침해 가정: 사이버 회복탄력성 모범 사례

사이버 공간에서 조직이나 개인이 침해당할지 여부가 아니라 언제 침해당할지가 문제입니다. 이를 믿는다면 가장 중요한 인지적 단계인 '침해를 가정'하고 사이버 공격을 견딜 수 있는 복원력을 구축할 준비가 된 것입니다.

하지만 유출을 가정한다면 사람, 프로세스, 기술에 대한 보안 투자에 대해 어떻게 생각해야 할까요? 더 중요한 것은 조직이 보안 침해를 넘어 보안을 확보하기 위해 어떤 전략을 사용해야 할까요? 10월에 24, 2018, 일루미오는 워싱턴 DC에서 사이버 보안 전략 및 기술 리더 그룹을 소집하여 침해 가정을 논의하고 사이버 복원력의 모범 사례를 파악했습니다. 

아래는 이날의 주요 결과를 요약한 것입니다. 이 똑똑한 사람들의 이야기를 듣고 싶으신 분들은 동영상을 계속 지켜봐 주세요. 

3가지 핵심 사항

위반을 가정한다면 반드시 그렇게 해야 합니다:

1. 적대적인 사고방식을 채택하세요.
2. 제로 트러스트 전략을 따르고 네트워크를 세분화하세요.
3. 조직에서 침해 관리를 위한 연습을 하고 준비하세요.
   
   

위반을 가정합니다: 설명

침해를 가정한다는 것은 적대적인 사고방식을 취한다는 것을 의미합니다. 오늘날 국가를 공격하는 적과 범죄 조직은 사이버 공간에서 인내심을 갖고 공격에 필요한 자금, 인력, 시간을 확보하고 있습니다. 보안 침해를 가정한다는 것은 예상치 못한 방식으로 가장 소중하게 여기는 것에 대한 공격에 대비한다는 의미입니다. 이러한 가정은 9월^11일 이후 물리적 세계에서는 우리 모두의 DNA에 내재되어 있지만, 데이터와 인터넷 사용이 기하급수적으로 확대되는 동안에도 사이버 보안 관행에는 적용되지 못했습니다.   

유출을 가정한다는 것은 가장 중요하고 미션 크리티컬한 자산을 먼저 보호한다는 의미입니다. 적대적인 공격자가 이점을 얻으려는 경우 조직에서 무엇을 훔치거나 조작하거나 침입하려고 할까요? 유출을 가정한다면 가장 중요한 미션을 수행하는 데 필요한 데이터를 보호하는 데 집중해야 합니다. 미국 인사관리처(OPM)의 경우, 2,150만 명의 미국 공무원 기록을 보유한 데이터베이스였습니다. 2018년 싱가포르의 의료 서비스 제공업체인 SingHealth의 경우, 싱가포르 국민 150만 명의 건강 데이터를 저장한 것은 공공 의료 클라우드 내의 데이터베이스였습니다. 미군의 핵 지휘 및 통제 기업의 경우 미국의 핵 억지력을 지원하는 위성 통신 시스템이 될 수 있습니다.

유출을 가정한다는 것은 소중한 자산의 일부를 잃을 계획을 세우고 데이터가 노출되거나 성능이 저하된 상태에서 운영할 준비를 하는 것을 의미합니다. 보안이 침해되면 미션 효율성에 나쁜 일이 발생할 수 있습니다. 미군이 물류 및 작전을 위해 이중화를 구축하는 이유도 바로 여기에 있습니다. 탄도 미사일과 사이버 공격의 복합 공격으로부터 도시를 방어하려면 패트리어트 포대 2기로 충분할 수 있지만, 군에서는 복원력을 위해 4기를 설치할 수도 있습니다. 분산 서비스 거부 공격이나 멀웨어 공격으로 인해 은행에 장애가 발생하는 경우, 은행은 하나의 네트워크가 다운되더라도 금융 업무를 계속할 수 있도록 이중화 네트워크에 투자할 수 있습니다.

이러한 시나리오를 고려했다면 유출 후 대응에 더 유리할 것입니다.

