디지털 변혁은 수많은 기업의 장기 생존에서 매우 중요하다. 민첩한 신생 창업 회사들을 방어하고, 더 효과적으로 고객의 기대 사항을 충족하며, 새로운 기회를 찾고, 비용을 절감하는 데 도움을 줄 수 있기 때문이다.
여기에 더해, 보안까지 강화할 수 있다. 451 리서치가 지난해 말 시행한 조사 결과에 따르면, 고객 데이터를 안전하게 만드는 것이 변혁에서 중요한 목표 중 하나라고 대답한 IT 종사자 및 현업 부서장의 비율이 49%였다.
시장조사 회사인 루시드(Lucid)가 올해 여름 IT리더들을 대상으로 한 조사 결과에서도 49%의 IT리더들은 사이버보안을 강화하는 것이 디지털 변혁을 추구하는 이유 중 하나라고 답했다(루시드는 아직 조사 보고서를 발행하지 않았다). 그리고 40%는 소속 회사가 가장 많이 투자하는 디지털 변혁 분야로 사이버보안을 꼽았다.
이번 조사를 후원한 보안 업체인 닌텍스(Nintex)의 보안 및 컴플라이언스 디렉터 모니카 부시는 “디지털 변혁 프로젝트로 사이버보안 전략을 강화하는 IT리더들이 실제 증가하는 추세”라고 강조했다. 직원이 입사하고 퇴사하는 동안 접근 권한 관리 강화부터 GDPR을 비롯한 규제 요건을 위해 민감한 데이터의 위치를 추적하는 대형 프로젝트까지 다양한 노력을 기울이고 있다.
오피스365 같은 클라우드 기반 솔루션 등 최신 인프라를 도입하는 경우에 보안이 향상되는 경우도 많다. 리스크렌즈(RiskLens)의 프로페셔널 서비스 VP 채드 와인먼은 자신의 회사가 최근 클라우드로 마이그레이션을 고려하는 대기업들을 위해 위험을 분석했다고 말했다. 그는 “이메일 환경이 더 이상 온프레미스(내부) 환경이 아니라는 점 때문에 ‘정지’와 ‘데이터 보호’ 문제를 더 걱정한다. 그러나 조사 결과는 다르다. 마이크로소프트가 오피스 365를 관리하는 방식은 보통 기업과 기관의 방식보다 앞서 있다. 즉 클라우드로 마이그레이션을 하면 위험 노출이 증가하는 것이 아니라 감소한다”고 설명했다.
전문가들은 디지털 변혁 프로젝트를 추진하면서 기업 환경에 대한 가시성이 줄어들고, 사람이 직접 확인을 하는 지점이 줄어들고, 새로운 종류의 위협에 노출될 수 있다고 지적했다. 포티넷의 최근 조사 결과에 따르면, 디지털 변혁 노력에서 가장 큰 과제로 보안이 꼽혔다. 85%에 달하는 CSO와 CISO가 보안이 큰 장애물이라고 대답했다.
프라이스워터하우스쿠퍼스(PwC) US 사이버보안 및 프라이버시 리더인 숀 조이스는 최근 발표한 보고서에서 디지털 변혁을 추진하면서 사이버 및 프라이버시 위험 관리를 올바르게 실천하고 있는 기업은 소수에 불과하다고 지적했다. 그는 “디자인(설계) 단계부터 프로덕션 단계까지 위험을 관리하는 기업이 ‘미래의 승자’가 될 것이다. 이는 브랜드를 규정 짓는 중요한 기회다”고 강조했다.
다음은 디지털 변혁을 추진하면서 보안을 구현하기 위해 극복해야 할 중요 도전 과제 4가지다.
