보안 유출 사고와 피해 금액이 증가함에 따라 CIO는 위험을 완화시키기 위해 보안 측정을 강화하고 보안 투자도 늘려야 한다. 이미지
많은 CIO들이 보안에 들어가는 돈을 아끼다 회사를 위험에 빠뜨리는 일이 발생하기도 한다.
최근 프라이스워터하우스쿠퍼스(PwC)의 설문조사에 따르면 기업들은 현재 그 어느 때보다 더 많은 IT예산을 보안에 투자하고 있다는 점을 감안한다면, 이는 앞뒤가 맞지 않는다. PwC 보고서는 대기업들은 IT예산의 11%를, 중소기업들은 15%를 보안에 투자했다고 밝혔다.
그렇지만 기업이 보안에 책정하는 전체 IT예산의 비율을 따져보면 이러한 설문 결과가 현실과 조금 다르다는 것을 알 수 있다. 왜냐하면 대부분 기업들이 IT보안에 예산을 쓰는 이유는 (규제를 따라야 하기 때문이기도 하지만) 보안 위협 리스크를 적당한 수준으로 낮추기 위해서다. 그리고 이러한 목적을 위한 투자의 액수는 전체 IT투자와는 전혀 관계가 없다.
리스크, 어떻게 진단할까
간단하게 말해, 보안 리스크란 보안 위협이 초래할 비용이나 재정적 영향, 그리고 그러한 보안 위협이 일어날 확률의 산물이라 할 수 있다. 간단한 공식으로 써 보자면, ‘리스크=비용 x 확률’이라고 할 수도 있겠다.
소니의 정보 보안 이사 제이슨 스팔트로 역시 이러한 공식을 통해 지난 2007년 “리스크를 수용하겠다는 결정은 비즈니스 관점에서 볼 때 합리적인 것이다. 하지만 100만 달러의 손실을 막기 위해 1,000만 달러의 비용을 지출할 수는 없다”라고 밝힌 바 있다.
비용이나 확률이라는 변수에서 잘못 계산했을지 모르지만, 보안을 비롯해 그 어느 분야에서도 수익이 투자 금액보다도 적을 경우 그 투자는 하지 않겠다는 스팔트로의 주장은 일견 타당해 보인다.
다시 기업들이 보안에 충분한 예산을 투자하지 않고 있다는 이야기로 돌아가 보자. 소니 해킹 사건을 통해 우리가 얻은 교훈은 대부분 기업들이 미래의 해킹 가능성을 지나치게 낮게 평가하고 있다는 것이다.
소니는 미래의 해킹 확률을 과거의 해킹 사례를 통해 추측했다. 그렇지만 근래 여러 가지 사건을 통해 보건대 정보보안의 지평이 빠르게, 근본적으로 변화하고 있다.
과거 해킹은 대부분 한정된 자원을 가지고 금전적 이득을 얻는 것이 목적인 해커들의 소행이었다. 즉 이들의 주된 먹잇감은 신용카드 정보 등이었고 만일 목표로 삼은 기업의 보안이 너무 삼엄하면 그저 보안이 더 허술한 다른 먹잇감을 찾으면 그만이었다.
곰에게 쫓길 때 살아남는 방법으로 옆 사람보다 빨리 뛰면 된다는 얘기가 있다. 과거 기업들에게 보안은 그랬다. 적당한 수준의 보안 조치만 취해 놓으면 해커가 알아서 다른 먹잇감을 선택했을 때는 말이다.
이제는 정부도 해킹을 한다
워싱턴 D.C.의 국제전략문제연구소 보안 전문가 제임스 루이스는 소니 해킹 사건은 아마도 해외 정부의 지원을 받은 해커 단체거나 어쩌면 군 인사가 개입해 있을 수도 있다고 밝혔다.
이 경우 해커들은 대단히 숙련된 인력들일 뿐 아니라 아무리 견고한 보안망도 뚫을 수 있을 정도의 자원까지 갖추고 있다. 게다가 이들의 범죄 동기 역시 단순히 돈이 아니라 그 이상의 것, 이를테면 기업에 재정적 손실을 입히거나 오명을 씌우는 것 등으로 바뀌고 있다. 때문에 웬만한 수준의 보안 시스템을 갖춘 기업들을 몇 번 공격하다 실패하면 손 털고 다른 기업으로 넘어가는 게 아니라 사냥이 불가능하다는 판단이 설 때까지 먹잇감을 공략하는 해커들이 늘어나고 있다.
