[데이터넷] 사이버 범죄 시장은 지속적으로 커지고 있다. 딜로이트는 전 세계 사이버 범죄 복구 비용이 2021년 말 6조달러에서 2025년 10조5000억달러로 증가할 것이라고 내다봤다. 2023년에는 이 규모가 훨씬 더 커질 것으로 보인다. 장기화되는 러시아-우크라이나 전쟁, 불안정한 국내외 정치상황, 심각한 인플레이션 등이 경제위기를 고조시킬 것으로 보인다. 경기가 위축되면 기업의 투자가 줄어들며, 당연히 보안 투자도 줄어든다. 공격은 진화하는데 보안은 제자리에 있으면 사이버 위협은 높아질 수 밖에 없다. 2023년 한층 더 심화될 것으로 보이는 대표적인 위협 사례를 소개한다. <편집자>

과중한 업무 시달리는 보안조직

코로나19 기간동안 기업은 IT 인력 수급에 심각한 어려움을 겪었다. 급격한 디지털 트랜스포메이션을 진행해야 했던 기업들은 비즈니스를 IT 기반으로 이전하기 위해 숙련된 IT 인력을 필요로 했으며, 고액 연봉의 개발자를 고용하면서 IT 인력 시장에 큰 변화를 가져왔다.

‘위드 코로나’가 시행되면서 IT 인력 상황은 또 다시 급변하고 있다. 기업은 고액 연봉의 개발 자들이 예상했던 성과를 내지 못한다고 느끼고 있으며, 개발자들은 자신의 실력을 발휘해 비즈니스 성공을 이끌기에는 기업 문화가 경직돼 있고 의사결정이 느리다는 불만을 토로한다. 결국 IT 인력의 ‘몸값’은 다시 하향되는 추세가 나타나고 있으며, 경제위기를 빌미로 기업은 고용을 줄이는 상황까지 이르렀다.

보안인력은 훨씬 더 심각한 영향을 받고 있다. 경제위기에 기업은 ‘비용을 쓰는’ 보안조직보다 돈을 버는 조직에 투자를 집중하게 될 것이고, 사이버 범죄는 더 늘어나 결국 그 어느 때보다 보안위협을 심화시키는 결과로 이어질 것으로 보인다.

보안조직은 심각한 인력 부족과 과중한 업무, 열악한 처우에 시달리고 있는데 지능형 보안 대응을 위한 추가 솔루션 도입으로 더 어려움을 겪고 있다.

기업은 심화되는 사이버 위협에 대응하기 위해 통합·자동화된 위협 탐지·대응 솔루션을 도입하고 있으며, 이는 보안업무를 자동화 해 업무 부담을 줄이는 효과를 거둘 것이라고 기대한다. 자동화된 솔루션 도입은 보안인력 충원 없이 고도화된 공격을 막겠다는 계획으로 읽힐 수 있다.

즉 보안조직은 복잡한 보안 솔루션을 운영해야 하는 현재 업무에 더해 새로운 통합·자동화 솔루션을 운영하는 업무, 급진적으로 변하는 새로운 공격에 대응하는 업무를 맡아야 한다. 정부의 근로시간 연장 기조로 인해 근무환경은 더욱 열악해질 것으로 보인다.

공공부문 보안투자, 1.9% 증가에 그쳐

기업·기관의 보안투자는 극히 소극적이다. 과학기술정보통신부의 2023년 공공부문 소프트웨어, ICT, 정보호호 예정 수요조사에 따르면 소프트웨어와 ICT 장비 사업금액은 전년 대비 6.9% 증가했지만, 이 중 정보보호 관련 제품과 서비스 구매 예산은 겨우 1.9% 증가했다.

정보보호 공시에 따르면 대기업은 꾸준히 보안 투자를 늘리고 있지만, 사업 성장 규모와 사이버 범죄의 진화를 감안하면 충분한 수준이라고 보기 어렵다. 중견· 중소기업은 정보보호 투자 증가를 기대하기도 난망한 상황이다.

