사이버 보안은 목적지가 아닌 여정입니다. 이 말은 제 커리어의 많은 부분을 정의해 왔으며, 점점 더 디지털화되는 세상에서 사람과 조직의 보호함에 있어 어떤 접근법을 취해야 하는지 알려줍니다. 사이버 보안은 계속해서 발전하고 있습니다. 지난 몇 년간 엄청난 변화를 목격하게 되었죠. 그 와중에도 한 가지, 변하지 않는 것은 있습니다. 바로 기본이 중요하다는 점입니다.
제가 이 분야에 처음 발을 들였을 때, 위협은 보다 제한적인 형태로 보였습니다. 초기에는 시스템을 보호하고 시스템이 어떻게 손상될 수 있는지 이해하는 기술적 복잡성에 매료되었습니다. 그러나 국토안보부에서 근무하는 동안 관점이 바뀌었습니다. 사이버 보안은 기술적 문제 이상으로 확대되었고, 그 리스크는 더 이상 가설에 불과하거나 소규모 문제가 아닙니다. 위협은 전 세계적으로 확산되었고, 그 리스크는 치명적인 영향을 미치고 있습니다. 과거에도 지금도 회복력을 구축하기 위해서는 사이버 보안의 탄탄한 기반이 매우 중요하다는 것은 분명합니다.
제게 사이버 보안이 갖는 의미
사이버 보안을 개인 위생에 비유해 보세요. 우리는 매일 양치와 샤워를 하고 데오드란트를 사용하는 등 건강과 웰빙을 위해 기본적이지만 필수적인 일과를 수행합니다. 사이버 위생도 마찬가지입니다. 사이버 위생은 디지털 자산과 신원을 보호하는 일상적 관행과 습관에 대한 것입니다. 개인 차원에서 사이버 위생은 강력한 비밀번호를 사용하거나 다단계 인증(MFA)을 활성화하는 것을 의미할 수 있습니다. 조직의 경우에는 시스템 업데이트 유지, 액세스 제어 관리, 명확한 프로토콜 마련 등이 중요합니다.
Jovia는 금융 지식과 사이버 지식은 동전의 양면이라는 사실을 받아들였습니다. 현대 사회에서 자산은 지갑 속에만 있는 것이 아닙니다. 디지털 거래와 Venmo 결제, Zelle 송금에 모두 자산이 존재합니다. 안타깝게도 이러한 편리함에는 리스크가 따릅니다. 그리고 저는 온라인에서 자신을 보호하는 기본적인 방법을 이해하지 못해 평생 모은 자산을 잃는 사람들을 너무 많이 봐 왔습니다. 우리 회원들과 고객 커뮤니티를 대상으로 사이버 위생에 대한 교육을 제공하는 것은 변화를 이끌어낼 수 있는 가장 효과적인 방법 중 하나입니다.
사이버 위생을 통한 회복력 구축
조직에 효과적인 사이버 위생은 몇 가지 핵심 원칙으로 요약할 수 있습니다.
- 모든 곳의 다단계 인증(MFA) 도입
MFA는 가장 간단하고 효과적으로 무단 액세스를 방지할 수 있는 수단 중 하나로 손꼽힙니다. 그런데도 MFA를 간과하는 경우가 너무 많다는 점은 그저 놀라울 따름입니다. MFA를 사용할 수 있다면, 어디든지 적용하세요. Facebook과 같은 개인 계정부터 조직의 중요한 시스템까지 모두 사용하시기를 권장합니다. - 비밀번호 관리자 사용
현대의 위협 환경에서는 모든 계정에 대해 각자 고유하고 강력한 비밀번호를 사용해야 합니다. 암호 관리자는 이 작업을 간소화할 뿐 아니라, 공격자가 흔히 악용하는 취약점인 자격 증명의 재사용을 방지할 수 있습니다. - 이메일 보안 강화
이메일은 공격자의 주요 진입 지점 중 하나입니다. 웹 게이트웨이와 링크 확인 도구가 도움이 될 수 있겠지만, 최종적인 목표는 위험한 링크가 사용자에게 아예 도달하지 않도록 차단하는 것입니다. 직원들에게 이메일 링크를 클릭하지 말라고 교육하는 것으로는 충분하지 않습니다. 이러한 리스크를 사전에 완화할 수 있는 시스템이 필요합니다. - 정기적 유지 관리 강조
정기적인 진료를 무시해서는 안 되는 것처럼, 정기적 시스템 업데이트도 무시해서는 안 됩니다. 취약점은 지속적으로 패치되고 있으며, 공격을 막기 위해서는 최신 상태의 방어 태세를 유지해야 합니다.
