCTV를 미리 비활성화하고 녹화된 비디오를 지울 수 있도록 방치돼 있던 것이다. 공격자가 발견한 이 모든 결점을 방어자는 간과했다.

은행 강도 사건에는 다소 터무니없는 분석처럼 들릴 수 있지만 CAMS 연구팀이 밝혀낸 바에 따르면 대부분 주요 사이버 공격에서 공격자들은 방어자의 여러 허점과 결함을 악용한다. 일반적인 사이버 공격에 대한 가장 설득력 있는 설명은 공격자가 정보를 훔치기 위해 취하는 최대 14단계를 정의한 마이터 어택 평가(Mitre ATT&CK) 프레임워크가 있다. 타깃으로 삼은 컴퓨터 시스템에 침입하는 것은 성공적인 데이터 유출의 초기 단계일 뿐이다. 귀중한 데이터를 찾아 공격자의 컴퓨터로 옮기기 위해서, 즉 데이터를 유출하기 위해서는 피해자(방어자)가 눈치채지 못하는 새 훨씬 더 많은 작업을 수행해야 한다.

CAMS 팀은 2017년 이퀴팩스 데이터 침해 사고를 포함한 여러 사이버 공격을 분석했고, 이를 적용해 사이버 공격을 방지하는 사이버안전(Cybersafety) 방법론을 개발했다. 이 방법론은 세 가지 핵심 개념을 기반으로 한다. (1) 보호하거나 방어하려는 대상, 즉 가장 가치 있는 자산이 무엇인지 식별한다. (2) 가장 가치 있는 자산 보호를 위한 프로세스의 제어장치(controller)를 식별한다. (3) 계층적으로 제어장치의 제어장치를 식별한다. 본질적으로 필요한 통제장치나 활동에 결함이 있거나 단순히 제 위치에 있지 않고, 상위 수준의 제어장치에서도 이러한 보안적 결함이 간과된 경우에만 공격이 성공할 수 있다.

이퀴팩스 보안 사고의 내막

성명, 주민등록번호, 생년월일, 주소, 운전면허번호 등을 포함한 1억4800만 명의 개인정보가 유출된 사상 초유의 이퀴팩스 사건을 생각해 보자. 처음에는 언론에 보도된 바와 같이 단순하고 아무 맥락 없이 갑자기 발생한 사건처럼 보였다. “이퀴팩스에 따르면 ‘사이버 범죄자들이 미국 웹사이트 애플리케이션 취약점을 악용해 특정 파일에 접근’하는 과정에서 침해 사고가 발생했다.” 문제가 신속하게 해결됐다면 더 이상 걱정할 일이 없어야 할 텐데 과연 그럴까?

사이버 침해 사건의 대상, 방법, 원인을 밝히기 위해 사이버 안전 방법론을 적용해 이퀴팩스 데이터 유출의 원인이었던 반의식적 의사결정 사례를 식별해봤다. 이러한 반의식적 의사결정은 조직 내 기술 부문의 중간관리자에서부터 최고경영자와 이사회에 이르기까지 아쉽게도 모든 곳에서 이뤄졌다. [그림 1]에 언급된 거의 모든 부분에서 실패했다. 이 중 두 가지를 들여다보자.

105

암호화되지 않은 데이터

이퀴팩스는 자사의 시스템과 데이터를 보호하기 위한 우수한 사이버 보안 활동과 같은 기본 관행을 거의 실행에 옮기지 않았다. 데이터 침해에 대한 가장 간단하면서도 중요한 방어 중 하나는 데이터를 암호화해 데이터가 유출되더라도 공격자에게 쓸모가 없도록 하는 것이다.

그러나 이퀴팩스에서 유출된 데이터 대부분은 암호화되지 않았다. 언론은 이 회사의 ACIS(자동고객상담 시스템) 웹사이트에 취약점이 있었으며 이를 사이버 공격의 진입점이라고 보고했다. ACIS는 모든 데이터를 암호화해야 하는 신용카드 사용자 데이터를 보호하기 위한 PCI DSS(Payment Card Industry Data Security Standard) 기준 준수 대상이다. 또한 이러한 시스템은 일반적으로 모든 PCI DSS 요구 사항이 충족되는지 확인하기 위해 매년 감사를 받는다.

이퀴팩스 경영진은 PCI DSS 감사에서 ACIS 시스템을 의도적으로 제외하기로 했다. 돌이켜보면 ACIS는 모든 데이터를 암호화해야 하는 필요성을 포함해 12개의 PCI DSS 요구 사항 범주 대부분에서 데이터 보안 인증 준수에 실패했을 것이다. ACIS가 PCI DSS 요구 사항을 준수해야 한다는 사실을 알고 있음에도 불구하고 이퀴팩스 의사결정권자들은 규정 준수를 위해 10억 달러 이상의 비용이 드는 조치를 우선순위로 두지 않았다.

업데이트되지 않은 인증 시스템

둘째, 의심스럽거나 유효하지 않은 메시지에 대한 인터넷 트래픽을 모니터링하는 회사의 침입 탐지 및 방지 프로세스(IDPP, Intrusion Detection and Prevention Process)가 최소 9개월 동안 작동되지 않은 채 방치됐다. 해당 시스템에 조치가 이뤄진 후에는 이미 한참 진행된 사이버 공격이 발견됐다.

