2019 아태지역 CISO 벤치마크 리포트 정리

며칠 전 회원 분들을 대상으로 진행한 설문에 저희에게 자유롭게 의견을 남겨 달라는 문항이 있었습니다. 답변 내용을 살펴보다가 'IT Trend에 대한 기고 요청' 답변이 제 눈에 확 들어오더군요. 기업 IT의 거의 모든 부분을 다루는 커뮤니티임에도 불구하고 그동안 IT Trend에 대한 글은 몇몇 세미나 정리 글에서 조금씩 언급했을 뿐 제대로 공유 한 적이 없는 것 같습니다.

그래서 이번 시간에는 IT Trend에 대한 내용을 준비했습니다. 그 첫 번째 순서로, 많은 쉐어드IT 회원 분들이 담당하고 있는 보안 분야에 대한 보고서인 CISCO의 '2019 아태지역(아시아태평양지역) CISCO(정보보안 최고 책임자) 벤치마크 리포트' 내용을 재구성해서 공유해 드리고자 합니다.

<이미지 출처 : Cisco Security Facebook page>

Cisco에서 매년 발간하는 CISO 사이버보안 시리즈 보고서는 Cisco에서 전세계 일반 기업 및 공기업을 대상으로 실시하는 설문조사를 정리한 보고서 입니다. 과거 보고서는 여기서 확인하실 수 있고, 스크롤을 내리면 화면 아래쪽에서 다운로드 받으실 수 있습니다.

이번에 소개해 드리는 보고서의 경우 아시아 태평양 지역 11개국의 100명 ~ 499명 규모의 조직은 물론 대기업과 공기업에 이르는 약 2000명 CISO 대상으로 아래 4개 영역에 대해 설문조사를 실시했습니다.

• ●사이버보안 문화

• ●보안 경고 및 데이터 침해의 영향

• ●사이버보안 트렌드 : 클라우드 및 운영 기술(OT) 위협

• ●벤더 관리에 대한 방어자의 접근법

이번에 소개해 드릴 2019 아태지역 CISO 벤치마크 리포트의 내용은 앞서 말씀드린 것 처럼 원문 보고서의 내용을 제가 재구성한 것입니다. 보고서와 일부 순서가 다를 수 있으니 전문이 궁금하신 분들은 여기서 다운받으시기 바랍니다. 그럼 보고서의 주요 내용을 살펴볼까요?

1. 대한민국 개요

• ■한국의 사이버보안 문화

위 표는 조직 내 최신 보안 프로세스 및 기술 채택시 어떤 장애 요인이 있는지에 대한 통계입니다. 지역은 아태지역을 말하고요. 다양한 요인이 있는데 그 중 글로벌 대비 높은 응답률이 나온 요인 2개를 살펴보겠습니다. 먼저 '최신 보안 프로세스 및 기술에 대한 지식 부족'을 장애 요인으로 꼽은 응답이 한국은 32%로 글로벌 평균 22% 대비 10%나 높게 나왔습니다.  CISO 및 보안 책임자들이 최신 기술 습득 기회가 글로벌 대비 적거나 국내에서 활동하는 업체들의 CISO 대상 지식 전파 활동이 미진한 것일 수도 있으나 국내 CISO들이 이러한 교육 분야에 시간을 쏟기 어려울 만큼 격무에 시달리고 있다고 볼 수도 있습니다.(이 부분은 뒤에서 다시 말씀드릴게요.)

두 번째는 '보안이 고위 간부급의 우선 과제가 아님'인데요. 한국은 20%로 글로벌 평균 13% 대비 7%나 높은 응답을 보였습니다. 이는 곧 사고가 발생하기 전에는 보안에 대한 투자에 대해 인색하다는 것을 보여주는 것으로 해석할 수도 있는데요. 업계를 대표하는 어떤 회사가 대형 보안 침해 사고를 겪으면 그제서야 사용하고 있는 보안 솔루션 벤더의 담당자를 불러다가 '우리 회사는 괜찮냐', '이번 사건 들었지? 우리 회사도 타겟이 될 수 있을텐데 대비하려면 뭘 더 도입해야 하냐' 등 최신 정보를 요청하기도 합니다. 내부 보안 담당자에게 빨리 회사 보안 현황 파악해서 보고 올리라고 지시를 내리기도 하고요.

평소 보안 담당자가 올리는 보고서와 구매 품의에는 미적지근 하다가 이렇게 사고가 한번 터져야  관심을 보이는 것은 그 회사의 투자 우선 순위에서 보안 분야가 얼마나 뒤쳐져 있는지를 나타내 주기 때문에 더더욱 보안 벤더들이 공포마케팅에 열을 올리고 있는 것이 아닌가 싶습니다.

• ■보안 경고와 데이터 침해의 영향

한국은 전체적으로 수신되는 평균 보안 경고량이 매우 높은 국가입니다. 위 표를 보시면 왼쪽의 '매일 10만건 이상의 경고 수신' 분야에서 한국은 무려 35%의 기업이 매일 매일 10만건 이상의 보안 경고를 담당자가 수신하고 있다고 응답했습니다.2018년에는 11%에 불과했는데 1년 새에 무려 24%나 증가한 것으로 한국의 보안 담당자들이 얼마나 많은 보안 경고에 시달리고 있는지 알 수 있습니다.

