보안 임원 채드 클리워는 2020년 12월 해킹 피해자로 지명된 기업들에 대한 기사를 접했다. 이내 그는, 추가 정보를 확인하고 조언을 전하려는
이렇듯 클리워에게는 동료 보안 리더들로 구성된 직종 내 정보 공유 커뮤니티가 구축돼 있다.
클리워는 소규모 광대역 제공자를 위한 ISAC(Information Sharing and Analysis Center) 사이버셰어(CyberShare)의 회원이었다. 또한 그는 IGO(InfraGard Oklahoma)와 CSCC(Communications Sector Coordinating Council)에 소속되어 있다. 그리고 그는 다른 보안 리더들과 정보를 나누는 소규모 친목 커뮤니티에도 속해 있다.
그는 그가 한 때 바빠서 이런 그룹의 중요성을 간과했다고 전했다. 하지만 솔라윈즈 이벤트처럼 커뮤니티의 유용성을 경험하면서 외부 활동의 필요성을 절감하게 됐다.
그는 “나는 현재 정보를 공유하고 공개하라고 설파하고 있다. 우리는 모두 같은 고통을 안고 있다. 우리가 이런 고통을 공유하고 신뢰할 수 있는 그룹에서 일부 부족한 점을 공유하여 다른 사람들이 같은 고통을 겪지 않도록 할 의지가 있는지가 중요하다”라고 말했다.
함께 앞서 나아가기
사이버 보안 실무자들 사이의 정보를 공유하는 트렌드는 정량화하기 어렵다. 이런 활동에 참여하고자 하는 의지를 측정하기란 사실상 불가능하다. 하지만 클리워와 다른 베테랑 보안 리더들은 한 때 운영, 내부적인 위협 활동, 전반적인 위협 영역 등에 관해 말을 아끼던 CISO들의 생각이 바뀌고 있다고 말했다.
특히 최근에 달라지고 있다. 현재 많은 CISO들이 여러 정보 공유 그룹에 속해 있으며 지금은 동료들에게 이를 추천하고 있고, 이것이 모두가 위협적인 악당들보다 앞서 나아갈 수 있도록 돕는 전략 중 하나라고 이야기하고 있다.
딜로이트(Deloitte)는 ‘2021년 사이버의 미래 설문조사’ 보고서에서 “모든 산업이 취약하다고 인식하면서 지식 공유 노력이 더 광범위해졌다. 다른 산업에서 효과가 있는 것을 배우는 것이 점차 중요해지고 있다”라고 밝혔다.
또한, “사이버 공격이 점차 증가하는 가운데 여기에서 자유로운 산업이나 지역은 없지만 우리는 서로 사고가 발생할 때 효과적으로 대응하는 방법을 배울 수 있다. 이를 위해 동료와 경험 및 지식을 공유하는 것이 보안 환경 전체를 개선하기 위한 필수적인 요소이다”라고 딜로이트는 덧붙였다.
개방성 증가 속 남아 있는 장애물
물론, 다른 임원들과 마찬가지로 CISO는 예전에도 네트워킹을 통해 의견을 교환하고 조언을 얻을 수 있었다. 이를 테면 ISAC가 새로운 것은 아니다. ISAC의 개념은 각각의 주요 인프라 섹터가 위협과 취약성에 관한 정보를 공유하기 위해 조직을 수립하도록 1998년에 발표된 대통령 명령에서 왔다.
하지만 최근에는 공유 의지와 필요성이 모두 증가했다고 애비에이션 ISAC(Aviation ISAC)의 사장 겸 CEO 제프리 트로이가 말했다. 트로이는 “그런 일이 있기까지 많은 시간이 소요되었다”라고 말했다.
2014년에 설립된 애비에이션 ISAC는 7개의 창립 멤버 기업으로 시작하여 5개 대륙 88개 회원 기업을 포함하고 있다. 항공, 공항, 산업 제조, 기타 해당 섹터에 서비스를 제공하는 기업들이 가입할 수 있다.
애비에이션 ISAC는 2021년 ‘비즈니스 사례 만들기’ 보고서에서 “항공은 여전히 사이버 위협 활동자에게 눈에 잘 띄는 표적이다. 우리 업계에서는 2020년에 랜섬웨어 공격, 네트워크 침입, 비즈니스 이메일 해킹, DDoS 공격, 사기 등이 증가했다”라고 밝혔다.
그렇기는 하지만 트로이에 따르면 일관되고 광범위한 협력의 장애물이 남아 있다. 그는 “공유가 확산되고 있지만 중대한 유출에 대한 공개적 대화를 꺼리고 있다”라고 지적했다.
이러한 태도는 ISAC 등의 신뢰할 수 있는 네트워크 안에서도 마찬가지다. 일부는 해킹 이후의 소송 가능성 때문에 망설이고 있다. 남몰래 랜섬웨어 범죄자와 합의한 사람들은 무슨 일이 있었는지 알리고 싶어하지 않는다.
