2200여 년 전 한니발은 로마를 벌벌 떨게 했던 카르타고의 명장이었습니다. 알프스산맥을 넘어 이탈리아로 진격한 한니발군의 습격에 로마군은 속수무책으로 당했습니다. 하지만 로마 시민들은 강력한 적 앞에서도 마지막까지 무너지지 않았습니다. 그들은 “한니발이 문 밖에 와 있다”며 경계를 늦추지 않았고 서로를 격려하고 보듬었습니다. 로마는 결국 한니발의 공격을 막아내고 카르타고마저 무너뜨려 대제국의 기틀을 다졌습니다.
성벽을 아무리 높이 쌓아도 적을 완벽하게 막을 수 없습니다. 전문가들은 모든 사이버 공격을 막아내는 방패인 ‘이지스’는 없다고 강조합니다. 공격을 당한 뒤에는 이미 늦습니다. 아무나 쉽게 넘볼 수 없도록 조직 구성원의 굳은 의지와 강한 억지력을 갖추는 게 더 큰 재앙을 피하는 현명한 길일 것입니다. 2200년 전 로마 시민들이 그랬던 것처럼 말입니다. DBR이 국내 정보보호 전문가들과 함께 기업들이 지능화, 조직화, 고도화되는 사이버 공격에서 기업과 고객 자산을 보호하기 위한 정보보호 방법론을 정리했습니다.
“글로벌 기업의 정보시스템 관리자인 A씨는 트위터와 페이스북 등을 통해 정보기술(IT) 전문가들과 정기적으로 정보를 나눈다. 그는 이 사이트를 통해 최신 기술과 업계 동향 등을 얻어왔다. 그가 이름만 대면 알 만한 대기업에서 일하고 있다는 것을 알게 된 사람들은 그에게 기술적 조언을 요청하기도 하고, 새로운 일자리를 제안하기도 했다. 그는 소셜미디어 활동을 통해 전문가 집단에서 자신의 능력을 인정받고 있다는 느낌을 받았다.
어느 날 A씨에게 ‘2011년 채용계획’이라는 제목의 e메일이 날아들었다. 회사 전략에 대해 궁금했던 그는 메일을 열고 엑셀 첨부파일을 열었다. 단순한 호기심은 A씨의 경력과 회사의 미래를 송두리째 흔든 재앙이 됐다. 이 e메일에 악성코드가 숨겨져 있었던 것. 악성코드는 A씨의 시스템 접근 기록과 로그인 아이디, 패스워드를 외부의 공격자에게 전송했다. 외부의 공격자는 이를 활용해 시스템에 접근해 중요한 기밀 정보를 빼냈다. 이때부터 악몽이 시작됐다. 정체를 알 수 없는 공격자는 A씨에게 정보 유출을 미끼로 거액을 요구하는 협박 메일을 보내기 시작했다. 공격자가 교묘하게 악성코드를 심어놓고 흔적을 말끔하게 지우는 바람에 회사 기밀정보가 어떻게 유출됐는지를 알아내는 데도 한참이 걸렸다. 회사의 대책도 당연히 느릴 수밖에 없었다.”
기업 대상 사이버 공격의 패러다임이 바뀌고 있다. A씨의 가상사례는 최근 국내외에서 벌어지고 있거나 벌어질 수 있는 기업 대상 사이버공격의 전형적인 유형이다. 과거처럼 시스템의 취약점을 알아내 해킹을 하고 자신의 실력을 과시하거나 항의와 불만의 표시로 웹사이트를 공격하는 정도는 애교에 불과하다. 공격자들은 경제적 이익 등을 노리고 특정 기업을 골라 장기적인 표적 공격을 조직적으로 감행하고 있다. 보안 관계자들조차 “공격자들이 마음만 먹으면 뚫리지 않을 기관이 거의 없다”고 할 정도로 위협의 강도가 세졌다. 반면 IT의존도가 높아진 기업의 약점은 더 커졌다. 국내에서 현대캐피탈, 농협 등의 금융기관이 사이버 공격을 받았고, 해외에서는 글로벌 보안기업인 RSA와 구글, 소니 등의 대기업은 물론 국제통화기금(IMF)과 같은 공신력이 있는 단체까지 사이버 공격의 제물이 됐다. 환경이 달라지면 새로운 경영 패러다임이 필요하다. 이제는 새로운 사이버 위협을 효과적으로 예방하고 대응하는 역량이 기업의 지속가능한 경쟁우위로 인식되고 있다. 이 글에서는 기업을 대상으로 한 사이버 공격에 효과적으로 대처하기 위한 전사적 정보보호 체계 구축 방법론을 제시한다.
