[데이터넷] 보안의 최대 적은 ‘사람’이다. 가트너는 2025년까지 사람의 실수, 인재의 부족으로 인해 발생하는 사고가 전체 사고의 절반 이상을 차지할 것이라고 내다봤다. 실제로 버라이즌의 ‘데이터 침해 조사 보고서(DBIR) 2022)’에서 데이터 침해의 82%가 사람에 의한 것이라고 밝혔다. 사람은 임직원과 파트너, 고객 모두가 포함되며, 디지털 트랜스포메이션이 확대될수록 비즈니스 생태계가 넓어져 사람에 의한 위협은 더 넓어질 것이다.
사람에 의한 사고를 막는데에도 ‘제로 트러스트’가 필수다. 그러나 제로 트러스트를 잘못 적용하면 직원의 신뢰를 잃게 될 수 있다. 가트너의 ‘2023년 예측, 사이버 보안 업계가 사람에 집중하다’는 보고서에서 내부자 리스크 관리 방법에 대해 자세히 설명했다.
보안, 탄력적 비즈니스 지원해야
보고서에서는 2025년까지 조직의 60% 이상이 제로 트러스트를 채택하겠지만, 절반 이상은 제대로 실현하지 못할 것이며, 제로 트러스트에 대한 경영진의 이해와 지원이 충분하지 않으면 결과가 위험해질 것이라고 경고했다. 특히 ‘아무도 믿지 말라’는 용어 자체가 직원들의 권리를 박탈하고, 위협하는 것처럼 느껴질 수 있다고 조언하며, 명시적으로 신뢰할 수 있는 아이덴티티와 컨텍스트가 입증될 때 접근할 수 있다는 뜻으로 이해시켜야 한다고 보고서는 조언했다.
제로 트러스트를 이행할 때 많은 기업이 ID 관리, 원격접속보안 등 솔루션을 도입하는 것에 그치는 경향이 있는데, 제로 트러스트는 기술로 통제해서 이룰 수 있는 것이 아니다. 제로 트러스트는보안에 대한 철학을 다르게 해서 탄력적인 비즈니스를 지원할 수 있도록 설계해야 한다. 강력한보안 제어를 위해 너무나 복잡하게 보안 정책을 만들어서도 안되며, 너무 단순하고 광범위한 액세스를 제공해 신뢰할 수 없는 공격자가 신뢰된 사용자로 둔갑해 접근해서도 안된다.
제로 트러스트는 사람들이 내부 리소스에 접근하는 상황과 행위를 분석하는 것이 매우 중요하며, 지속적으로 모니터링하고 감시하는 한편, 정기적인 훈련과 교육을 통해 직원과 파트너의 보안 습관을 키울 수 있도록 하는 것이 좋다. 이 때 마이크로 러닝 세션을 구현해 정책 위반이 발생하면 즉시 고칠수 있도록 하는 것이 제안된다. 내부자 위험 관리 프로그램을 개발할 때 인사팀과 법무팀까지 참여하며, 사이버 보안 통제 효율성에 영향을미치는 인적 요인을 평가하는 것이 좋다고 가트너는 조언했다.
AI 이용 공격 위험도 높아
교육과 훈련으로 제로 트러스트 이상이 완성되는 것은 절대 아니다. 공격자는 정교하게 정상 권한을 가진 사용자로 위장해 접근한다. AI를 이용해 정상적인 업무와 관련된 커뮤니케이션을 하고, 딥페이크를 이용해 거래처, 파트너, 고객으로 위장해 접근한다. 글로벌 인재 채용을 위해 온라인으로 면접을 볼 때, 챗GPT와 같은 오픈AI가 기술면접을 통과하는 코드를 생산할 수 있어 지원자의 자격을 평가하는 것이 어려우며, 공격자가 면접자로 위장하는 것도 가능하다.
이메일을 이용해 거래대금을 탈취하는 전통적인 비즈니스 이메일 침해(BEC)는 일반적이지 않은 금융거래를 하지 않도록 교육하는 것으로 해결할 수 없다. 합법적인 거래 과정에서 수취인으로 믿을 수밖에 없도록 만들고 있으며, 거래대금 탈취가 아니라 중요 관리자와 임원의 계정과 정보를 탈취하기 위한 목적도 있기 때문에 추가 공격 발생 위협이 매우 높다.
공격자에게 속아서, 혹은 매수당해서 사고를 일으키지 않기 위해 다양한 교육과 훈련을 진행하고, 멀티팩터 인증(MFA), 사용자 엔티티 행위 모니터링(UEBA)를 도입하며, 공격자 및 공격 수법에 대한 정보 공유, 인텔리전스를 이용한 선제적인 차단과 모니터링, 평판관리와 공격표면 관리, 악성 애플리케이션 검색 등 다양한 기술을 사용하고 있음에도 공격자는 교묘하게 빈틈을 찾아 침투한다.
이 때문에 조직은 계속 보안 예산을 증가시키고, 첨단 보안 기술을 도입하고 있지만, 집요한 공격자를 막는데 번번이 실패하고 있다.
보안 인력, 업무 스트레스로 이직
가트너는 전 세계 보안 및 위험관리 기술과 서비스 비용 지출은 2022년 12.3% 증가했고, 2026년까지 연평균 11.1% 증가할 것으로 예상했다. 보안 전문가의 몸값도 높아지고 있다. 기술직업 플랫폼 다이스(Dice)는 보안 분석가의 연봉이 2019년부터 2020년까지 16% 증가한 것으로 분석했다. 그럼에도 불구하고 보안 조직은 인력 채용에 어려움을 겪는다.