하지만 트로이는 이런 태도에 동의하지 않는다고 말했다. 그는 이런 조치를 강도 피해자가 범죄를 신고하지 않아 공격에 취약한 상태로 남게 되는 것과 유사하다고 비유했다.
그는 “누군가에게 이야기했다면 다른 모든 사람들이 스스로를 보호할 수 있다. 사이버 보안의 경우도 마찬가지이다. 모든 사이버 정보가 도움이 될 것이다”라고 말했다.
혼자 성공할 수 있는 사람은 없다
ISAC와 다른 정보 공유 채널에 관한 대화에서 이런 움직임이 언급되고 있다. 증가하는 위협의 양과 속도 및 공격의 정교성으로 인해 업계 동료 및 벤더 전문가, 정부 관계자 등의 다른 보안 산업 관계자들과 단절된다면 제대로 된 보안 활동이 불가능하다는 단언까지 나올 정도다.
캡제미니(Capgemini)의 북미 사이버 보안 전문가 조직 책임자 데이비드 오베리는 “이제 아무리 큰 조직이라도 혼자서 해결할 수 없기 때문에 중요하다. ISAC는 혼자서 불가능에 가까운 모든 일을 할 필요 없이 조직을 강화하기 위해 참여할 수 있는 훌륭한 정보 공유 웹을 구성한다”라고 말했다.
헬스 ISAC(Health ISAC)의 사장 겸 CEO 데니스 앤더슨 또한 이런 가치를 보았다. 2017년 6월 페트야(Petya)/낫 페트야(Not Petya) 공격이 처음 등장했을 때, 헬스 ISAC에서는 48시간 이내에 30개 이상 조직에 소속된 60명 이상의 사람들이 공격 벡터, 네트워크에서 공격이 확산된 방식, 차단하는 방법을 파악하기 위해 협업했다.
앤더슨은 “우리는 웹 사이트에도 논의 결과를 공유하여 모두가 혜택을 누릴 수 있도록 했다. 당시 많은 잘못된 정보가 공유되고 있었다. 우리는 현재 Log4j 취약성에 대해서도 같은 조치를 취하고 있다”라고 말했다.
신뢰할 수 있는 데이터, 솔직한 대답
글로벌 대기업 다나허(Danaher)의 패키지 및 컬러 관리 플랫폼 CISO이자 거버넌스 협회 ISACA의 이사 출신 마크 밸도 의견이 비슷하다.
밸은 자신을 포함한 많은 CISO가 ISAC와 다른 그룹에 참여할 의향이 증가하고 있다고 말했다. 그는 이것이 조직을 보호할 능력을 강화할 수 있는 수단으로 보고 있다.
그의 기업은 ISAC에 속해 있으며 능동적으로 참여하고 있고, 그는 안전한 통신 플랫폼을 통해 정보와 조언을 주기적으로 교환하는 로컬 CISO 전용 그룹의 회원이다.
밸은 여기에 참여할 가치가 있다고 생각한다고 말했다. 그는 다른 사람들에게 구체적인 솔루션에 대한 경험에 관해 질문하고 특정 문제에 대한 전략의 세부사항을 파악하고 신속하게 솔직한 대답을 얻을 수 있다는 점을 높게 평가한다.
그는 ISAC와 CISO 그룹이 그 및 그의 기업과 관련이 있는 보안 결함에 관한 많은 신뢰할 수 있는 데이터를 제공하면서 최근 Log4j 취약성에 대한 의사소통을 통해 정보 공유의 가치가 입증되었다고 말했다.
게다가 밸은 다른 ISAC와 마찬가지로 그의 ISAC가 비공개 협약을 체결했으며 이 비공식적인 CISO 그룹은 참가자와 그들의 비밀을 보호하는 CHR(Chatham House Rules)이 관장하기 때문에 편안하게 질문하고 아이디어를 공유한다고 말했다.
그는 “성공적인 CISO가 되려면 고품질의 여러 채널이 손이 닿는 곳에 있어야 한다. 이것은 우리가 보유한 도구의 일부이다”라고 말했다.
정보 공유의 가치 극대화하기
실제로 모든 보안 리더들은 CISO가 ISAC와 유사한 그룹에서 가치를 얻으려면 여기에 합류하고 능동적으로 참여해야 한다고 조언한다. 현재 사용하고 있는 전략, 기법, 절차(TTP), 목격하고 있는 위협 활동, 직면하고 있는 문제, 가장 성공적인 전략과 솔루션의 세부사항 등에 대해 정보를 공유할 필요가 있다는 설명이다.
또한 보안 리더들은 CISO가 산업 ISAC뿐 아니라 지역 독립체, 정부기관, 제공업체, 기술 커뮤니티 등이 조직하는 다른 그룹에도 참여해야 한다고 말했다.
오베리는 “이를 통해 많은 ISAC가 생성하는 위협 정보 피드를 소화하고 팀원들에게 요점을 전파하고 새로운 정보 등에 기초하여 전략을 조정할 수 있게 된다”라고 말했다.
dl-ciokorea@foundryco.com
