2015년 연말에 비공개로 열린 열린 회의에 참석한 이사진들이 정보 유출에 대한 보고서를 읽고 있다는 상황을 상상해 보자. CIO나 C
그런 상황까지 기다릴 이유는 없다. 이 자리를 빌어서 2015년 가장 뜨거운 정보 보안에 관한 이사회 회의에 들어가 어떤 일이 벌어질 지 미리 생각해 보고 이에 대한 대응 방안을 마련하자.
내년에 일어날 법한 사건들
2015년에도 특정 유형의 정보 유출 사건이 이사회의 정보 보안 토론을 뜨겁게 달굴 것이다. 우선 2014년에 문제가 불거져 크게 알려졌던 사건들이 재발될 것이고, 다른 회사에서 벌어졌던 일을 피하기 위해 정보 보안 예산을 크게 늘린 기업조차도 대규모 사건을 처음으로 겪게 될 것이다. SANS 인스티튜트의 선임 펠로우 에릭 콜은 “그 두 사건이 파급효과를 불러 일으키고 이사진들에 좌절을 안길 것이다”고 말했다.
기업들은 감염 사태를 막기 위해 수백만 달러의 예산을 쓰지만, 제대로 된 분야에 쓴 게 아니다. “이미 정보가 유출돼 곤욕을 치렀던 대기업들은 모두들 수백만 달러를 보안에 투입해 문제를 해결하겠다고 크게 발표했다. 그런데도 바로 다음해 유출이 또 일어나게 되면 그때는 회사의 이사회가 마비돼 버릴 것이다”고 콜은 말했다. 똑같은 상황이 내년 첫 번째 대규모 정보 유출이 예상되는 보안분야에 예산을 투입한 회사들에도 적용된다.
정보 도난과 지적재산권 침해 같은 사건도 이사회를 실망시키고 속을 뒤틀리게 만들 것이다. 또한 해커들은 지난 수년간 기업을 해킹했는데도 기업이 지금까지도 그런 상황을 파악하지 못했다는 점을 공개적으로 퍼뜨리게 될 것이다.
SANS 인스티튜트의 공인 강사 테드 데모폴러스는 “말하자면 기업은 자사 시스템 안에 누군가 10년간 드나들었고, 그 동안 어떠한 비밀도 없었다는 점을 갑자기 알아내게 될 것이다. 그런 사실이 대중적으로 알려지면 이사회는 패닉에 빠질 것이다”고 밝혔다.
이사회를 패닉 상태로 만들 ‘정보 보안’
2015년 이런 유형의 사건들은 겪은 이사회와 고위급 경영진은 회사를 보호할 방법을 찾아내지 못해 또 한번 좌절하게 될 것이다. “겁은 먹겠지만 어떤 질문부터 해야 할지, 또는 자신들이 받은 정보가 충분한지에 대해 확신할 수 없을 것이다”고 콜은 말했다.
“이사회는 ‘이미 이게 우리한테 벌어진 일이 아닌지 어떻게 알 수 있지?’라고 물을 것이다”고 데모폴러스는 말했다. 이사회는 누군가가 이미 오랫동안 자신들을 어떻게 해킹했는지 알 수 있을까? 그 누군가가 이미 그런 정보들을 팔거나 전세계에 공개하기 위해 지적 재산권을 훔쳤는지 이사회는 확실히 파악할 수 있을까? 어느 누구도 확실한 답을 낼 수 없기 때문에 이사회 입장에서는 극히 혼란스러울 수밖에 없다.
이사진들간에도 보안 투자 자금이 낭비되는 것은 아닌지, 왜 투자해야 하는지 등에 대한 토론이 뜨겁게 달아오를 것이라고 데모폴러스는 전했다. 이사들은 회사가 제대로 된 보안 솔루션에 돈을 쓰고 있는지에 대해 물을 것이다.
이사진들을 크게 화나게 할 상황은 회사가 유출 상황을 발견했지만 어느 누구도 언제부터 그런 상황이 벌어진 것인지 알 지 못할 때다. “그런 상황에서 많은 고성이 오갈 것이라고 생각한다. 유출되었다는 문제 그 자체나 누군가 핵심 자산이 들어있는 핵심 시스템에 침투했다는 점 보다 언제 일어난 것인지 모른다는 상황 때문이다”고 데모폴러스는 강조했다.