“범죄자들은 기회주의적이다. 이들의 목적은 돈이다. 그렇지만 정부 기관의 지원을 받는 해커들은 다르다. 이들은 쉽게 포기하지 않는다. 소니를 해킹한 이들도 그랬다. 돈 때문에 한 것이 아니라 기업 자체에 대한 악의를 가지고 있었고, 그 증거로 자신들이 훔친 데이터를 아직까지 팔지 않았다”고 루이스는 말했다.
만일 오늘날 해커들이 기업의 보안 조치에 구애 받지 않고 아무 기업이나 해킹이 가능하고, 팔 수 있는 데이터뿐 아니라 다른 많은 것들을 노리고 있다면 기업들의 해킹 확률은 훨씬 올라가게 된다.
어디 그뿐인가? 소니 사태를 통해 이제는 해킹 피해 액수가 예전보다 훨씬 크다는 걸 알게 됐다. 정부 기관의 지원을 받는 이 해커 집단들은 신용카드 정보나 사회보장번호 같은 정형화 된, 구조적 데이터만 노리지 않는다. 포네몬 인스티튜트의 2014 데이터 유출 피해액 연구에 따르면 이런 류의 정보가 유출될 경우 그 피해액은 이미 잘 알려져 있듯 정보 한 건당 201달러다.
그렇지만 오늘날 해커들은 기업에 망신을 주거나 복수를 하는 등 보다 정치적인 목적으로 움직이는 경우가 많기 때문에 이메일이나 기타 문서 등 비정형 데이터를 훔쳐 공개한다. 이러한 데이터 유출로 기업이 평판을 잃으며 발생하는 손해는 경제적인 피해를 넘어선다. 소니 해킹사태 이후 사람들의 비판 속에 소니의 중역들이 대거 사퇴하기도 했다. 게다가 중요 정보가 공개될 경우 소송에 휘말릴 가능성도 있다. 예를 들어 같은 노동에 대해 남성과 여성 직원들에게 차별적 임금을 지급한 것이 드러난다거나 하면 말이다.
“이렇듯 각종 소송에 휘말려 들어가는 비용이 이러한 데이터 유출 피해액에서 가장 큰 부분을 차지한다”고 루이스는 전했다.
‘리스크= 비용 x 확률’이다. 이제는 해킹 확률과 해킹 피해액이 둘 다 상승했으니, 리스크 역시 몇 곱절로 커진 셈이다.
보안 투자의 목적은 보안 위협을 관리해 적정 수준으로 낮추는 데 있다. 그렇지만 소니 해킹사태를 통해 우리는 이제 해킹 리스크가 우리가 생각했던 것보다 크다는 사실을 알게 됐다. 자연히 이 리스크를 ‘적정 수준’까지 낮추기 위해서는 예전보다 더 많은 금액을 IT보안에 투자해야 한다는 결론이 나온다.
포레스터 리서치의 보안 및 리스크 관리 애널리스트 릭 홀랜드는 “기업들이 보안 투자를 적극 늘려야 하는 건 맞다. 그렇지만 더 걱정인 건 설령 보안 예산을 5% 가량 늘린다고 해도 그 돈이 정말 제대로 쓰일 것인가 하는 점이다. 가장 큰 문제는 적절한, 꼭 맞는 보안 방식을 찾는 것”이라고 밝혔다.
만일 해커들이 정말로 모든 기업의 IT인프라를 뚫을 수 있다면, 전면 방어는 그다지 현명한 전략이 아닐 수 있다. 가트너의 리서치 담당 이사인 앤톤 슈바킨은 오히려 더욱 효과적인 침입 탐지 시스템을 도입해 침입한 해커가 데이터를 가지고 도망가지 못하도록 하는 것이 나은 방법일 수 있다고 말했다.
희망은 있다
불행 중 다행인 건 새로운 보안 기술들이 속속들이 등장하고 있고 이들 중에는 투자할 만한 가치가 있어 보이는 것들도 있다는 사실이다. “최첨단 테크놀로지들의 출현은 희망적이다. 그리고 이미 몇몇 깨어있는 기업들에서는 이들을 사용하고 있다”고 슈바킨은 밝혔다. 이어서 “애널리틱스를 사용해 방어를 공고히 할 수도 있고, 위협 지능(threat intelligence)과 기계 학습을 활용할 수도 있다. 아직 특정 제품을 도입하면 100% 안전하다고 말할 순 없지만, 그래도 어두운 터널 끝에 희망의 빛이 보이는 듯 하다”고 덧붙였다.
*Paul Rubens는 영국에서 활동하는 IT 저널리스트다. dl-ciokorea@foundryco.com