데이터와 프로세스에 대한 가시성이 줄어든다
리스크렌즈의 와이먼에 따르면, 써드파티가 인프라를 호스팅하는 경우 기업은 수집할 수 있는 데이터에 대한 지배력이 줄어드는 경향이 있다. 그는 “온프레미스에 호스팅을 할 경우, 가시성이 높고 항상 상황과 조건을 통제할 수 있다. 또 인텔리전스(정보)도 많다”고 설명했다. 업체가 일정 수준의 통제력이나 보고서를 제공할 수 있지만, 기업이 자신의 인프라를 직접 통제할 때와는 수준이 다르다.
새 시스템을 로컬 설치하는 경우에도 새 인프라에 대한 관리를 사전에 계획하지 않았다면 문제가 될 수 있다. 디지털 가디언의 첨단 위협 방어 디렉터인 윌 그래지도는 “자산 상태와 자산에 새 소프트웨어를 배포하는 것과 관련된 ‘불확실성’이 있을 때마다 위험에 노출이 된다. 공격 표면이 증가하는 것이다”고 말했다.
온프레미스, 하이브리드, 클라우드 환경에 모두 구현할 수 있는 컨테이너를 예로 들 수 있다. 그래지도는 “몇 년 동안 컨테이너 보안 실패가 문제가 됐었다”고 언급했다.
보안이 수익 창출 활동이 아니라는 것이 문제이다. 그는 “대부분은 보안이 ‘돈벌이’ 수단이 아니다. 따라서 (시간이 지나면서 나아졌지만)역사적으로 대부분은 보안을 크게 신경 쓰지 않았다. 그 결과 보안 관점에서 보조를 맞추는 것보다 더 빠른 속도로 인프라가 성숙기에 접어들고, 확장되고, 증가된다.”고 설명했다.
현업 부서가 IT의 개입 없이 새 기술을 조달할 때 이런 문제가 더 가중된다. 특히 클라우드 서비스는 쉽고 빠르게 설정할 수 있으며, 기술 전문성이 부족해도 사용할 수 있다. 그래지도는 “사업 단위(비즈니스 부서)가 멋대로 독자적인 인프라를 구축하는 사례들을 봤다. IT를 기다릴 수 없다. 그래서 허가나 승인을 요청하지 않고, 나중에 용서를 구하는 쪽을 선택한다. 이것이 문제를 야기한다”고 지적했다. 회사는 시스템의 존재 사실을 모르기 때문에 시스템에 대한 가시성이 없다.
보안 프로세스에서 사람을 없앤다
사람인 직원들이 대다수는 아니라도, 수많은 보안 문제에 책임이 있다. 잘못 입력하고, 보안 제어 활성화를 잊으며, 피싱 이메일을 열거나 악성 링크를 클릭하고, 사기에 속아 넘어가며, 위험한 비밀번호를 모든 장소에서 계속 사용한다.
시큐리티퍼스트(SecurityFirst)의 CTO 트레버 브라운은 “사이버 솔루션이 사람보다 나은 경우가 많다. 사람은 쉽게 ‘조종’되기 때문이다”고 말했다. 그러나 사람은 상식이라는 중요한 이점을 제공한다. 프로세스를 100% 자동화할 경우 이런 이점이 사라진다.
단순한 SQL 주입 공격을 예로 들어보자. 사람은 과거 경험하지 않은 경우에도 제출된 코드가 유효한 형식인지 그 즉시 파악할 수 있다. 그러나 컴퓨터의 경우, 이것이 가능하도록 프로그래밍 되어 있어야 한다. “사람은 느낌으로, 상식으로 잘못된 것을 알 수 있다. 그러나 기계는 그렇지 않다”고 브라운은 이야기했다.
그는 이 문제를 잘 알고 있다. 소속 회사가 자동화를 확대하는 과정에 있기 때문이다. 그는 “우리는 이제 우리 제품과 이 문제를 이야기하고 있다. 효율성이 높은 저비용 환경의 콘솔에 항상 사람들을 집어넣을 수 없기 때문이다”고 설명했다.