그리고 이 수치는 글로벌 평균인 14%와 비교하면 무려 2.5배나 높은데요. 그나마 다행인 것은 수신하는 경고 내용 중 46%를 적절한 조치를 취해 시정하고 있다고 응답했습니다. 2018년에는 40%였는데 2019년에 6%가 상승했고요. 글로벌 평균 43%보다도 높아 이 부분은 긍정적으로 평가할 수 있겠습니다만, 평소 보안 담당자가 얼마나 격무에 시달리고 있을 지 예상이 됩니다.

그런데 아이러니한 것은, 가운데 도표의 내용입니다. 평균적으로 한국의 기업들은 수신된 모든 경고의 40%만 조사할 수 있다고 합니다. 2018년 30% 대비 10%가 늘었고, 경고량 역시 전년 대비 상승한 것을 비추어 생각해 보면 매우 많은 양의 경고를 조사하고 있지만 워낙 많은 수의 보안 경고가 발생하고 있기 때문에 놓치고 있는 보안 경고도 많다고 볼 수 있습니다. 글로벌 평균 51% 대비 11%나 낮은 수치고요.

이렇게 놓치고 있는 경고 중에 심각한 피해를 입힐 수 있는 보안 경고가 존재할 수도 있는 위험을 보안 담당자는 알고 있겠지만 주어진 여건 상 최선을 다한 결과가 이정도일 수 있습니다. 이러한 경우 해결책은 두가지 정도로 압축할 수 있겠는데, 하나는 대량의 보안 경고 중 심각성이 높은 수준의 경고만 효율적으로 선별해서 수신할 수 있도록 오탐률을 낮추는 것입니다. 다른 하나는 사람이 아닌 솔루션이 알아서 경고를 조사하고 사람의 특별한 조치가 필요한 것들만 보안 담당자에게 알려주는 것입니다. 두 가지 모두 똑똑한 솔루션의 도움을 많이 받아야 하기 때문에 어느때보다 최신 보안 기술의 도입이 필요한 것으로 볼 수 있습니다.

이번엔 실제 피해가 발생해서 다운타임을 겪은 시간에 대한 조사입니다. 1시간 이내에 해결하는 비율이 한국은 4%로 글로벌 평균 대비 1/3 수준입니다. 1~4시간까지의 다운타임의 경우 한국은 겨우 2%가 증가하는데 그쳤지만 글로벌 평균은 무려 27%로 한국보다 4.5배나 높습니다. 한국은 그만큼 사고 발생 후 단시간에 해결하는 비율이 매우 낮은 것으로 볼 수 있습니다.

다운타임 시간이 더 길어질 경우도 상황은 썩 좋아보이지 않습니다. 17~24시간의 다운타임 비율 역시 한국이 23%로 글로벌 평균 8% 대비 3배 가량 높습니다. 25~48시간은 16%로 글로벌 평균 4% 대비 4배나 높고요. 사고 발행 후 1시간 ~ 48시간 내에 해결하는 비율이 글로벌 대비 매우 낮은 수준입니다. 보안 경고를 많이 수신하는 만큼 침해 사고도 많이 발생할텐데 해결하는 시간마저 늦어지니 한국 보안담당자의 고충이 글로벌 대비 매우 많을 것으로 예상이 됩니다.

그나마 다행인 것은 48시간 이후까지 해결하지 못하는 경우는 아태지역 평균보다 낮다는 것입니다. 아시아 태평양을 제외한 글로벌 평균의 수치는 0%인 것이 인상적이네요. 그만큼 한국과 아시아 국가들이 보안 사고 발생 후 해결하는 데에 더 많은 어려움을 겪고 있다고 해석할 수 있겠습니다. 이는 앞서 살펴본 보안에 대한 투자가 인색한 부분에 영향을 받은 것이라고 봐도 좋겠지요.

• ■클라우드 트렌드

기업들이 클라우드를 선택하는 이유에 대해 조사한 결과입니다. 많이 보셨을 내용인데 눈길을 끄는 항목은 '클라우드가 더 강력한 데이터 보안 제공'입니다. 이 항목에 응답한 CISO가 한국은 35%이고 아태지역과 글로벌 평균은 50%네요. 한국의 클라우드 도입률이 글로벌 평균 대비 꽤 떨어진다는 것은 여러 벤더의 자료에서 보셨을텐데 한국 기업들의 CISO는 클라우드 기업의 보안에 대해 글로벌 대비 다소 회의적인 시각을 가지고 있는 것을 알 수 있습니다.

하지만 온프레미스로 대규모의 IT 인프라를 운영하는 기업일수록 보안을 완벽히 통제하기란 매우 어렵습니다. 관리 편의성 때문에 클라우드로 많이 이동하듯이 더 안전한 보안을 위해서도 클라우드로 이동할 필요가 있습니다. 특히 기업규모가 작은 기업일수록 클라우드 서비스 제공회사의 보안에 기대는 것이 더 나을 것이고 저희 쉐어드IT도 그렇게 서비스를 운영하고 있고요.

앞서 한국 기업들은 수신하는 보안 경고와 놓치는 경고들이 글로벌 대비 많고 조치를 취하는 데 까지 걸리는 시간도 오래 걸리는 것을 보셨을텐데요. 클라우드 인프라일 경우 클라우드 서비스에서 제공하는 보안 기능을 활용하면 글로벌 과의 간극을 조금이나마 좁힐 수 있지 않을까 생각합니다.