이사진들은 보안 대응 활동을 계량화할 수 있는 방안을 모색할 것이며 자신들이 기술 전문가가 아니기 때문에 기술적인 세부사항으로 들어가기보다는 정보 유출 위험을 최소화하는 데 관심을 기울일 것이다. “무엇이 이런 지속적인 유출을 유발했는지 이사진에게 설명해준다 해도 그들 대다수는 그 답을 이해하지 못할 것이다”고 콜은 말했다.
경영진은 자금과 위험의 관점에서 이야기하는 반면, 보안 전문가는 다른 관점에서 이야기한다. 그래서 이들을 서로를 이해하지 못한다. “나는 CSO가 이사회에 45분짜리 보안 프레젠테이션을 하는 것을 본 적이 있는데, 시작한지 5분만에 참석자들은 전화기를 보거나 딴청을 피웠고, CSO는 그들이 이해할 수 있게 이야기하지 못해서 이사진의 관심을 전혀 받지 못했다”고 콜은 설명했다.
그렇다면 어떻게 해야 하나
“대부분의 대기업들은 차세대 방화벽과 최신 IPS 등 많은 보안 솔루션을 구입했다. 그들 중 많은 수가 제대로 설치되지 못했거나 보안의 기반을 제대로 잡지 못한다는 게 내 걱정이다”고 콜은 말했다. 이런 제품들을 빠르게 수정하기보다는 제대로 된 인프라를 구축하는 게 더 시급하다.
회사가 해결해야 하는 기본적인 책임은 4가지가 있다. 바로 자산 파악, 구성 관리, 변화 제어, 데이터 발견이다. 많은 기업들은 누가 자신들의 네트워크로 침투해 들어와도 그 상황을 알지 못한다. 기업들은 사람들이 이런 자산들을 어떻게 설정해두었는지도 모른다. 기업들은 변화를 관리하지도 않고, 자신들의 핵심 데이터가 어디에 위치해 있는지도 알지 못한다. “만약 그 4가지 부분에서 실패한다면, 보안 제품에 아무리 많은 금액을 쏟아 부어도 기존의 취약성 때문에 생기는 위험이 있어 아무런 효과를 보지 못할 것이다”고 콜은 말했다.
경영진이 IT를 공부하진 않기 때문에 IT담당자들이 경영진들의 언어를 배워야 한다. “경영진들과 원활하게 커뮤니케이션할 수 있는 보안 전문가가 필요하다. IT언어를 비즈니스 언어로 옮기고 이를 비즈니스로 풀어내서 경영진이 보안 진전을 위해 제대로 된 결정을 내릴 수 있게 해주는 그런 사람 말이다”고 콜은 강조했다.
기업은 경영진에 직접 보고할 수 있고 그들이 이해할 수 있도록 말할 줄 아는 CSO를 찾아야 한다. “오늘날 대부분의 CSO들은 CIO보다 아래 지급에 있어 경영보다는 기술직에 가깝다. 그들의 커뮤니케이션은 경영진까지 도달하지 못한다”고 콜은 밝혔다.
기업에는 동등한 영향력을 가진 CIO와 CSO가 있어야 한다. “CIO는 가용성을 맡고, CSO는 경영진과 적절한 보안 상황에 대해 논의해야 한다”고 콜은 전했다.
경영진과 소통할 수 있는 CSO를 영입하고 나아가 이사회에도 보안을 이해하는 이사진이 있어야 한다. “3년 전에는 어느 누구도 나를 이사회에 데려가지 않았다. 올해 보안에 대해 이해하고 이를 그들에게 설명해줄 수 있는 이를 찾는 기업들 때문에 나는 4곳의 회사에서 사외이사를 맡고 있다”고 콜은 말했다.
데이터 유출을 더 잘 막고 피해를 최소화하는 결과가 나와야 한다. “내년에 대형유통사 중 어느 한 곳이라도 데이터 유출 사태가 발생할 경우 며칠 안에 이를 잡아내고 피해를 최소한다면 언론에 대서특필되는 일은 없을 것이다”고 콜은 강조했다.
누군가 데이터를 유출시켰냐 여부보다는 피해의 정도가 관건이다. “경영진이 놓치는 게 바로 이 부분이다. 뉴스에 나오지 않더라도 데이터 유출은 언제나 일어나고 있다”고 콜은 말했다.
dl-ciokorea@foundryco.com