IDPP가 작동하지 않는 이유는 무엇이었나? 인터넷 트래픽에 액세스할 수 있는 권한을 부여하려면 특정 보안 인증서가 필요했지만 인증서가 만료돼 트래픽을 모니터링하거나 경보를 울릴 수 없었다.

106


그렇다면 인증서가 오래전에 업데이트되지 않은 채로 방치된 이유는 무엇일까? 이퀴팩스에는 유사한 인증서가 수백 개 있었고 각 인증서의 만료 날짜를 추적하고 인증서를 업데이트하는 과정은 자동화가 이뤄지지 않아 사람이 개입하는 수동 작업으로 진행돼 오류에 노출되기 쉬웠다. 은행 강도의 예에서 결함 있는 도난 경보 프로세스와 유사하다. 사실 이 문제는 과거 내부에서 언급됐다. 자동화된 중앙집중식 인증서 관리 프로세스를 개발하자는 제안이 있었다. 그러나 조직 전체에 흩어져 있는 보안 인증서가 필요한 수많은 응용 프로그램을 담당하는 관리자는 이를 우선순위 밖의 일로 생각했다. 인증서 관리를 위한 중앙집중식 지원을 제공하려면 일부 조직에서 업무의 변경이 필요한데, 이는 만료된 인증서로 인해 발생할 수 있는 위험을 간과하는 사람들에 의해 거부되기 십상이었다.

의식 갖고 위험 평가해야

분명히 이퀴팩스의 어느 누구도 이렇게 통합되지 않고 만연한 반의식적 의사결정이 회사에 막대한 손실을 끼칠 수 있다는 가능성을 고려하지 않았다. 회사 이사회는 본질적으로 경영진이 공격적인 성장 전략을 추구하기 위해 위험을 감수하도록 허용했다. 그 위험이 회사에 어느 정도로 악영향을 미칠 수 있을지 측정이 어려울 정도로 무한한 것인데도 말이다. 회사 보고서에 따르면 이퀴팩스 모든 이사회 구성원은 경영 리더십, 전략 개발 분야에서 상당한 경험이 있지만 10명 중 2명만이 사이버 보안에 대한 전문 지식을 가지고 있다. CAMS 연구 결과 대부분 기업의 최상위 조직들이 거의 유사한 상황으로 파악된다.

경영진이 ‘위험 성향(risk appetite)’을 갖는 것은 좋지만 사이버 보안과 관련해서는 위험 가능성을 의식적이고 현실적으로 평가해야 한다. 필자가 연구한 대부분의 사이버 공격은 위험에 대한 명시적인 기준이나 고려 없이 내린 결정에서 비롯되었다. 사소해 보일 수 있는 결정과 그러한 결정이 초래할 수 있는 중대한 결과 간의 연관성은 거의 고려되지 않는다.

물론 일부 위험은 사전에 전혀 인식할 수 없기도 하지만 많은 경우에는 결함이 있는 것으로 알려진 도난 경보기 사례에 더 가깝다. 실제로 필자의 연구에서 다룬 거의 모든 경우에서 경영진은 위험 신호(red flags)를 무시했고, 결국 재앙과 같은 결과를 초래했다.

기업은 새 공장을 지을 위치를 결정하거나 환율 변동에 대응할 때와 같은 전통적인 위험을 파악하는 데는 익숙하다. 그러나 어떤 조직이든 사이버 보안과 관련된 위험은 새롭다. 겉보기에 사소해 보이는 판단들과 그 의사결정의 결과 사이의 연관성은 과거의 관행이나 경험으로 알 수 있는 게 거의 없다.

비즈니스 리더는 이러한 상황을 개선하기 위해 최소한 두 가지를 해야 한다. 첫째, 경영진은 조직 내 모든 레벨에서 사이버 위험이 어떻게 발생하는지 알아야 하고, 사이버 공격에 따른 잠재적 결과를 평가하는 역량을 키워야 한다. 이퀴팩스와 캐피털원 사태와 같은 대형 사이버 공격 사고에 대해 이뤄진 분석 내용을 이해하고, 도상 훈련 및 사이버 대응 모의 훈련에 참여하는 것이 이를 위한 실질적인 방안이다. 둘째, 실무 레벨의 관리자는 수익을 개선하거나 비용을 절감하기 위한 계획을 마련할 때, 계획을 변경하는 것이 잠재적으로 사이버 리스크를 어떻게 발생시킬지 의식적이고 의도적으로 평가해야 한다. 그런 다음 리스크가 허용 가능한 경우에만 진행해야 한다. 이러한 단계를 수행하면 회사가 직면하는 사이버 공격 횟수를 크게 줄이는 동시에 시스템을 침해하려는 사이버 공격의 영향을 최소화할 수 있다.


번역 |류종기 EY한영 FSO 컨설팅 지속가능금융 상무, 울산과학기술원(UNIST) 공과대학 도시환경공학과 겸임교수이며 미국 리스크관리협회(RIMS.org) 한국 대표이다. http://rims.kr
인기기사