현대 기업의 보안 사각지대
현대 사회에서 컴퓨터가 없는 사무실, 인터넷 연결이 안 되는 컴퓨터, 스마트폰을 쓰지 않는 직원들이 일하는 회사를 상상할 수 있을까? 현대 기업과 사람들은 컴퓨터 등 정보기술 기기와 네트워크를 통해 촘촘히 연결돼 있다. 앞으로 이런 연결은 더 강화될 것이다. 기술도 이를 지원하는 방향으로 발전하고 있다.
기술 발전은 기업이 수집 보유 활용하는 정보량을 폭발적으로 증가시켰다. 고객 분석을 위해 고객 개인정보, 고객의 구매 패턴 등 다양한 정보를 수집하고 분석해 고객 친화적인 상품과 서비스를 개발을 지원하는 비즈니스 인텔리전스(Business Intelligence)가 각광을 받고 있는 게 대표적인 사례다. 기술은 사람들이 서로 연결되는 방식과 기업이 다른 기업과 협업하는 방식을 바꿔놓고 있다. 사람들은 트위터, 페이스북 등 다양한 소셜네트워킹 서비스를 통해 연결돼 정보를 공유하고 있다. 이는 사람들이 교류하고 소통하는 방식에 변화를 가져왔다. 기업 간 협업도 클라우드 컴퓨팅을 통해 개방된 환경에서 자원을 공유하고 공동 작업을 하는 방향으로 발전하고 있다.
사람과 사람, 사람과 기업, 기업과 기업 간의 연대와 협업을 촉진하는 지원 기술도 빠르게 발전하고 있다. 모바일 기술을 통해 원격 재택근무가 가능해졌다. 정보기술은 USB나 노트북 컴퓨터만 있으면 어디서나 업무를 볼 수 있는 환경을 지원한다. 심지어 자동차와 같은 사물과 통신하고 연결하는 기술까지 개발되고 있다. 사이버 공격자들은 이런 환경 변화를 새로운 기회로 인식하고 있다. 기술 발전과 환경 변화로 외부의 침입자에게 노출된 기업의 빈틈은 늘었는데 이에 대한 인식과 대비는 허술하기 때문이다. 사이버공격자들이 이 보안 사각지대에서 암약하고 있는 것이다.
기업을 노리는 사이버 범죄자들
사이버 공격의 주체, 동기, 수법 등은 과거와 비교할 수 없을 정도로 정교해지고 대담해지고 있다. 사이버 공격의 칼끝이 금전적 이익을 위해 기업을 겨누고 있는 게 최근 두드러진 특징이다. 전사적 정보보호 체계를 구축하기 위해서는 누가, 어떤 목적으로, 어떻게 기업을 공격하고 있는지를 파악하는 게 중요하다.
1)공격자 과거의 해커(Hacker)는 자신들의 실력 과시를 위해 시스템에 무단 침입하는 악동과 같은 존재였다. 시스템 개발자나 기업 정보시스템 관리자에게는 골칫거리 같은 존재였지만 기술적 취약점을 찾아내 시스템을 개선하는 데 도움을 주는 역할도 했다. 1990년대 들어 해커들은 시스템을 파괴하거나 금전적 이득을 위해 해킹을 하는 ‘크래커(Cracker)’로 변질됐다. 보안 전문가들은 최근 사이버 공격자들이 각자 역할을 나눠 사이버 공격을 감행하는 조직화, 분업화, 전문화된 모습을 보이고 있다고 우려한다. 특정 기업을 공격하기 위해 자금을 대는 사람과 해킹 툴 등 기술적 부분을 전문적으로 다루는 기술 전문가, 은행계좌 등 금융 시스템 정보에 밝은 금융 전문가 등이 결합한 조직범죄의 양상을 띠고 있기 때문이다. 이들은 온라인에서 공격을 사전 모의하고, 사이버 범죄에 대한 규제가 취약한 제3국을 무대로 활동하기 때문에 추적하기가 쉽지 않다. 최근 국제사회가 사이버 범죄에 공동 대처하고 공격자들에 대한 처벌 수위를 높이려는 움직임을 보이는 것도 이 때문이다.