공격자는 몸값 지불 능력은 있지만, 보안투자에 적극적이지 않은 기업을 집중적으로 공격하고 있다. 그런데 중견·중소기업은 보안에 대한 이해가 낮을 뿐 아니라 전문가를 고용하는 것도 쉽지 않다. 전문가들은 자신이 하는 일을 잘 지원해 줄 수 있는 시스템이 잘 갖춰진 대기업을 선호한다. 중소기업은 초보 보안인의 역할부터 고급 전문가의 역할까지 모두 다 수행해야 하기 때문에 고급 보안 전문가는 입사를 꺼리는 상황이다.

그래서 매니지드 보안 서비스(MSS) 혹은 매니지드 침해 탐지 및 대응 서비스(MDR)가 각광받고 있으며, 소규모 기업부터 대기업까지 모든 규모의 기업을 대상으로 하는 MSSP가 늘어나고 있다. 그러나 서비스를 이용한다 해도 조직에는 반드시 보안에 대한 이해가 있는 실무자가 있어야 한다. MSSP에서 의심스러운 정황을 발견했을 때, 이것이 자사 비즈니스에 어떤 영향을 미치게 될지 알고 대응전략을 결정할 수 있는 통찰력은 갖고 있어야 한다. 상황이 이런데도 보안인력 채용에 소극적인 기업·기관으로 인해 사이버 리스크는 계속 높아질 것으로 보인다.

보안조직, 근무환경 개선 ‘급선무’

사이버 보안에 대한 정부규제는 지속적으로 강화되고 있다. 보안사고가 발생했을 때 책임소재는 기업이 입증해야 한다. 예를 들어 금융위원회는 금융보안 규제 선진화를 추진한다며 금융보안 체계를 자율보안체계로 전환하고 CISO의 권한 확대, 보안 사고 시 금융사 책임 강화 등의 개선을 하겠다고 밝혔다.

CISO의 권한이 확대되는 것은 바람직한 방향이라고 여겨지지만, 사고 시 어떻게 책임지느냐는 깊이 고민해야 할 문제로 보인다. 프루프포인트는 미국 연방법원이 우버 개인정보 탈취 사고에 대해 CISO에게 직접 책임을 물었는데, 이것이 매우 위험한 선례라고 지적했다. 보안사고가 CISO에게 책임이 있다고 하면 보안 전문가들은 CISO로 일하기를 꺼리게 되며, 결국 보안 전문가는 기업에서 일하려고 하지 않을 것이라는 설명이다. KT 개인정보 유출 사고 시 보안팀장을 구속해 보안인들의 불만이 폭발했던 우리나라 사례에서도 보안 담당자 개인에게 책임을 묻는 것은 바람직하지 않다는 것을 알 수 있다.

보안 고도화 위해서는 인력 투자가 최우선

보안 기업들은 고급 보안 솔루션을 사용하면 침해를 예방하고, 실수에 의한 보안 사고를 줄일 수 있다고 설명한다. 보안조직의 업무를 줄여 더 높은 수준의 위협 관리에 집중할 수 있으며, 지능형 위협 대응 효과를 높일 수 있다고 강조한다.

이상적인 보안 관리는 현실과 괴리되어 있다. 대부분의 보안조직은 권한은 적고 책임은 많다. 사고가 일어나지 않으면 ‘돈만 쓰는 조직’이 되며, 사고가 발생 하면 ‘돈 쓰면서 사고도 못 막는 조직’이 된다.

보안 수준을 강화하기 위해서는 솔루션 투자와 함께 경영진의 인식개선, 그리고 보안 인력 투자가 이뤄져야 한다. 현재 인력이 더 높은 보안 전문성을 가질 수 있도록 적극적으로 교육하고, 근무환경을 개선시키며, 더 많은 권한을 갖고 보안통제 할 수 있도록 해야 한다. 보안과 현업의 차이를 줄이기 위해 이사회나 경영회의, 중요한 의사결정에 보안 책임자를 참여시켜야 하며, 모든 사업의 처음부터 보안을 고려해야 한다.