• ■방어자의 접근법

이렇게 어려운 보안 환경속에서 한국의 CISO들은 어떻게 대응하고 있을까요? 왼쪽의 차트를 먼저 보시죠. 이번 조사에 응한 기업들 중 54%는 보안 환경 구축을 위해 10개 이상의 보안 벤더 솔루션을 이용하고 있다고 응답했습니다. 이는 아태지역에서 가장 높은 비율을 보인 국가 중 하나입니다.

그런데 이렇게 다양한 벤더의 솔루션을 사용하게 되면 운영 측면에서 복잡성이 가중될 수 밖에 없습니다. 오른쪽 차트와 같이 무려 92%의 기업이 이러한 멀티 벤더 환경에서 쏟아지는 수많은 보안 경고를 조정하는 데에 어려움을 겪고 있다고 응답했습니다. 그만큼 사이버 보안 피로도를 높이는 결과를 가져오게 되겠죠. 다수의 벤더 솔루션을 활용해 어렵게 어렵게 운영해 나가다가 사고라도 터지면, 어느 솔루션이 원인인가 파악하는 데에도 오래 걸릴 수 밖에 없기 때문에 그만큼 다운타임도 길어지는 것으로 볼 수 있습니다.

여기까지 이번 조사에서 나타난 우리나라의 주요 결과에 대해 다뤄봤습니다. 이번엔 아시아 태평양 지역으로 범위를 확대해서 제가 중요하게 여긴 내용 위주로 소개하겠습니다.

2. 아시아 태평양 지역 개요

• ■사이버 보안 피로 수준 2018년 대비 최대 증가

한국 개요 마지막 부분에서 92%의 한국 기업들이 멀티 벤더 환경에서 수많은 경고들을 조정하는 데에 어려움을 겪고 있고 이는 곧 사이버 보안 피로도를 높이는 결과를 불러일으킨다고 말씀드렸는데요. 실제로 위와 같이 사이버 보안 피로 수준을 조사한 결과에서 한국은 2018년 39%에서 2019년 60%로 피로도가 크게 증가했습니다. 아시아 태평양 국가 중 가장 높은 증가폭입니다.

아시아 태평양 전체로 보면 2019년은 전년 대비 7% 감소하는 모습을 보인 것과 상반되는 결과입니다. 근본적인 원인은 역시 수신되는 보안경고수가 늘어나고 이에 따라 미처 조사하지 못한 경고들이 많아진 것을 꼽을 수 있습니다.

• ■유효한 경고에 대한 높은 시정 비중

앞서 한국의 경우 수신된 보안 경고들을 시정 조치함에 있어서 글로벌 평균인 43%보다 높은 46%를 기록했다고 말씀드렸습니다. 아시아 태평양 전체 평균은 38%로 한국은 아시아 국가들 중 보안 경고에 대해 잘 조치하고 있는 나라 중 하나입니다.(그만큼 보안 담당자들이 격무에 시달리고 있다고 봐도 되겠죠.)

우측의 도표는 아시아 태평양 지역 평균 수치를 2018년, 2019년으로 비교해서 보여주고 있는데요. 보안 경고 중 실제 조사하고 있는 비율, 그리고 그 경고가 실제 적법한(제대로 된) 경고였는지에 대한 비율이 2018년 대비 2019년에 모두 큰폭으로 하락했습니다. 이는 수신되는 경고에 대한 오탐률이 증가하고 있다는 것을 의미하기 때문에 바람직한 수치는 아닙니다. 때문에 더더욱 Cisco TALOS같은 강력한 보안 분석 엔진을 기반으로 한 탐지 솔루션이 필요한 것이고 보안 벤더들이 앞다투어 자사가 보유한 보안연구소와 보안엔진 역량을 홍보하고 있는 이유로 볼 수 있겠습니다.

• ■침해사고 후 가장 많이 개선된 영역

앞전에 한국의 사이버 보안 문화 부분에서 아시아 태평양 지역은 침해사고 발생 후 글로벌 평균 대비 다운타임 시간을 길게 겪고 있다고 말씀드렸습니다. 글로벌 보다 오래 걸리더라도 어쨌든 잘 해결 해 나가고 있는 아시아 태평양 지역의 기업들은 이러한 침해사건 발생 후 개선이 이루어진 3대 영역을 위와 같이 꼽았는데요. 첫 번째는 '직원들의 높아진 보안의식'입니다. 아무래도 한번 사고가 발생하면 피해를 직접 경험하게 되기 때문에 재차 동일한 피해가 발생하지 않게끔 예방할 수 있는 방안에 많은 관심을 기울일 수 밖에 없는데 그 중 가장 중요한 것이 휴먼에러를 줄일 수 있는 직원들의 보안의식 고취가 아닐까 생각되네요.

두 번째로 높은 43%의 응답률을 보인것은 '보안 방어 기술에 대한 투자 증대'입니다. 보안 벤더들이 좋아할 만한 통계네요. 결국 사고가 한번 발생해야 투자에 적극적으로 나서게 된다는 것인데 앞으로 이 항목은 개선되는 항목에서 비중이 줄어들었으면 좋겠습니다. 사고가 발생하기 전에 미리 예방 차원에서 투자를 할 수 있는 분위기 조성이 더 좋을 테니까요.

마지막은 '리스크 관리에 높아진 관심'입니다. 앞서 말씀드린 두 항목에 따라 당연한 결과라고도 볼 수 있는데, 이러한 리스크 관리에는 최신 보안 솔루션 도입도 있겠지만 개인정보침해 시 보상해 줄 수 있는 개인정보배상책임보험 가입도 하나의 리스크 관리 방안이 될 수 있을 것입니다. 한국의 경우 올해 1월1일부터 1천개 이상의 개인정보를 관리하고 전년도 매출 5천만원 이상의 기업이라면 의무적으로 가입하거나 피해 발생 시 이에 상응하는 피해보상금을 사내 유보금으로 마련해 두어야 합니다. 관련 내용은 여기서 보실 수 있습니다.