2)공격대상 이전까지 사이버 공격의 대표적인 사례는 분산서비스거부(DDoS) 공격과 같은 방식으로 특정 기업, 특정 기관의 웹사이트를 공격해 정치적 사회적 목적을 선전하거나 협박하는 형태다. 금전적 이득을 위해 보안이 허술한 개인을 대상으로 금융정보를 빼내는 사이버 공격도 많았다. 하지만 금융기관들이 온라인뱅킹의 보안을 강화하면서 공격자들은 개인에서 기업으로 눈길을 돌리고 있다. 금융정보 등 민감한 고객 개인정보를 보유한 금융기관이 주요 타깃이다. 최근 현대캐피탈, 농협, 리딩투자증권 등이 사이버 공격의 대상이 된 게 대표적이다. 최근에는 공격 대상이 더 확대되고 있다. 금융권은 물론 일반 대기업으로 공격 대상이 넓어졌다. 글로벌 기업인 일본 소니는 지난 4월 이후 20여 차례나 해킹 공격을 받고 있다. 특히 인수합병 등 기업의 주요 경영 현안이나 신기술 개발 등 기밀 정보에 대한 해킹이 적지 않은 것으로 추산되고 있다.
대기업만 사이버 공격의 먹잇감이 되는 게 아니다. 상대적으로 보안이 취약한 중소기업 등으로 공격 대상이 확대되고 있다. 2010년 미국연방수사국(FBI)은 중소기업, 지방정부, 교회, 개인 등을 대상으로 한 조직화된 사이버 공격의 피해액이 7000만 달러에 이른다고 밝혔다. 이들 중소단체는 대응 역량이 떨어져 공격에 속수무책으로 당할 가능성이 크다. 국가 단위에서도 사이버 테러나 정보전의 수단으로 사이버공격이 이뤄진다.
3)공격수법 보안 전문가들은 사이버 공격의 수법도 과거와 비교할 수 없을 정도로 정교해지고 있다고 분석한다. 교묘하게 잠입해 정체를 숨기고 해킹 흔적까지 감추는 정교한 악성코드를 활용한 표적 공격이 벌어지고 있다. 예를 들어 2008년 등장한 컨피커(Win32/Conficker) 웜 바이러스는 보안 전문가들도 놀랄 정도로 교묘하게 제작됐다. 이 웜은 특정 컴퓨터에 침투한 뒤에 보안 도구를 무력화한다. 새로운 지시를 받고 확보한 정보를 유출시키거나 공격자의 지시를 감염된 다른 컴퓨터로 전송하는 커뮤니케이션 기능까지 갖고 있다.
지난해 7월 동남아지역에서 발견된 스턱스넷(Stuxnet)은 사이버테러의 우려가 현실화한 신종 악성코드다. 스턱스넷은 발전소 등 산업자동화제어시스템(SCADA)을 공격하기 위해 제작됐다. 원자력 발전소 등 산업기반 시설의 오작동을 일으켜 시스템을 마비시킬 수 있다. 실제로 스턱스넷은 이란 원자력 발전소 관련 컴퓨터 3만대를 감염시켰던 것으로 알려졌다.
USB와 노트북 등의 확산도 사이버공격에 악용되고 있다. 조직원들이 자료의 저장과 이동을 위해 USB를 사용하면서 악성코드를 유포하는 매개체가 되는 경우가 적지 않다. 개인이 암호화하지 않고 중요 정보를 USB에 저장해 갖고 다니다가 분실해 정보가 유출되는 일도 벌어지고 있다.
