[데이터넷] 최근 업계를 막론하고 세계 유수 기업의 기업 정보보안 책임자(CISO)들이 입을 모아 보안 교육의 중요성을 강조하고 있다. 명확한 IT 시스템이 확립된 대규모 조직 내부에서도 보안 사고가 인적 실수로 발생하는 경우가 비일비재하기 때문이다. 실제로 피싱 메일을 받은 시스템 관리자가 자격 증명과 권한이 부여된 계정에 멀웨어를 설치하는 사례에 대해서 많은 CISO가 어려움을 토로해왔다.
잘못된 시스템 구성에 의해 사용자 계정, 응용 프로그램, 혹은 데이터가 도난당하거나 무단 액세스에 노출될 수 있다는 가능성을 고려했을 때, 직원 대상의 철두철미한 보안 교육은 매우 중요하다. 보안 사고의 사전 예방 조치인 교육은 단연코 최소한의 비용으로 보안 수준을 효율적으로 강화할 수 있는 방안으로, 오라클은 이러한 교육을 통해 조직을 둘러싼 보안 위험을 25%까지 감소시킬 수 있다고 전망한다.
과거의 보안 교육이 단순히 직원들에게 클릭하지 않아야 할 메일이나 웹사이트에 대해 주지시키거나 업무 중 습득하는 정보를 적극적으로 보호하는 태도를 정립하는데 집중했다면, 최근 CISO들은 기업의 보안 유지에 대한 직원의 역할에 보다 큰 비중을 두고 있다. 조직 구성원이 보안의 중요성에 대해 충분히 인식하고, 관련 지식을 기반으로 책임감을 가지고 보안 수칙을 주도적으로 실천함으로써 보안 사고를 사전에 예방하는 문화를 발전시켜야 하기 때문이다.
사고 이후 대처 능력 갖춰야
기술 부족은 다수 조직의 CISO가 당면하고 있는 근본적인 문제다. 일상 업무 전반에 보안을 적용하기 위해서는 보안이 비단 어느 한 사람만의 과제가 아니라는 이해를 바탕으로 모든 구성원이 위험 요소와 보안 원칙에 대한 지식을 습득해야 한다.
뿐만 아니라 조직 내에서 보안에 대한 견고한 신뢰를 구축하려면 역설적으로 모든 동료를 신뢰할 수 없다는 사실을 이해하는 것이 중요하다. 특정 임무를 수행하는 사용자에게 최소한의 제한적인 권한만을 할당한다는 최소 권한 원칙에 입각해, IT 부서의 소프트웨어 개발자와 시스템 관리자의 인적 실수를 최대한 차단하는 환경을 마련해야 한다는 공감대를 형성하는 것이 필요하다.
하지만 어떠한 사전 예방 체계도 완벽하지 않다는 사실 또한 잊지 말아야 한다. 사고를 미연에 예방하고 피해를 최소화할 수는 있겠지만 교육만으로 보안 문제를 원천적으로 봉쇄하는 것은 불가능하다. 따라서 인적 자원의 관리와 더불어 시스템 차원의 개선 역시 CISO가 고려해야 하는 사항이다.
CISO의 중요한 역할 중 하나는 사고가 발생한 이후에도 비즈니스가 유지될 수 있도록 재해복구 시스템을 구축해 사후 대처 역량을 제고하는 것이다. 이 밖에도 조직이 기존에 보유한 보안 시스템을 지속적으로 점검하고, 시스템 간소화를 통해 관리 부담을 줄이는 것도 필요하다.
추가 비용을 들이지 않고도 유럽 개인정보보호규정(GDPR)이나 캘리포니아 소비자 프라이버시법(CCPA)과 같이 증가하는 보안 규제의 컴플라이언스 수준을 향상하는 것 역시 CISO가 당면하고 있는 주요 과제다.
AI·ML 기반 자동화 도입 지속 확산
많은 전문가들이 올해를 엔터프라이즈 시장이 개화하는 원년으로 전망한 가운데, 효과적인 보안 시스템 관리를 위한 CISO들의 고민 역시 깊어지고 있다. 최근 서비스형 소프트웨어(SaaS) 도입과 기존 데이터베이스의 클라우드 이전을 포함해 조직 내에서 활용하는 클라우드 자원 구성의 양은 최근 급속도로 증가하는 추세다.
이에 따라 엔터프라이즈 규모의 클라우드를 구현해야만 하는 대기업들은 과거와 같은 속도로 보안을 구성하고 유지하는 것이 힘들다고 이야기한다. 클라우드와 데이터센터, 애플리케이션, 그리고 최종 사용자를 연결하는 방화벽에 ‘보안 구멍’이 생기지 않도록 네트워크가 올바르게 설정됐는지 지속적으로 확인해야 하기 때문이다. 이전보다 훨씬 교묘한 방법으로 시스템에 침투하기 위해 최신 애널리틱스 기술로 무장한 보안 공격자들 역시 시스템 관리를 위한 고민을 가중시키고 있다.
보안 취약점을 신속하게 감지할 수 있는 분석 기술은 심층적인 보안 시스템을 구축하는데 핵심적으로 기능한다. 특히 강력한 자동화 기술은 새로운 분석 도구를 통해 사고 발생 시점을 즉각적으로 파악하는 것은 물론, 공격을 실시간으로 식별, 분석, 복구하는데 효과적으로 활용될 수 있다.
자동화 기술은 중요한 보안 패치와 문제 해결에 소요되는 시간과 자원을 비약적으로 절감할 수 있다는 점에서 특히 주목받는다. 자동화를 실행하면 사람의 개입 없이 패치를 건너뛰거나 지연하지 않고 시스템을 가장 안전한 상태로 유지하는 것이 가능하다. 오라클은 2020년 인공지능(AI)과 머신러닝(ML)을 기반으로 한 자동화의 도입이 업계에 지속적으로 확산할 것으로 전망하고 있다.
기업이 축적하는 데이터의 양이 비약적으로 증가함에 따라 머신 인텔리전스 - 딥러닝 기반의 알고리즘을 통해 주변 환경을 경험 및 학습하고 정보를 능동적으로 제공하는 기술 - 의 중요성은 계속해서 회자될 것이다. 보안 관리자들은 이를 활용해 어떤 위험을 사전에 대비해야 하는지 자동적으로 예측함으로써 보다 전문화된 보안 업무에 집중할 수 있게 된다. 머신 인텔리전스의 기틀이 마련될 것으로 예측된 올해, 보다 많은 기업의 CISO들이 이러한 자동화 기술의 혜택을 경험하기를 기대해본다.