• ■가장 다양한 이종 보안벤더를 관리하는 국가

한국 개요 파트에서 한국은 10개 이상의 보안 벤더 솔루션을 이용하는 비율이 54%였습니다. 왼쪽의 차트를 보면 조사에 응한 기업 중 무려 50개 이상의 벤더를 사용한다고 응답한 비율이 14%나 되며 이는 아시아 태평양 지역 평균인 6%보다 2배 이상 높은 수치입니다. 이러니 한국 기업들의 보안 담당자가 수신하는 경고량이 많고 보란 피로도가 높을 수 밖에 없죠.

우측의 도표는 아시아 태평양 지역의 평균 수치를 보여줍니다. 사용하는 보안 벤더 수가 1~5개가 가장 높은 28%를 기록했습니다.(저희도 여기에 속하겠네요.) 회원 분들은 몇개 사용하시나요? 아마 거진 10개 이하에 속하지 않을까 싶습니다. 어쨌든 다수의 서로 다른 보안 솔루션을 사용하게 되면 당연히 관리 포인트가 늘어나기 때문에 관리자의 업무 역시 증가할 수 밖에 없습니다. 이 때 IT인프라가 클라우드라면 클라우드의 기본적인 보안 기능 + 클라우드 서비스와 연동된 3rd Party 보안 솔루션들을 사용하면 클라우드 대시보드에서 통합 관리가 가능하기 때문에 조금이나마 공수를 줄일 수 있지 않을까 생각되네요.

여기까지 아시아 태평양 지역의 개요 중 주요 내용을 살펴봤고, 이제 조사 결과로 분석된 아시아 태평양 지역 트렌드에 대해 알아볼 순서인데 앞서 언급되지 않은 내용 위주로 소개하겠습니다.

3. 아시아 태평양 지역 주요 트렌드

• ■고급 보안 기술 채택 시 최대 걸림돌 3가지

사이버보안 활동을 강화하기 위해서는 보안 벤더의 최신 보안기술을 도입해야겠죠. 이 때 가장 큰 장애물이 되는 것이 무엇인지 물었는데 이 3가지 요인들이 서로 연결되어 있었습니다. 가장 높은 응답률을 기록한 것은 '예산 제약'으로 36%이고요. 이는 비단 보안 담당자 뿐만 아니라 IT관리자라면 누구나 공감할 수 밖에 없을 것입니다. 도입하고 싶은 솔루션은 많지만 예산은 한정적이고 보안은 뒷전으로 밀리니 더더욱 보안 솔루션 도입까지 내려올 예산이 없는 것이 가장 큰 걸림돌인 것으로 나타났습니다.

두 번째는 29%의 응답률을 기록한 '최신 보안 프로세스 및 기술에 대한 지식 부족'입니다. 엄청나게 많은 수의 보안 경고를 수신하고 조사하고 조치하는 등 보안 피로도가 크게 증가했기 때문에 이러한 최신 기술 습득에 시간을 투자하기 어려웠을 것으로 예상됩니다. 그리고 세 번째는 동일한 응답률을 기록한 '교육을 받은 인력 부족'인데, 마찬가지로 격무에 시달리니 교육 받는 데에 시간을 할애하기 어렵게 되고 따라서 교육 받은 인력이 적어지는 악순환이 반복되는 것이죠.

그리고 이 두 가지 내용은 첫 번째 걸림돌인 '예산 제약'과 밀접한 연관이 있습니다. 보안에 투자할 예산이 있어야 직원들 업무를 조금이라도 줄여줘야 직원들이 기술을 학습하고 교육받는 데에 시간을 쓸 수 있을 테니까요. 역시 가장 큰 문제는 예산 문제라고 볼 수 있겠네요.

• ■운영 기술(OT) 공격

<이미지 출처 : Fortinet 360 Security Conference 2019 발표자료>

OT(Operational Technology) 네트워크는 주로 제조업 현장의 장비와 엘리베이터와 냉/난방 시스템 같은 시설장비 운영에 활용되기 때문에 안정성을 가장 중요시 합니다. 때문에 새로운 기술이 떠오르더라도 섣불리 도입하기 보다는 최대한 장비 운영 안정성을 도모하는 쪽으로 솔루션을 검토할 수 밖에 없는데요. 이러한 현상으로 인해 OT 시스템은 대체적으로 현장에서 오랫동안 사용해왔고 운영 소프트웨어 역시 여전히 오래된 버전을 여지껏 사용해 오는 경우가 많습니다. 그래서 새로운 보안 공격이 나왔을 때 즉각적으로 패턴 업데이트 등의 패치를 진행하기 매우 어렵습니다.

이 OT분야에서 악명을 떨친 악성코드가 NotPetya(Nyetya)라고 우크라이나에서 널리 사용되는 회계 소프트웨어인 M.E.Doc의 업데이트를 통해 처음 알려진 멀웨어입니다. 이 멀웨어와 유사한 종류의 사이버 공격이 OT 네트워크에 자행되면서 많은 제조업 중심의 기업들이 피해를 입는 사례가 늘었고, 저도 작년 포티넷 보안 세미나에서 처음으로 이 OT보안이라는 용어를 접해서 신기하게 생각했던 기억이 나는군요.