사이버 공격이 기술적으로 진일보하고 있다는 점보다 더 위협적인 것은 특정 기업을 목표로 한 장기적인 표적공격(AST·Advanced persistent threat)이 늘고 있다는 점이다. 공격자들은 목표로 삼은 기업을 공격하기 위해 장기간 다양한 공격을 단계적으로 실행에 옮긴다. 교두보를 확보하고 이를 근거지로 삼아 공격시기를 물색한다. 이를 위해 협력업체나 관련 기업, 개인의 소셜네트워킹 사이트까지 공격 대상으로 삼는다. 예를 들어 구글은 최근 일부 가입자의 e메일이 해킹당했다고 밝혔는데 피해자들은 중국 관련 업무를 맡고 있는 미국 정부 관료와 저명 학자들로 알려졌다. 이들을 대상으로 표적 공격을 감행한 것이다. 글로벌 보안기업인 RSA의 경우 일회성 비밀번호 생성기(OTP)인 시큐어 ID 제품의 기술 정보가 해킹을 당했다. 문제는 이 제품이 군수업체에서 폭넓게 쓰여지고 있었다는 점이다. 실제로 이 사건이 일어난 후 이 제품을 사용하는 군수업체들이 해킹 공격을 받았다는 보도가 나왔다. 워낙 은밀하게 장기간에 걸쳐 공격이 진행되기 때문에 피해 기업들은 언제 어떻게 당했는지조차 파악하기 쉽지 않다. 문제는 이런 표적 공격에 대한 인식과 대비가 미약하다는 점이다. 실제로 토마스 라이언이라는 한 보안 컨설턴트는 소셜네트워크 사이트들에서 자신을 로빈 세이지로 등록하고, MIT를 졸업한 후 미 해군에서 일하는 10년 경력의 보안위협 분석가 행세를 했다. 라이언은 이런 방식으로 28일간 소셜네트워크 사이트에서 활동하며 군수업체와 보안업체 전문가들의 연락처를 확보하고 MIT 동문 연락처까지 얻어냈다. 나이가 불과 25세라고 밝혔는데도 그녀가 10년 경력의 보안 전문가라는 신분을 의심하는 사람은 없었다. 심지어 그녀에게 논문 감수를 의뢰하거나 콘퍼런스 발표를 의뢰하는 사람까지 있었다.
기업 정보보호와 CSO의 역할
최근 기업 담당자들은 기업 보안과 위험을 관리하는 문화가 자리를 잡아가고 있다고 입을 모은다. 어떤 사업을 하든지 보안과 위험을 관리해야 한다는 인식이 조직에 확산되고 있다는 것이다. 그렇다고 해서 강박적으로 위험에 집착하며 두려움에 사로 잡혀 일한다는 뜻은 아니다. 회계, 보안, 인력 등에 대한 일정한 기준을 정해놓고 이에 맞춰 업무를 추진하는 것이다. 기준을 정하면 크게 두 가지 면에서 유용한데 위기 상황에서 직원들이 기준에 따라 훈련한 대로 움직이므로 효과적으로 위기에 대처할 수 있다. 또한 기준을 실질적인 목표로 삼아 기업이나 단체가 위기를 얼마나 잘 관리하고 있는지 판단하고 조정할 수도 있다. 이런 리스크 관리 문화를 발전시키는 역할을 맡는 게 최고보안책임자인 CSO(Chief Security Officer)다. 아직까지 CSO의 직무, 활동 범위는 표준화돼 있지 않고 해당 기업의 사업 분야, 조직문화, 담당자 개개인의 독특한 재능과 경험, 능력 등에 따라 다양한 형태를 보인다. CSO의 역할과 책임을 중심으로 기업 정보보호와 리스크 관리의 당면 과제를 소개한다.