피할 수 없는 상황
최선의 노력을 기울이더라도 침해는 발생합니다. 저는 수년간 조직이 공격을 받을지 여부가 아니라, 얼마나 빨리 공격을 탐지하고 격리하는지가 중요하다고 말했습니다. 침입을 탐지하고 대응하는 데 며칠이 걸릴 수 있고, 때로는 몇 주가 걸릴 수도 있습니다. 결코 용납할 수 없는 일입니다. Jovia에서는 몇 주나 몇 달이 아니라 몇 시간 이내에 위협을 식별하여 리스크가 확산되기 전에 격리하는 것을 목표로 합니다.
저는 이러한 선제적 사고방식을 일컬어 사이버 보안의 ‘규칙을 변경’한다고 말합니다. 스타트렉의 캡틴 커크가 승산 없는 코바야시 마루 시나리오를 받아들이지 않았던 것처럼 사이버 보안팀도 성공의 의미를 새롭게 정의해야 합니다. 모든 공격을 막는 것은 불가능합니다. 대신 공격의 영향을 최소화하고, 탐지 시간을 단축하고, 단호하게 대응하는 것에 집중해야 합니다.
더 큰 투명성을 위해
이 분야에서 가장 아쉬운 것 중 하나는 보안 침해가 발생했을 때 투명성이 부족하다는 점입니다. 많은 조직이 법적 문제의 그늘 아래에서 조용히 인시던트를 처리합니다. 그 결과 우리 업계는 이러한 인시던트로부터 교훈을 얻지 못하고 있습니다. 모든 위반 사고가 항공기 추락 사고처럼 처리된다고 생각해 보세요. 철저한 조사를 진행하고, 조사 결과를 공개하는 것입니다. 이를 통해 얻는 교훈은 미래의 인시던트를 예방하는 데 도움이 될 것입니다. 하지만 우리는 잘못한 점을 공유하기를 주저하고 있으며, 같은 실수를 반복하게 됩니다.
공통의 책임으로서의 사이버 보안
궁극적으로 사이버 보안의 핵심은 협업입니다. 보다 안전한 디지털 에코시스템을 구축하기 위해 조직과 공급업체, 심지어는 고객에 이르기까지 모두가 협력하는 것입니다. Jovia에서는 제3자 리스크 모니터링과 위협 인텔리전스를 통합하여 공급업체가 보안 표준을 충족하는지 확인합니다. 하지만 여기에는 그 이상의 의미가 있습니다. 그것은 바로 파트너십에 관한 것입니다. 인텔리전스 채널을 통해 공급업체가 공격의 표적이 되고 있다는 소식을 접하면 즉시 조치를 취합니다. 당사는 리스크를 이해하고 완화를 위한 노력을 지원하고자 최선을 다합니다. 이것이 바로 우리 모두에게 필요한 선제적이고 협력적인 접근 방식입니다.
사이버 위협에 맞서 싸우는 것이 어렵게 느껴질 수도 있겠지만 우리는 결코 무력하지 않습니다. 사이버 위생의 기본적인 사항을 숙지하고 선제적인 사고방식을 도입하면 흐름을 바꿀 수 있습니다. 그 모든 것은 호기심에서 시작됩니다. 질문하고, 가정에 의문을 표하고, 공격자보다 앞서 나가는 것입니다. 사이버 보안은 조직 내부와 파트너, 산업 전반에 걸친 협업을 통해 성장합니다. 그리고 오늘보다 더 나은 내일을 위한 회복력을 다지겠다는 다짐으로 지속됩니다. 사이버 보안은 최종 목적지가 없어 끝없는 여정이지만, 그만큼 가치 있는 여정입니다.
Dan이 출연하는 위협 벡터 팟캐스트에 관심이 있으신가요? 여기에서 들어보실 수 있습니다.