먼저 왼쪽 도표를 보실까요? 아시아 태평양 기업들 중 25%는 OT공격을 경험한 적이 있다고 응답했습니다. 그리고 무려 73%는 이듬해에 이 OT공격이 증가 추세를 보일 것으로 예상했는데요. 전년도 조사에서는 이 비율이 50%에 그쳤는데 1년 새애 23%나 늘었습니다. OT공격이 확산되고 피해사례가 늘어나면서 자기들도 공격받을 수 있다고 예상한 기업들이 많아진 것으로 이해할 수 있겠네요. 그리고 단 2%의 응답자만 OT가 아닌 IT에 공격이 집중될 것으로 예상했습니다.

이 수치는 글로벌 자료와 비교해 보면 차이가 있습니다. 오른쪽의 도표를 보면, OT공격을 경험한 적이 있다는 응답이 21%로 아태지역보다 4%가 낮고 이듬해에 OT공격이 증가할 것이라는 응답은 64%로 역시 아태지역보다 9%가 낮습니다. 그리고 OT가 아닌 IT에 공격이 집중될 것이라는 응답은 13%나 높고요. 이것을 보면 글로벌 보다 아시아 태평양 지역의 기업들이 OT보안에 훨씬 민감하게 생각하고 있으며 이는 현재의 보안 트렌드로 비추어 생각해 볼 때 바람직한 태도라고 여겨집니다.

그리고 보고서에서는 흥미로운 분석 결과를 내놨는데, 아태지역의 수치가 높은 이유는 아태지역 기업들이 OT공격을 많이 받아봤기 대문에 이렇게 OT공격 증가를 예상하는 기업이 많았다고 분석했습니다. 즉, 공격을 당해야, 사고가 발생해야 보안에 더 신경쓰게 된다는 사후 대응적 태도를 말하고 있는 것인데요. 실제 도표에서 비교해 보면 OT공격 경험 비율이 아태지역이 25%로 글로벌 21%보다 겨우 4% 높지만 OT공격 예상 응답은 9%나 높습니다. 경험에 의한 학습효과가 꽤나 효과적인 것으로 보여지네요.

• ■3대 보안 위험

아시아 태평양 지역 트렌드의 마지막은 3대 보안 위험에 대한 내용입니다. 조사 결과, 위와 같이 랜섬웨어가 41%로 가장 높은 응답률을 기록했습니다. 2위는 전통의 DDOS, 3위는 표적 공격(APT)가 차지했군요. 이 중 랜섬웨어에 대해 좀 더 깊게 살펴보죠.

2월8일에 가장 악명을 떨친 랜섬웨어 중 하나인 갠드크랩의 경우 한국이 피해자가 가장 많은 1위 국가라는 기사가 발표되었습니다. 보안업계에서 가장 큰 화두 중 하나가 이 랜섬웨어를 어떻게 방어하고 대응하느냐일 정도로 랜섬웨어는 보안 담당자에게 가장 큰 골칫거리 중 하나라고 볼 수 있는데요.

<통계 출처 : 한국랜섬웨어침해대응센터>

한국랜섬웨어침해대응센터의 발표에 따르면 위와 같이 매년  랜섬웨어 피해금액이 크게 증가하고 있으며 올해는 2조원을 넘을 것으로 예상되고 있습니다. 이번 설문 조사에서 랜섬웨어가 가장 큰 보안 위험으로 꼽힌 것은 어찌보면 당연해 보이기도 하는군요. 시스템을 마비시키고 대놓고 대가를 요구하는 랜섬웨어이니만큼 피해금액이 클 수 밖에 없을 것입니다. 개인적으로 랜섬웨어는 선제적 대응은 어렵고 사후 대응으로 처리해야 한다고 보는데, 올해도 랜섬웨어를 배포하려는 해커들과 보안 벤더들간의 치열한 머리싸움이 예상됩니다. 어쨌든 보안 담당자들이 가장 예의주시해야 할 위협은 올해도 랜섬웨어가 될 가능성이 커보이네요.

여기까지 아시아 태평양 지역 트렌드를 살펴봤고요. 이제 마지막으로 이러한 한국 및 아시아 태평양 지역의 현황을 토대로 향후 보안 담당자들이 자사의 보안을 강화하기 위해 어떻게 준비하고 대응해 나가면 좋을 지 Cisco의 7가지 권고사항을 소개 해 드리고 마무리 하겠습니다.

4. Cisco 7가지 권고 사항

앞서 살펴본 내용을 통해 아시아 태평양 지역의 많은 기업들이 다수의 보안 벤더 환경 즉, 멀티 벤더 환경에서 관리에 어려움을 겪고 있다고 말씀드렸습니다. 보안 피로도 역시 증가하고 있고요. 이 문제를 해결하기 위해 Cisco는 제로 트러스트(Zero Trust) 접근법을 고려할 것을 제안하고 있습니다.

제로 트러스트는 아마 많이 들어보셨을법한 용어인데요. 쉽게 말해, '아무도 믿지 않는다'라는 자세입니다. 보안 측면에서 제로 트러스트 접근법을 구현하려면 기업 시스템에 접근하는 누구라도 적법한 인증 절차를 거쳐야 하며 허가되지 않은 접근은 무조건 차단한다는 것으로 보안에 있어 한치의 틈도 허용하지 않겠다는 것으로 이해하면 쉽습니다. 이를 위해 각종 인증 및 차단 솔루션들이 많이 보급되고 있고요.

