Article at a Glance질문
경영진은 사이버 보안을 강화하기 위해 어떤 것들을 알아야 할까?
연구를 통해 얻은 해답
- 해커들은 목표로 삼은 회사의 시스템적 허점을 찾기 위해 끈질기고 치밀하게 조사한다.
- 조직의 사이버 보안에 있어서 가장 약한 연결고리는 종종 사람들이다.
- 고위경영진부터 사이버 보안의 중요성을 강조해야 한다.
편집자주이 글은 2017년 봄 호에 실린 ‘To Improve Cybersecurity, Think Like a Hacker’를 번역한 것입니다.
만약 사이버 보안에 대한 기업의 사고방식을 일신해야 한다는 데 조금이라도 의심이 든다면 매일 접하는 뉴스만 봐도 우리의 경각심을 일깨우는 증거를 충분히 찾을 수 있다.
최근 핵심 사업을 버라이즌(Verizon)에 매각하는 협상을 진행 중이던 야후(Yahoo)는 과거 사상 최대의 데이터 유출 사고를 두 번이나 당했다는 사실을 공개했다. 민감한 개인정보가 빠져나간 해킹 사고로 2013년에 10억 명 이상, 2014년엔 5억 명의 사용자 계정이 유출됐다.1
이 공격은 야후의 사이버 보안이 취약하다는 사실을 드러냈을 뿐 아니라 한창 진행 중이던 버라이즌의 사업 인수도 지연시켰다. 사고의 공개 시점과 관련해 미국 증권거래위원회(SEC)의 조사도 받아야 했다.2
이 사건은 사이버 위협이 기업의 M&A 협상에 어떤 영향을 미치는지 전반적인 의문을 던지며 정보공개 지침과 규정에도 영향을 미치는 계기가 됐다.지난 몇 년간 내부 시스템을 해킹 당한 기업들이 급속히 증가해 왔다. 수백 개 중소기업 외에도 타깃(Target), JP모건체이스(JPMorgan Chase), 홈디포(Home Depot), 소니픽처스(Sony Pictures), 애슐리매디슨(Ashley Madison), 야후 같은 유명 기업체들도 해킹 공격의 피해자가 됐다. 사이버 보안 사고는 발견되기까지 몇 주나 몇 달이 소요되는 경우가 많다. 그래서 사건 발생 후 대응 시간은 정보 유출의 규모나 피해의 경감, 출처 파악, 공개 기간에 대한 향후 법적 이슈들에 영향을 미치는 중대한 요인이 된다. 지난 몇 년간 자행됐던 해킹 공격들은 기업에 많은 비용을 초래했을 뿐 아니라 고객과 주주, 직원들 사이에서 조직의 신뢰도 또한 뒤흔들었다. 개별 기업들이 스스로를 지키기 위해 어떤 조치를 취하든 이제 해킹 공격에서 안전한 업종은 존재하지 않는다.
그 결과 사이버 보안을 위한 기업의 투자가 가속화될 조짐이 보인다. IT 전문 조사·컨설팅 회사인 가트너(Gartner)는 전 세계적으로 정보 보안에 지출되는 총비용이 2016년에는 810억 달러, 2018년에는 1010억 달러에 육박할 것으로 예측했다. 그중에서 보안 테스팅 분야가 가장 큰 성장세를 보일 것으로 전망했다.
3
안타깝게도 보안에 대한 투자 조치는 해답의 일부일 뿐이다. 전통적 방법론으로 해결할 수 있는 영역은 한계가 있기 때문이다. 더 큰 효과를 보기 위해서는 사이버 보안을 책임지는 임원들이 사고방식을 가다듬고 가능한 개방적인 자세로 상황에 적응해 나가야 한다.
기업이 새로운 유형의 위협에 대처할 수 있도록 필자들은 해커들이 조직을 공격하는 데 활용하는 프로세스를 이해함으로써 관련 정보를 바탕으로 대응 방법론을 개발했다. 이 방법론은 전문 해커들과 협력을 통해 설계됐고, 그 과정에서 전문가들의 지식과 의견을 활용하는 구조화된 기술인 델파이(Delphi) 기법이 사용됐다.
4
필자들은 또한 20명 이상의 숙련된 해커들과 심층면접도 진행했다. (‘연구내용’ 참고.)
DBR mini box
연구 내용
필자들은 두 차례의 설문조사로 구성된 웹 기반 연구를 수행했다. 설문조사에는 익명성이 보장되는 프로세스를 통해 23명의 숙련된 해커들이 참여했다. 해커 명단은 다양한 경로(인터넷에서 해킹 및 사이버 보안 서비스를 제공하는 스크리닝 해커, 매체에 언급된 사람들, 해커들이 직접 소개한 해커들, 기업의 최고보안책임자들이 추천한 해커들, 연구진이 개인적으로 알고 있던 해커들)를 통해 확보됐다. 필자들은 해커들에게 성공적인 사이버 공격을 위해 그들이 실행하는 단계들에 이름을 붙이고 우선순위를 정해달라고 요청했다. 또한 필자들은 전문가 패널과 17건의 심층면접을 별도로 진행함으로써 사이버 공격의 또 다른 단계들에 대한 세부 정보를 얻었다. 이 기사는 필자들의 연구와 인터뷰 내용, 그리고 사이버 보안 및 디지털 정보기술에 대한 그들의 경험에서 얻은 통찰력을 기반으로 작성됐다. 필자들은 연구를 수행함에 있어 현실적 지식을 얻기 위해 1950년대 이래로 활용돼 왔던 델파이기법을 사용했다. 이 기법은 데이터를 얻고 가설을 확인하기 위해 전문가들과 설문조사를 반복적으로 시행한다. 필자들은 델파이기법을 통해 해커가 이행하는 전술들을 밝히고 이에 따라 기업이 어떤 사이버 보안 전략들을 개발해야 하는지 규정했다. |
해커의 사고방식조직이 외부에서 자행되는 해킹 공격의 피해를 줄이고 싶다면 해커의 사고방식부터 먼저 이해해야 한다.
5
달리 말해 기업은 성공적 해커의 전문 기술을 파악함으로써 공격을 예측하고 대응할 수 있다. 일례로 페이스북이나 마이크로소프트 같은 기업들은 실제 해커들을 직원으로 채용해 왔다.
6
해커처럼 생각하려면 유능하고 수준 높은 해커의 특징적인 자질부터 알아야 한다. 해커들은 기술과 지능이 뛰어나고 위험을 즐기는 경향이 있다. 일반적으로 그들은 컴퓨터공학을 전공하고 수년간 덕후(geek)로 불려온 경우가 많다. 성공적인 해커들은 사교나 커뮤니케이션 기술도 뛰어나서 사람들을 조종해 필수 정보를 빼내거나 중요한 행동을 유도하기도 한다.
7