최고 경영진이 편의를 위해 사이버 보안 조치를 무시해도 괜찮다고 생각하는 사람들이 있다. 이는 바람직한 생각이 아니다.
직원을 대상으로 강력한 사이버 보안 정책을 시행하면서도 경영진과 같은 엘리트 임원은 예외로 두는 조직을 보면 다소 의아하다. 10대 시절 필자의 어머니는 ‘내가 하는 대로 하지 말고 내가 말하는 대로 하라’는 전술을 사용하곤 했다. 그 당시에는 별로 효과가 없었고 50년 이상 지난 지금도 역시 그렇다.
필자는 솔선수범을 중시하는 성향이므로 경영진의 면제와 관련해서는 약간의 편견이 있을 수 있다. CISO와 그 부서는, 태연히 규칙을 무시하고 형편없는 본보기가 되는 일부 경영진들을 상대하지 않더라도 이미 할 일이 넘쳐나고 있다.
버사 네트웍스(Versa Networks)의 보안 책임자 존 테일러는 이 문제를 아주 단순하게 요약했다. 그는 이사회(공공 또는 민간)가 관리하는 회사의 경우에는 쓸 수 있는 도구만 사용하고 컴플라이언스가 필요하기 때문에 경영진의 면제가 허용되지 않는다고 말했다.
테일러는 “이러한 규정과 지침이 조직의 이름과 얼굴을 대변하는 개인으로서 CxO에게 위험 등급을 적용한다. 자신이 침해 사고의 중심이 된다면 정확히 어떤 데이터가 위험에 처할 것인지, 회사가 어떤 영향을 받을 것인지, 그리고 개인적으로 어떤 영향을 받게 될지를 CxO에게 보여주는 것이 중요하다”라고 설명했다.
면제가 있으면 안 된다고 최고 경영진을 설득
테일러는 “비상장 기업에서 이러한 교육의 대상은 주로 최고 경영진이다. 개별 표적의 대상이 되는 게 얼마나 쉬운지, 침해 대상이 됐을 때 회사가 부담해야 하는 비용은 얼마인지 최고 경영진이 이해해야 한다”라고 말했다.
워치가드(Watchguard)의 CSO인 코리 나크라이너도 이와 유사한 견해를 드러내며 솔선수범의 중요성을 강조했다. 그는 “훌륭한 사이버 보안 프로그램과 문화는 최고 경영진의 리더십 아래 전폭적인 지지를 받을 때 비로소 성공할 수 있다는 점을 교육하고 있다. CSO와 CISO는 이사회 및 동료 경영진의 전폭적 지원을 받고 있다는 확신이 없는 한 보안 책임자의 자리를 수락해서는 안 된다”라고 언급했다.
제대로 교육받은 경영진의 지원이 없을 경우 사내 보안 문화는 절대 성공할 수 없다고 나크라이너는 지적했다. 그는 “경영진이 적절한 조치를 따르지 않는다면 직원 역시 그래도 된다는 메시지를 보내는 것과 같다. 경영진은 자신이 피싱 및 스피어 피싱 공격의 주요 표적 집단 중 하나임을 이미 인지하고 있어야 한다. 따라서 이들은 보안 관행을 더 잘 따르고 일반 직원보다 더 경계를 늦추지 말아야 한다”라고 말했다.
사이버 보안 정책은 비즈니스를 가능케하고자 존재하는 것이지 방해하기 위해 존재하는 것이 아니다. 나크라이너는 “경영진이 우회하길 원할 정도로 보안 정책이 심각하게 비즈니스를 방해하고 있다면, 정책이 반드시 필요한지 고려해 봐야 한다”라고 전했다.
그는 “사이버 보안은 완벽한 보안 관행의 상아탑이라기 보다는 최소한의 위험으로 비즈니스를 수행할 수 있도록 해주는 위험 관리 등식이다. 보안 정책이 실제로 비즈니스를 방해하거나 둔화시키는 경우가 있다. 이때 보안 정책이 비즈니스에 제공하는 가치가 리스크보다 더 크다고 판단되면, 이를 허용된 리스크로 간주할 수도 있다”라고 덧붙였다.