Cisco는 제로 트러스트를 위해 아래와 같이 세 가지 주요 영역에 주목하여 보안을 단순화 시킬것을 제안하고 있습니다.

• ●작업 인력(Workforce) : 자격 증명 도용, 피싱 및 기타 ID 기반 공격등으로부터 사용자와 장치를 보호

• ●작업 부하(Workload) : 멀티 클라우드 환경 관리 및 네트워크 간 수평 이동 억제

• ●작업 공간(Workplace) : 기업 내 모든 사용자와 그들의 장치에 대한 정보 및 위협 파악, 네트워크에 연결된 모든 클라이언트에 대한 통제력 유지

제로 트러스트라는 것이 엄격한 통제로부터 출발하기 때문에 너무 빡빡한 보안 정책으로 인해 사용자들의 업무 경험은 되려 퇴보할 수 있습니다. 내 PC에 너무 많은 보안 프로그램들이 돌아가고 이 영향으로 작업 능률이 떨어진다면 사용자 입장에서는 그것만큼 짜증나는게 없을테니까요. 따라서 위 세 가지 영역을 고려하여 제로 트러스트 환경을 구현하되 사용자의 불편을 최소화 할 수 있는 다양한 아이디어가 필요할 것입니다.

어차피 기업 내 사용자들의 패턴은 일관된 모습을 보일 것이기 때문에 무조건 정책적으로 몇단계에 걸쳐 복잡한 보안 인증 절차를 거치는 것이 아닌 솔루션이 AI엔진으로 학습하여 익숙한 패턴으로 확인되면 보안 절차를 조금 느슨하게 하여 사용자 경험을 해치지 않는 선에서 최소한의, 하지만 안전한 보안 환경을 제공하는 것이 중요하지 않을까 생각되네요. 물론 관리자 입장에서는 언제 어디서든 쉽고 빠르게 통제할 수 있어야 하겠고요.

특정 산업에는 그 산업에 특화된 솔루션들이 많이 있습니다. ERP만 보더라도 제조 ERP, 패션/유통 ERP, 물류 ERP 등이 있고 각 업종 별 특화 솔루션을 제공하는 회사들도 많이 있죠. 보안 분야도 비슷합니다. 많은 보안 벤더들이 각 산업별로 특화된 보안 솔루션을 내놓고 비즈니스 하고 있습니다. 때문에 많은 기업들은 자신들의 상황에 맞는 다양한 솔루션들을 사용할 수 밖에 없고, 이로 인해 관리 포인트가 늘어나며 솔루션들끼리 서로 충돌하는 현상이 발생해 관리에 더욱 애를 먹고 있는 것이 현실입니다.

따라서 Cisco의 제안은 복잡한 보안 솔루션으로 이뤄진 환경을 단순화 할 것을 제안합니다. 가장 중요한 것은 다양한 보안 솔루션이 하나의 팀으로서 작동하도록 설계되어야 하고 솔루션 간의 상호작용을 통해 부족한 부분을 보완해 나가는 것이 중요하다는 것이죠. 이를 위해서 가장 좋은 것은 여러 벤더가 아닌 하나의 벤더로 보안 환경을 통합 구축하는 것일텐데 Cisco는 이러한 통합 보안 환경을 구축하기 위해 적절한 벤더 중 하나입니다. 고객이 기존에 사용하던 보안 솔루션을 그대로 Cisco 환경에서 이용할 수 있도록 3rd Party와의 통합에도 집중하고 있습니다.

현재 한국의 보안 담당자들이 처한 가장 큰 문제가 바로 사이버보안 피로 수준이 전년 대비 크게 증가했다는 것입니다. 아시아 태평양 지역 평균은 2018년 대비 2019년에 4% 감소, 글로벌 평균은 2018년 대비 2019년에 16% 감소했으나 한국을 비롯해 필리핀, 중국 등 일부 국가에서는 사이버보안 피로 수준이 크게 증가했습니다. 이렇게 과도하게 증가한 사이버보안 피로를 해소하기 위해 Cisco가 제시하는 방안은 아래와 같습니다.

• ■교육 : Cisco Learning Network, GIAC(Global Information Assurance Certification)

Cisco Learning Network는 통해 네트워크가 공격 받았을 때 긴급 대응 임무를 수행하는 담당자들의 역량을 향상시켜줄 수 있는 사이버 보안 전문가 인증을 제공합니다. GIAC는 보안 전문가가 비인가 접근 또는 네트워크 기반 공격이 가해진 뒤 남겨진 증거물과 활동을 분석할 수 있는 Network Forensic Analyst 인증을 제공합니다. 이 두 인증을 통해 기업은 네트워크 보안 전문가를 양성할 수 있습니다.

• ■수동 프로세스의 자동화

나날이 진화해가는 멀웨어를 찾아내고 조치하기 위해 보안 담당자가 일일이 로그를 뒤져가며 추적할 필요 없이 솔루션이 알아서 학습된 패턴을 통해 멀웨어를 탐지하고 격리시켜 추가적인 피해를 차단시킬 수 있습니다.

• ■제로 트러스트 접근법을 통한 오케스트레이션(조정)

앞서 말씀드렸던 제로 트러스트 접근법을 바탕으로 멀티 벤더 환경에서의 운영을 단순화 시키는 것이 사이버보안 피로 수준을 완화시키는 데에 가장 큰 도움이 될 것입니다.

