복잡한 보안 시스템 운영으로 인한 어려움 가중
[데이터넷] 사이버 공격을 비즈니스로 삼고 있는 범죄자들은 오로지 ‘공격’만을 연구한다. 목표 조직의 취약점을 찾아내고 성공적인 침투 전략을 세워 실천한다. 타깃 사용자의 업무 특성과 습관을 교묘하게 이용하는 사회공학 기법 활용 공격을 통해 공격 성공률을 높인다.
공격에만 몰두하는 공격자와 달리, 보안 담당자는 위협 대응에만 집중하지 못한다. 사내 의사결정에 필요한 보고서 작성과 회의 참석, 신규 장비·서비스 검토와 구축 및 운영, 보안조직을 포함한 전사 임직원 보안 역량 교육, 각종 컴플라이언스 파악과 대응, 경쟁사 동향 등 ‘위협’ 외의 것을 챙기는데 너무 많은 시간을 들인다. 진화하는 공격에 대응하는데 집중해도 모자란 시간에 각종 행정업무와 관계부서 및 외부기관 협력 등의 업무도 처리해야 하기 때문에 공격자보다 늘 뒤쳐진다.
보안 전문가 부족 문제 수면 위로 부상
보안 조직의 인력이 충분히 확보돼 있다면 기타 업무에 대한 부담은 큰 문제가 아니지만, 대부분의 보안 조직은 심각한 인력난을 겪고 있다. (ISC)2의 ‘사이버 보안 인력 연구 2019’에서는 전 세계 사이버 보안 인력은 평균 145% 늘어나야 하며, 특히 우리나라 보안 인력은 20만1000명 수준으로, 9만명 부족하다고 분석했다. 주 52시간 근무제 도입으로 보안조직 인력난은 더욱 심각한 상황이며, 중소·중견규모 기업, 보안관제 기업, 지방으로 이전한 공공기관 등은 보안인력 수급에 더 어려움을 겪는다.
클라우드 이전이 가속화되면서 ‘클라우드 보안 전문 인력 확보’라는 어려움이 가중된다. 클라우드보안연합(CSA)이 맥아피 후원으로 진행한 ‘금융 서비스 분야 의 클라우드 사용 현황’ 보고서에 따르면 전 세계 금융 기관 91%가 현재 클라우드 서비스를 사용하고 있거나 6~9개월 내에 사용할 계획으로 나타났다. 그러나 클라우드 보안을 위해 내부 전문인력을 양성하는 데 소극적인 것으로 나타났다. 응답자의 40% 가 외부 클라우드 보안 전문가를 채용했다고 답했으며, 58%는 제 3자를 통해 보호하고 있다고 밝혔다.
그러나 클라우드 보안 기술 격차를 해소하기 위해 직원 교육을 진행한다는 응답자가 75%에 이르러 클라우드 보안 전문가 양성에 긍정적인 신호가 되고 있다.
CISO 의무제로 보안 전문가 수요 급증
지난해 정식 실시된 최고정보보호책임자(CISO) 의무제는 보안인력 수급 어려움을 한층 더 높이고 있다.
정보통신망법에 의해 ISMS 의무 대상 기업과 중기업 이상 정보통신서비스 제공자, 자본금 1억원 이하의 부가통신사업자를 제외한 모든 전기통신사업자는 CISO를 지정해야 한다. 이 중 자산총액 5조원 이상 정보통 신서비스 제공자와 ISMS 인증 의무기업 중 자산총액 5000억 이상 기업의 CISO는 다른 직무를 겸하지 못하 도록 했다.
CISO 의무제는 자율규제 원칙에 따라 기업이 자유롭 게 비즈니스를 수행하되, 그에 대한 책임도 전적으로 지도록 하는 포지티브 규제를 실현하기 위한 조치다. 보안 전문가를 경영진의 일환으로 참여시켜 거버넌스 측면에서 사이버 보안 리스크 관리 체계를 마련해야 하며, CISO 등 경영층에서 전략을 결정하고 이끌어가도록 한 것이다.