회복탄력성에 투자하는 것은 보안 침해 가정에 대한 논리적 결론입니다. 하지만 여전히 불편한 전제 조건입니다. 아이가 태어난 후 생명 보험에 가입하는 것과 마찬가지로, 최악의 시나리오를 고려한 경우 위반 후 더 나은 결과를 얻을 수 있습니다.     

제로 트러스트 및 마이크로 세분화

무작정 투자할 수는 없으며, 자산을 보호할 수 있는 전략이 필요합니다. 보안 운영 및 사이버 분석 분야의 미국 최고의 석학 중 한 명인 체이스 커닝햄 박사는 제로 트러스트 전략을 구현하여 복원력을 달성하려는 조직의 계획을 돕고 있습니다. 제로 트러스트는 네트워크 내의 사용자가 네트워크 외부의 사용자보다 더 신뢰할 수 없다는 생각에 기반합니다. 그의 주장대로 지난 10년간 우리가 들어왔던 주요 사이버 공격의 대부분은 데이터 센터가 개방되어 있고 안전하지 않다는 한 가지 간단한 문제에서 기인합니다. 

침입자가 탐지되지 않고 네트워크 내부에 머무는 평균 체류 시간은 6개월 이상입니다. 2014/15년 인사관리처와 같은 보안이 취약한 데이터 센터에서 중국인 침입자는 완전히 자유롭게 액세스할 수 있었습니다. 네트워크에 들어오는 '아무것도 믿지 않고 모든 것을 검증하는' 경우, 무단 작업을 방지하기 위해 데이터 센터 내부에서 보안을 유지해야 합니다.

새로운 클라우드 세상에서는 과거의 도구로는 충분하지 않을 수 있습니다. 클라우드 자체와 마찬가지로 보안 투자도 위협에 따라 진화해야 합니다. 마이크로 세분화는 데이터 센터의 모든 부분이 상호 작용하는 방식에 대한 정책과 규칙을 설정합니다. 이는 새로운 보안 스택의 최종 복원력 계층인 새로운 계층입니다.

보안 침해를 넘어선 보안을 위한 준비

전략적 수준에서 조직은 다양한 관리 및 비기술적 수단을 통해 보안 침해를 가정하고 중단을 계획합니다. 교육이 핵심입니다. 국방부 내에서 미군은 단순한 침해뿐만 아니라 사이버 기반 군사 작전의 완전한 중단에 대비하여 훈련하며, 패트리어트 포대 추가 배치와 같은 중복 투자를 넘어 조종사와 지휘관은 공격 시 '맹목적인 비행'을 할 수 있도록 매일 팀을 준비시킵니다. 이는 통신 없이 F-35를 조종하거나 위성 위치 확인 시스템 없이 바다에서 배를 조종하는 것을 의미할 수 있습니다.

마찬가지로 기업은 위기 관리에 필요한 비상 프로세스를 파악하여 침해에 대비하는 과정을 거쳐야 합니다. 가장 중요한 단계 중 하나는 사실을 파악하는 것입니다. 사실을 파악하지 않으면 조직 내부나 외부와 원활하게 소통할 수 없기 때문입니다. 침해 관리를 위한 플레이북을 개발하는 데 도움이 되며, 조직이 이벤트에 어떻게 대응할 수 있는지 파악하기 위해 틈새와 빈틈을 파악하는 테이블탑 연습을 실시할 수 있습니다. 최고의 테이블탑은 조직의 커뮤니케이션 시스템을 변경하고 팀이 데이터에 액세스하지 않고도 대응할 수 있도록 하는 라이브 연습입니다. 마지막으로, 조직은 보안 침해에 대해 주주 및 외부의 다른 사람들과 소통하는 방법을 연습해야 합니다.

보안 침해가 발생한 후에는 책임 추궁과 포렌식이 더 쉬운 부분입니다. 리더에게 미리 투자하도록 유도하는 것은 더 어렵습니다. 사고 지도를 바꾸고 침입을 가정하고, 공격을 견딜 수 있는 인력과 기술에 투자하고, 시간을 내서 혼란에 대비한 훈련을 해야 합니다. 하지만 국가와 조직은 약간의 고급 투자를 통해 최악의 시나리오를 방지하고 보안 침해를 넘어서는 보안을 확보할 수 있습니다.