• ■소프트웨어의 최신 상태 유지

사용하는 보안 솔루션의 업데이트만 잘해도 보안 벤더가 제공하는 최신 패턴정보로 안전하게 기업 네트워크를 보호할 수 있습니다. 최신 버전으로 패치되지 않았거나 오랜 기간 방치된 소프트웨어는 해커들의 표적이 되기 쉬우므로 담당자가 이 부분을 체크할 필요가 있으며 다수의 클라이언트가 있을 경우 정책적으로 강제로 에이전트를 통해 업데이트 하는 방법 역시 고려해야 합니다.

앞서 한국은 글로벌 평균 대비 다운타임을 겪는 시간이 길다는 것을 보여드렸는데요. 다운타임을 최소화 시키기 위해서는 침해사고 발생 시 빠른 대응이 가능하도록 사이버 대응 계획을 수립하고 정기적으로 테스트하는 것이 중요합니다. Cisco에서 제안하는 몇 가지 팁을 소개 해 드리면 아래와 같습니다.

• ●업무 지정 : 누가 무엇을 하는지 명확하게 파악하고 각자의 역할과 책임에 대한 규정을 명문화합니다.

• ●리더 선정 : 비즈니스와 보안 전략을 동시에 잘 이해하고 있는 사람이 필요합니다.

• ●유연성 : 보안 계획은 떠오르는 최신 위협 공격을 언제든지 인지하고 대응할 수 있는 유연성을 가질 필요가 있습니다. 한번 정한 계획이 최신 보안 위협 트렌드를 따라가지 못한다면 빠르게 변경해서 대응해야 합니다.

• ●원격지에서 복제되어 보호해야 할 네트워크의 핵심 컴포넌트를 선정합니다. 사고 발생 시 이 컴포넌트를 기반으로 빠르게 복원해야 하기 때문입니다.

• ●핵심 팀원의 부재에 대비해서 백업 계획을 수립해야 합니다. 그래야 피치 못할 상황 발생 시 유연하게 대처할 수 있으니까요.

안전한 보안 환경 구축을 위해 우선적으로 필요한 것이 예산 확보일 것입니다. 이런 예산 확보에 있어 주요 의사 결정권자로써 역할을 수행하는 것이 CISO임에도 불구하고 아시아 태평양 지역은 글로벌 평균 대비 CISO를 고용하려는 의향이 적게 나타났습니다. 적절한 보안 관련 예산 계획 수립을 위해서라도 CISO를 고용하는 것이 글로벌 통계에서 나타난 최고의 보안 환경 개선책이었습니다.

그리고 중요한 것이 이사회의 사이버보안 보고서에 대한 불만족을 해소시키는 것입니다. Cisco의 연구에 따르면 이사회의 약 1/4는 사이버보안과 관련된 보고 수준에 불만을 느끼고 있는데 벤치마킹의 부재, 특정 비즈니스가 처한 위험요인의 불명확성, 보고서의 복잡성과 난해함 등이 이유로 꼽혔습니다. 따라서 이사회 혹은 C-Level에 예산 확보를 위해 보고서를 작성해야 하는 담당자라면 아래 내용을 참고하시면 좋습니다.

• ■사이버 보안의 위험 요인을 구체적으로 명시

비즈니스와 관련된 사이버 보안의 위험 요인을 구체적으로 명시합니다. 무엇이 우리 회사에 위험이고, 이 위험때문에 어떤 피해가 발생할 수 있으며, 그 위험은 어디로부터 발생할 가능성이 높은지 구체적으로 설명할 필요가 있습니다.

• ■벤치마킹 자료 추가

동종업계의 벤치마킹 자료를 추가해서 비교하는 것이 중요합니다. 다른 회사는 이렇게 준비해 나가고 있으니 우리도 그에 상응하는 조치가 필요하다는 식입니다. 어쨋든 모든 기업이 원하는 것은 위험의 회피이고 우리만 준비가 떨어져 보인다면 해커들의 타겟이 되기 쉬울 수 있다는 점도 어필할 필요가 있습니다.

• ■사고 발생 시 피해를 구체적인 비용으로 표현

침해 사고에 대한 비용을 화폐가치로 환산하고 이에 더해 관련 법률과 제재에 따른 벌금도 추가해서 구체적으로 표현합니다.

• ■사이버 공격 시나리오 제시

특정 상황을 가정하여 어떻게 공격이 들어오고 피해가 발생하는지 생생하게 묘사할 필요가 있습니다. 직원들이 사용하는 엔드포인트 기기의 이메일에 첨부된 파일을 클릭함으로써 랜섬웨어가 퍼지고, 시스템이 마비되고, 이를 복구하기 위해 상당한 비용 및 시간과 노력이 필요하다는 것을 보여주는 것이 좋습니다.

그리고 이러한 상황 발생 히 어떻게 해야 피해를 최소화 시킬 수 있고 얼마나 신속하게 대응해야 하는지, 위협을 인지한 이후 다운타임 시간 동안 발생하는 피해 비용은 얼마가 될 지 화폐 가치로 제시하면 이사회를 설득하는 데에 많은 도움이 될것입니다. 실제로 피해가 발생했다면 향후 동일 상황을 예방하기 위한 자료로도 활용할 수 있습니다.

업계의 분석에 따르면 2020년 전 세계적으로 200만 명의 사이버보안 전문가가 부족할 것이며 2021년에는 350만 명까지 이를 수도 있다고 합니다. 보안 위협이 점점 진화해 가고 있기 때문에 이를 막기 위한 전문인력 수급이 그 어느때보다 절실해 졌기에 Cisco는 아래와 같이 보안 역량 강화를 위해 고려해야 하는 사항들을 제시하고 있습니다.