● 장벽 허물기:가장 보편적인 어려움은 정보보호를 포함하는 보안이 조직전략 및 목표와는 별개라는 사고방식이다. 많은 CSO들이 이런 장벽을 깨고 전사 차원의 관점에서 보안을 바라봐야 한다고 말하지만 현실은 이와 동떨어져 있는 경우가 많다. 대부분의 보안담당자가 비즈니스 업무 영역에 대한 이해가 높지 않다는 게 가장 큰 원인일 것이다. 또 대부분의 기업이 전사적으로 통합된 리스크 관리 체계보다는 사업부서, 팀 단위로 고립돼 있다는 점도 기업 보안이 비즈니스 조직 전체에 스며들지 못하게 만든 원인으로 작용했다. 조직의 잠재적 위협을 물리적 또는 IT 시스템 등으로 나눠서 보고 개별적인 대안을 마련하는 전통적인 리스크 관리의 관점에서 벗어나 사안을 총체적으로 보는 시각과 관점을 수립해야 한다.
● 보안을 조직화하기:과거 보안은 접근, 경계관리와 같은 물리적 보안을 의미했다. 하지만 앞으로 보안 기능을 IT 시스템의 부수적인 기능이 아닌 전사적 레벨의 핵심 업무와 기능으로 간주해야 한다. 예를 들어 최고재무책임자(CFO)와 최고리스크책임자(CRO)가 기업보안관리에 대한 감독을 맡는, 즉 모든 리스크를 하나로 묶어 보안관리에 접근하면 회사 전체적으로 일관된 지배구조(governance)를 유지할 수 있다. 그리고 이사회 의장, CEO와 같은 최고경영진에 직접적인 보고채널을 확보해 기업보안과 리스크 관련 사항이 기업의 주요 의사결정에 반영될 수 있어야 한다.
● 기업보안의 투자대비효과(ROI)를 인식:주요 정보자산의 보호를 위한 투자로 인해 비재무적 측면의 기업 명성, 평판 ROI, 강화된 기업 보안이라는 효과를 기대할 수 있다. 또 리스크 관리 역량 강화로 보험료를 줄이는 재무적인 ROI를 높이는 노력을 기울여야 한다. 관련 비용에 대한 통제와 비용을 절감할 수 있는 방법을 지속적으로 모색할 필요도 있다. 씨티그룹은 수년간 보안과 비즈니스연속성계획(Business Continuity Planning)을 면밀하게 연구해 도입했다. 이 회사는 백업트레이딩센터(backup trading area)를 구축한 선도적 금융회사 중의 하나였다. 선견지명 덕분에 9.11 사태 이후 신속하게 대고객서비스와 자산운용 업무를 복구하고 재개했다. 이를 통해 수백만 달러의 잠재손실을 막을 수 있었고 비상상황에서도 상당한 예금이자를 확보하는 성과를 거뒀다.
● 변화에 빠르게 적응, 대비하기:산업기밀유출과 같은 화이트칼라 범죄와 테러, 사기(phishing) 등의 위협을 다루는 CSO는 최첨단기술과 컴퓨터 시스템을 능숙하게 다뤄야 한다. 사이버 범죄가 지능화되고 기존의 통제와 대응 역량을 앞서가며 예상치 못한 시점에서 막대한 손실을 일으킨다. 공격자들은 방어조치를 피해 가는 적응성(Adapt To Defensive Measures)을 갖고 있기 때문에 공격의 발생 가능성과 형태를 미리 예측하는 게 쉽지 않다. 공격의 형태와 가능성을 예측하기 위해 ‘적처럼 생각해야’ 하고 다른 기업이 경험한 사례들과 시뮬레이션을 통한 ‘레드팀’ 모의훈련 등을 활용할 필요가 있다. 기업에 영향을 미치는 이해관계자가 점점 복잡하고 다양해져 새로운 형태의 리스크와 위협도 나타나고 있다. 자산을 보호하고 새로운 사업기회를 창출하는 역할뿐 아니라 기업의 사회적 책임, 브랜드와 명성 등을 관리하는 새로운 역할도 해야 한다.
축구 경기에서 89분간 잘하다가 마지막 1분을 남기고 실수하면 경기에서 진다. 기업의 정보보호 임무도 이와 비슷하다. 항상 경계를 늦춰서는 안 된다. 어떠한 위기상황이 닥치더라도 탄력적이고 유연하게 대응할 수 있는 기업위기대응능력, 즉 ‘리질리언스(Resilience)’를 확보하는 일이 정보보호 관리에서도 중요하다.