‘무엇을 모르는지’ 모른다
디지털 변혁은 때때로 예상하지 못한 새로운 공격 표면을 개방한다. 아마존 S3 스토리지 버킷을 사용했을 때를 예로 들자. 간편히 저렴하게 설치할 수 있다. 보안도 수월하다. 그러나 실수로 잠금이 풀린 상태로 유지될 수도 있다.
지난해 기술에 ‘정통’한 회사들을 포함해 많은 기업과 기관에서 아마존에 저장해 둔 민감한 데이터가 노출되는 사고가 발생했다. 액센츄어, 다우 존스, 버라이즌, 군사 정보 기관인 ISCOM 등이다. 케나 시큐리티(Kenna Security)의 연구 및 조사 결과에 따르면, 앞에서와 유사하게 구글 그룹의 퍼블릭 설정 때문에 민감한 이메일이 유출되는 사고가 발생한 기업과 기관들도 있다. 여기에는 포천 500대 기업, 병원, 대학, 미국 정부기관들이 포함되어 있다.
런던 소재 인증 기술 업체인 콜사인(Callsign)의 CEO 지아 하야트는 “많은 기업들이 변혁을 추진하면서 구글 G 스위트를 사용하고 있다. 지난 주에도 G 스위트를 사용하는 고객사를 만났다. 그러나 지속해서 경계하도록 G 스위트를 구성하는 데 실패하면서 데이터 침해 사고가 발생한 기업들이 놀랄 만큼 많다. 또 이런 기업들이 활동하는 산업도 다양하다”고 말했다.
사이버보안에 대한 계획이 필요하다
CSO는 기업 디지털 변혁 전략에 사이버보안에 대한 계획이 포함되도록 만드는 데 아주 중요한 역할을 한다. 하야트에 따르면, 회사에 가장 중요한 문제에 초점을 맞추는 것이 가장 효과적이다.
하야트는 “나는 보안 전문가이다. 보안 분야 사람들은 수수께끼 같은 이야기를 하기 좋아한다. 그러나 기술은 물론이고, 브랜드에 미치는 영향을 보여주는 명확하고 가시적인 사례를 활용할 필요가 있다”고 강조했다.
침해 사고가 기업의 시가 총액에 미치는 영향에 대한 사례를 예로 들 수 있다. 그는 “예를 들어, 간단한 그래프를 이용, 소비자 프라이버시와 보안을 경시해 이퀴팩스(Equifax)와 타겟, 페이스북의 시가 총액에 초래된 영향, 비용을 보여줄 수 있다. 이런 영향과 비용, 대가가 크게 급증했다”고 말했다.
리스크렌즈의 와인먼은 여기에 더해, CSO들은 설득과 ‘야단법석’을 구분해야 한다고 강조했다. 예를 들어, 데이터와 프로세스를 클라우드로 마이그레이션했을 때의 이점은 경시한 채 위험에만 초점을 맞추는 보안 분야 종사자들이 아주 많다.
와인먼은 “이는 분석이 아니라 공포와 불확실성, 의심을 확산시키는 행동에 불과하다. 이 경우, CSO에 대한 신뢰가 사라질 수도 있다. 그리고 CSO를 배제한 채 계속해서 프로젝트를 추진한다. 가치와 기회, 비용 절약이라는 이점을 확인했기 때문이다”고 설명했다.
CSO가 ‘비즈니스 용어’를 이용해 객관적으로 위험과 관해 이야기할 수 있어야 한다. 그러면 더 큰 영향력을 발휘할 수 있다. 그는 보안 분야 종사자들이 위험 평가에 있어 국제적인 기준을 활용하는 것이 좋다고 말했다. FARI 위험 평가 프레임워크를 예로 들 수 있다. 그는 “FUD(Fear•uncertainty•doubt)나 클라우드의 위험에 대해 이야기하라는 것이 아니다. 정보를 바탕으로 의사결정을 내리도록 지원하라는 것이다. 이것이 중요하다”고 강조했다. dl-ciokorea@foundryco.com