• ■새로운 인력 확보를 위한 노력

Cisco Australia는 여성의 사이버보안 합류를 장려하기 위하 호주 전역의 여대생들을 대상으로 Cisco 멘토와 연결하는 6개월 MentorMe 프로그램을 통해 새로운 인력 유입을 위해 노력하고 있습니다. 단순히 보안 전문가를 경력직으로 채용하는 것을 넘어서서 신입 인력으로 채용해 보안 전문가로서 키워나가는 것도 장기적으로 보면 우수한 인재를 오랜기간 확보할 수 있는 방법이 될 것입니다.

• ■데이터 분석 스킬, 비즈니스 관리 스킬 역량 모두 중요, 의사소통은 전문 기술용어가 아닌 평이한 언어로

보안 관련 논의가 C-Level 단으로 넘어가면 그들이 보유한 지식은 실무진보다 적기 때문에 실무진의 보고서를 이해하는 데에도 힘겨워할 수 있습니다. CISO와 담당 팀은 C-Level(이사회)에서 이해할 수 있는 용어로 소통해야 하며, 그 자료에는 데이터에 기반한 명확한 근거, 그리고 보안 위협과 피해 발생 시 예상되는 비용, 회사 평판에 대한 비용을 수치화해서 보여줘야 합니다.

• ■보안 파트너와 협력

역동적으로 변하는 보안위협 환경에 뒤쳐지지 않기 위해 내부에 전문가를 고용하는 방법도 있지만 외부의 전문가를 활용할 수도 있습니다. 뛰어난 역량을 보유한 인재 확보가 당장 어렵다면, 보안 솔루션 제공 기업 혹은 보안 파트너와 긴밀하게 협력하는 것이 하나의 해결책이 될 수 있습니다.

• ■기존 인력의 재교육

기존에 보유한 인력들을 지속적인 재교육을 통해 일정 수준 이상의 보안 역량을 확보할 수 있도록 투자하는 것 역시 중요합니다. 내부 인력의 수준이 높아야 외부에서 끊임없이 들어오는 위협에 효율적으로 대처할 수 있고 보안 트렌드에 뒤쳐지지 않으면서 회사의 보안 환경을 안정적으로 꾸려나갈 수 있기 때문입니다. 새로운 전문가를 영입하는 것도 좋지만 최우선적으로 고려해야 하는 것은 내부인력을 활용하는 것이 아닐까요?

매년 발생하는 심각한 보안 사고의 출발점은 결국 휴먼에러가 될 가능성이 높습니다. 많은 보안사고 관련 통계에서 입증된 사실이기도 하고요. 아무리 좋은 솔루션으로 도배해 놨다 하더라도 관리자의 단순한 실수로 경계가 뚫릴 수 있는 위험은 늘 존재하기 때문입니다. 관리자가 아무리 타이트하게 보안정책을 수립하고 관리한다 할 지라도 이를 별것 아닌 것 처럼 여기는 현업 사용자의 단순한 실수로 인해 회사에 심각한 피해를 입히는 사례도 자주 접하게 됩니다.

따라서 가장 중요한 것은 기본적인 직원들의 보안 의식을 고취시키는 것입니다. 평소 보안 교육 및 정기적인 보안 훈련을 통해 의심되는 이메일의 첨부파일 혹은 링크는 클릭하지 말고, 만에 하나 랜섬웨어 감염 등 피해가 발생했다면 지체없이 네트워크를 차단한 뒤 보안팀에 연락하는 등의 빠른 조치가 피해를 최소한으로 막을 수 있을 것입니다. 직원들의 보안 인식 수준이 높으면 교육의 질도 그만큼 올라갈 수 있고, 회사의 보안 수준 역시 더욱 향상될 것이니까요.

<이미지 출처 : Cyber Crime Magazine>

사이보보안의 중요성은 더 강조하지 않아도 누구나 인지하고 있지만 피부로 와닿을 만큼 중요한지는 실제 피해를 당해보기 전 까지는 느끼기 어렵습니다. 기업의 사이버보안 역시 마찬가지라 사고가 발생해야 그제서야 사후약방문 식으로 관계 부서를 소집하고 대책을 마련하며 관련 예산을 확보하기 위해 분주하게 움직이는 경우가 다반사입니다. 관련 내용 역시 보고서에서 여러번 언급 해 드렸고요.

이 보고서를 발표한 Cisco 뿐만 아니라 많은 보안 벤더들이 매년 자신들의 보안 연구소에서 확보한 데이터를 기반으로 보안 분석 보고서를 내놓고 있습니다. 어떤 벤더라도 그 내용은 크게 다르지 않을 것으로 예상됩니다. 따라서 어느 벤더의 보고서가 됐든 자신이 보안 담당자 혹은 보안 책임자라면 항상 가까이 두고 한번 쯤은 정독할 필요가 있다고 생각합니다. 우리 회사의 보안 수준은 보안을 책임지는 사람의 지식과 마음가짐에 따라 좌우되기 마련이니까요.

다소 방대한 분량의 보고서를 제 판단에 따라 주요 내용 위주로 정리 해 봤습니다. 전문은 여기서 보실 수 있고요. 모쪼록 회원 분들의 1년 보안계획 수립 및 보안 정보 수집에 도움이 되셨기를 바라며, 저는 다음에 다른 주제의 보고서를 가지고 돌아올게요. 끝!