현직 보안 담당자의 업무 만족도는 매우 낮은 편이다. 보안 담당자는 언제나 해킹 당할 수 있다는 생각에 과도한 스트레스를 받고 있으며, 너무 많은 업무와 책임으로 인해 번아웃 수준이 심각한상태다. 가트너는 2025년까지 사이버 보안 리더의 거의 절반이 직업을 바꿀 것이며, 업무 스트레스 때문에 25%가 이직하고 있다고 분석했다.
사이버 보안 리더의 평균 재임기간은 5년 미만으로, 빠른 비즈니스 속도를 유지하면서 다양한 외부 공격과 내부자 보안위협까지 관리해야 한다는 책임을 안고 있다. 보안을 위해 강한 보안 정책을 적용하면 사용자 경험이 저하돼 보안정책을 위반하는 내부자가 늘어나고 보안팀과의 갈등이 심해진다.
이 문제는 코로나19 기간동안 더 심해졌는데, 이동이 제한되는 원격·재택근무 환경에서 사용자들은 업무를 하기 위해 더 많은 자율을 요구했으며, 보안조직은 보안통제와 모니터링으로 위협을 관리하기를 원했다. 디지털 트랜스포메이션과 클라우드 전환 속도가 빨라지면서 보안을 고려하지 않은 변화가 진행됐으며, 많은 보안사고가 발생했고, 보안조직은 이에 대응하는데 너무 많은 에너지를 쏟아야 했다. 이 과정에서 보상이나 처우 개선 없이 모든 문제를 다 떠안고 있는 보안조직의 번아웃은 심각해질 수밖에 없었다.
자동화 툴로 보안 업무 줄여
심화되는 위협에 대응하기 위해 자동화된 탐지·대응 툴을 도입하는 등 보안조직의 업무를 줄이기 위한 노력이 있었던 것은 사실이다. XDR, SOAR 등의 자동화 툴은 확실한 위협에 대해 자동으로 대응할 수 있기 때문에 보안조직의 업무를 한층 효율화 할 수 있다. AI를 이용하면 사람이 보지 못한 위협을 식별하고 자동 대응하거나 최적의 대응 방안을 알려주기도 한다.
공격표면 관리(ASM), 디지털 위험 방지 서비스(DRPS) 등을 이용해 외부에서 진행되는 공격 정황이나 침입 가능한 취약점을 찾아 제거할 수 있으며, 이를 서비스로 이용해 고급 보안 전문가와 조직이 없어도 쉽게 보안 리스크를 관리할 수 있게 한다.
XDR은 보안예산이 충분하지 않은 조직도 도입할 수 있는 솔루션으로, 마켓 앤 마켓은 XDR 시장규모가 연평균 19.1% 성장, 2027년까지 24억달러로 성장할 것이라고 예상했다. XDR은 엔드포인트, 네트워크, 클라우드 등 다양한 소스에서 위협을 탐지하고 통합 분석해 자동 대응할 수 있는 솔루션이다. 한 번에 모든 기능을 다 도입하지 않고 필요한 기능만 먼저 도입해서 사용하면서 차츰 확장할 수 있어 보안 예산을 효율적으로 사용할 수 있다. 최근 XDR은 매니지드 서비스를 결합한 MXDR로 진화하면서 보안의 전문성이 없는 조직도 XDR을 도입할 수 있도록 한다.
보안운영센터(SOC)를 갖추고 있는 조직은 SOAR를 통해 보안 업무를 한층 개선할 수 있다. SOAR는 SOC의 업무를 자동화 한 솔루션으로, SOC 인력의 업무를 크게 줄일 수 있으며, 관제인력의 수준을 상향평준화하고, 관제인력이 놓친 위협까지 대응할 수 있어 보안을 강화하면서 보안조직의 번아웃을 완화할 수 있다.
직원 공감 가능한 비전 제시
자동화 툴이 보안조직의 업무를 도울 수 있지만, 완전히 해결하지는 못한다. 보안조직은 오히려 관리해야 할 보안 솔루션이 늘어나 업무가 증가했다고 생각할 수 있으며, 이 솔루션에서 쏟아내는 이벤트 중 자동대응을 못하고 보안 관리자가 직접 보고 분석해 대응해야 하는 인시던트로 인해 또 다른 스트레스를 받을 수 있다. 매니지드 서비스를 이용한다 해도 중요한 위협은 반드시 보안 조지에서 의사결정을 해야 한다.
또 자동화 툴이 불만을 가진 내부자, 실수 혹은 보안 정책을 몰라서 저지르는 내부자의 실수를 해결하지 못한다. 결국은 ‘인간 중심 보안’으로 보안 체질을 개선하는 것을 궁극적인 목적으로 삼아야 한다.
가트너는 기업의 보안문화를 잘 설계할 것을 조언했다. 열정과 인내만을 강조하면 직원들은 자신의 가치를 알아주는 회사로 떠나게 된다. 인재가 조직 안에서 자신의 가치를 제대로 평가받고 있으며, 정당한 대우를 받고 있다는 것을 알 수 있도록 보상 체계를 만들고 문화를 개선해야 한다.
직원들이 공감할 수 있는 비전을 제시하는 한편, 보안이 이 비전을 이루는데 방해가 되는 요인이 아니라 비전을 이루는데 중요한 역할을 한다는 사실을 알게 한다. 조직의 문화를 개선하고 정책을 바꾸는데 직접 참여하게 해 자신이 제안한 정책이 회사를 발전하게 한다는 것을 알 수 있게 하는 것이 필요하다.