금융보안원의 ‘금융보안 거버넌스 가이드’에서는 “해외에서는 보안 문제를 정보보호(보안) 부서 또는 기술적 관점이 아니라, 기업 거버넌스 관점에서 전사적 차 원의 보안 강화를 추진하고 있다. 이를 통해 최고경영 층을 중심으로 탑 다운 방식의 강력한 보안 강화가 가능하며, 보안사고 발생 시 신속하게 회복할 수 있다”고 설명한다.
그러면서 가이드에서는 최고경영층과 CISO의 역할과 책임을 명확하게 정의하고, 직급별·부서별 역할과 책임 을 배분하며, 안정적인 정보보호 활동을 위한 전담인력 배치와 예산 수립·집행을 권고했다.
거버넌스 중심 보안 전략 수립과 운영을 위해서는 뛰어난 보안 기술 역량을 갖추면서 경영진의 일원으로 역 할을 할 수 있는 사람이 필요하다. 보안 현장에서 이러한 요건을 충족하는 고급 보안 전문가를 찾아보기 어 렵다. 보안 담당자의 근속연수는 그리 길지 않다. 임원 승진 제약으로 인해 장기 근속하려는 의지를 갖기 어려 우며 다른 직장으로 이직한다 해도 상황은 크게 다르 지 않다.
예산이나 조직운영 권한은 매우 제한돼 있지만 보안 사고가 발생하면 무한 책임을 져야 한다. 심지어 사고 에 대한 책임을 모두 지고 회사를 떠나야 하며 심각한 사고일 경우 법정 소송을 겪어야 하고 구속될 위험까지 감수해야 한다.
복잡한 보안 시스템 운영 어려움 가중
기업에 최적화된 보안 전략을 수립하고 운영하는 것 도 어려운 실정인데, 시시각각 변하는 위협 동향에 맞춰 필요한 기술과 솔루션을 선택하고 도입해야 한다는 문제도 있다. 이러한 투자가 비즈니스 성과로 나타날 수 있도록 수치화된 효과를 도출해야 한다는 것도 어려운 일이다.
최근 보안운영센터(SOC)는 SIEM 뿐 아니라 위협 인텔리전스 플랫폼, 네트워크 트래픽 분석, EDR/ XDR, SOAR 등 다양한 차세대 보안 관리 도구가 도 입되고 있다. 또한 지속적인 자동 침투 및 공격 테스트(CAPAT), 기만(Deception)·격리(Isolation)와 같은 새 로운 개념의 기술이 등장하면서 전통적인 SOC를 획기적으로 변화시키고 있다.
이렇게 빠르게 변하는 보안 현장의 기술 수요를 만족 시키기 위해 보안 담당자는 끊임없이 배우고 훈련을 해 야 한다. 특히 보안 실무에서 즉시 사용할 수 있는 현실 적인 교육과 훈련을 통해 실무 역량을 높이는 것이 매우 중요하다.
김석 노브레이크 대표는 “현재 운영 중인 보안 관련 교육 프로그램은 실제 현장과 동떨어져 있다. 더 이상 사용하지 않는 보안 도구와 시나리오를 사용하기 때문 에 실무 역량을 높이는데 도움을 주지 못한다”며 “실제 현장과 동일한 내용의 보안 교육으로 실무 담당자에게 실제 도움이 될 수 있도록 해야 한다”고 말했다.
노브레이크는 보안 실무 담당자 대상 교육과 보안 컨설팅, 취약점 점검 등의 서비스를 제공한다. 실제 고 객사에서 취약점 점검, 보안 컨설팅을 수행하면서 현장 에서 겪고 있는 어려움을 파악하는 한편 경영의 관점에 서 보안 전략 수립에 도움을 주며, 이 경험을 바탕으로 교육 커리큘럼을 구성한다. 노브레이크의 교육 프로그 램은 주니어 급 보안 실무 담당자를 중급 이상 보안 전 문가로 성장할 수 있는 기반을 제공하는 것을 목표로 한다.