최고 경영진은 더 높은 수준의 맞춤형 보안이 필요할 수도
누군가는 최고 경영진이 특별 대우를 세심하게 받아야 한다고 말할 수도 있다. 필자도 최고 경영진이 빠른 수준의 전담 지원을 아마도 필요로 할 수 있다고 생각하는 사람 중 하나다. 그러나 늘 그런 것은 아니기에 ‘아마도’라는 표현을 사용했다. 사이버 사고나 문제 상황에서 때때로 능력이 저하되더라도, 최고 경영진의 역량이 항상 ‘켜짐’ 상태를 유지할 수 있도록 전담 팀을 둬야 한다는 주장도 설득력은 있다.
여기에서 최고 경영진을 철저하게 보호하도록 해야 하는가 혹은 더 높은 수준의 맞춤형 지원을 제공해야 하는가라는 질문이 제기된다. 테일러는 최고 경영진을 100% 보호하는 것이 불가능하다며 보호를 위한 일관된 접근 방식이 필요하다고 주장했다. 그는 “경영진과 그 가족을 겨냥한 침해 지표(IoC)를 식별하기 위해 사용자의 활동을 심층적으로 모니터링하는 전략”을 지지한다고 밝혔다.
나크라이너는 “다른 고위급 직원이나 특별 권한을 가진 직원도 마찬가지로 더 이상 별도의 보호 작업을 수행하지 않는 게 좋다. 경영진은 모든 직원과 동일한 보안 통제, 정책 및 허용 가능한 사용 지침을 적용받아야 한다. 단지 이들을 특별 권한 사용자 혹은 고가치 표적(high-value targets)으로 설정하기만 하면 된다”라고 단도직입적으로 말했다.
또한 테일러는 최고 경영진에게 보다 엄격한 통제 및 접근 제한을 적용할 것을 제안했다. 그는 “CFO는 회사의 모든 재무 데이터에 접근 권한이 있지만, CPO가 갖고 있는 HR 관련 자료에는 접근하지 못하도록 할 수 있다. CIO는 도구를 통해 생성할 수 있는 보고서에 접근 가능하나 개별 시스템에 대한 읽기 혹은 쓰기 권한은 없을 수 있다. CEO도 마찬가지로 보고 시스템에는 접속 가능하나 특정 부서 내 개별 시스템의 읽기 혹은 쓰기 권한은 없을 수 있다. 접근 제한을 통해 최고 경영진 중 누가 침해를 당하더라도 그 피해 반경을 최소화하는 완충 지대를 만들 수 있다”라고 설명했다.
인포시큐리티 팀은 무엇보다도 전사적 위험을 줄여야
인포시큐리티(infosec) 팀은 경영진이 골칫거리라는 이유로 재난이 닥칠 때까지 마냥 방관해서는 안 된다. 잘못된 결정과 관련된 보안을 강화하고 기업의 위험을 줄이는 조치를 취해야 한다. ‘계급에 특권이 있다’라는 철학을 가진 이들에게는, CISO와 관련 부서가 수습하는 문제에 대한 책임이 자신에게 있음이 확실해질 때 비로소 상황을 깨닫게 될 것이라고 충고하고 싶다.
나크라이너는 경영진의 면제를 허용하는 문제와 관련해 CISO에게 가치 있고 예언적인 조언을 건넸다. 그는 “최고 경영진의 면제를 허용하거나 완전히 다른 것을 시도하다가는 나쁜 결과로 이어질 수 있다. 다른 직원이 적용 받는 요구 사항을 최고 경영진은 전부 거부하고 정책을 우회할 정도로 보안에 무심한 경우, 이는 보안 프로그램에 대한 최고 경영진의 전폭적인 지원이 없음을 방증한다”라고 말했다.
CISO가 최고 경영진의 지원을 받지 못한다는 것은, 중대한 결정의 때가 왔다는 의미다. 이전 사설에서 언급한 바 있듯이 CISO는 언제 기회를 잡고 언제 포기해야 할지 알고 있어야 한다.
*Christopher Burgess는 시스코의 前 수석 보안 고문이며, 데이터 및 보안 분야의 여러 스타트업에서 CEO/COO를 역임했다.dl-ciokorea@foundryco.com
