사이버 보안에 있어 최악의 한 해가 지난 10년 후 - 무엇이 달라졌나요?

이번 달에는 역사상 최악의 데이터 유출 사고로 기록된 한 해의 10주년이 마무리됩니다. 2013년에는 사상 최대 규모의 침해 사고가 발생하여 위협 행위자들이 수백만 명의 데이터를 유출하고 조직이 수억 달러의 복구 비용을 지출하는 등 사상 최대의 침해 사고가 발생했습니다.

10년이 지난 지금도 데이터 유출은 계속해서 조직을 괴롭히고 있습니다. 의문이 생깁니다: 우리는 무엇을 배웠습니까?

이 블로그 게시물에서는 지난 10년간 사이버 보안이 어떻게 중요한 변화를 겪었지만 많은 면에서 변하지 않았는지, 그리고 이것이 보안의 미래에 왜 중요한지 살펴봅니다.  

지난 10년간 사이버 보안의 가장 큰 3가지 변화

지난 10년간 보안 업계에는 수많은 변화가 있었지만, 가장 중요한 세 가지를 짚어볼 필요가 있습니다. 이러한 변화로 인해 보안에 접근하는 방식이 바뀌었습니다.

1. 필연성의 실현

사이버 보안의 가장 큰 변화는 모든 위협을 막는 것이 불가능하다는 사실을 CEO와 CISO가 깨달았다는 점입니다. 이러한 중요한 사고방식의 전환은 기술 확보에 더 많은 돈을 투자하면 자동으로 보안이 강화될 것이라는 기존의 믿음에서 벗어나는 것을 의미합니다.

몇 년 전까지만 해도 기술력이 높을수록 안전성이 높다는 인식이 지배적이었습니다. 이로 인해 조직은 보안에 대한 기본 신념 체계나 전략을 고려하지 않고 사이버 보안 예산을 늘렸습니다. 다행히도 오늘날 이러한 접근 방식을 채택하면 CISO가 실직할 수 있지만, 보안 전략의 공백을 메우는 것이 그 어느 때보다 중요합니다.

사실 침해는 계속되고 있습니다. 조직들은 사이버 보안에 대한 기존의 접근 방식이 과거에 생각했던 것만큼 효과적이지 않다는 사실을 깨닫고 있습니다.

사실 침해는 계속되고 있습니다. 조직들은 사이버 보안에 대한 기존의 접근 방식이 과거에 생각했던 것만큼 효과적이지 않다는 사실을 깨닫고 있습니다. 기업들은 침해가 불가피한 현실을 인식하고 제로 트러스트 세분화와 같은 기본 기술을 도입하여 침해 발생 시 이를 억제하는 제로 트러스트 접근 방식으로 전환하는 사례가 늘고 있습니다.  

2. 단순히 살아남은 침해에 대응하는 것에서 벗어나

공격에 대응하는 데만 집중하던 조직에서 공격으로부터 적극적으로 살아남는 것으로 패러다임이 바뀌고 있다는 점은 매우 고무적입니다. 사이버 복원력은 조직의 사이버 보안 전략에 점점 더 많이 포함되고 있습니다.  

침해 사고의 불가피성을 인정함으로써 조직은 사고를 더욱 투명하게 공개할 수 있게 되었습니다. 이러한 투명성은 효과적인 침해 억제 전략의 구현과 함께 침해의 영향을 제한하는 데 매우 중요합니다.

이를 위해서는 특히 비즈니스 리더의 사고방식 전환이 필요합니다. 사이버 보안 사고가 발생하면 그로 인한 손실도 피할 수 없습니다. 보안팀이 모든 침해를 완벽하게 예방하는 것은 불가능합니다. 보안 침해가 발생하면 관리 가능한 수준의 손실이 발생해야 합니다. 이를 위해서는 기존의 예방 및 탐지와 함께 침해 차단 접근 방식을 장려하는 경영진의 기술 및 사고방식 변화가 모두 필요합니다.

이에 대한 긍정적인 예로 러닝화 소매업체 Brooks가 침해 방지 전략을 구현한 것을 들 수 있습니다. 브룩스의 비즈니스 및 보안 경영진 모두 사이버 공격이 운영 및 평판에 큰 피해를 줄 수 있다는 사실을 인정했습니다. Brooks는 제로 트러스트 세분화와 같은 제로 트러스트 도구를 구현하여 고객과 소매 고객이 제품을 안전하게 조달할 수 있는 시스템을 보장합니다.

3. 사이버 보안 법규 강화

정부의 보안 의무는 프레임워크와 표준을 수립하는 데 필수적입니다. 지난 몇 년 동안 미국 정부의 행정명령 14028, 유럽연합의 NIS2 및 DORA 지침 등 끊임없이 진화하는 사이버 위협에 대응하기 위한 새로운 법률을 채택하는 세계 각국의 정부들이 늘어나고 있습니다. 거의 모든 지침이 제로 트러스트 전략을 채택하여 조직이 '절대 신뢰하지 않고 항상 검증하는' 접근 방식을 채택하도록 장려하고 있습니다.

정부 최고위층에서 사이버 보안에 초점을 맞추고 있지만, 이러한 의무 중 상당수는 10년 단위의 혁신 또는 규정 준수 계획을 가지고 있어 사이버 보안 업계와 위협 행위자 모두의 빠른 혁신 속도에 부합하지 않을 가능성이 높습니다.  

새로운 사이버 위험에 대응할 수 있는 민첩한 규정을 도입하여 공공 및 민간 부문 조직이 급변하는 위협에 맞서 회복탄력성을 유지할 수 있도록 해야 합니다.

변화가 필요한 사이버 보안의 두 가지 상수

2013년의 데이터 유출 사고는 사이버 보안에 대한 경각심을 일깨우는 계기가 되었을 것입니다. 하지만 이 두 가지 기본 상수는 변하지 않았습니다.

1. "불편 위반"에 대한 반응성

조직은 여전히 당장의 불편을 초래하는 "침해 문제를 해결하는 데만 집착하고 있어," 진화하는 위협 환경에 본질적으로 대응하지 못하고 있습니다.  

현재 진행 중인 MOVEit 데이터 유출 사건은 보안 사고는 예측할 수 없지만 피할 수 없는 일이라는 사실을 강조합니다. 사이버 공격은 이제 단순한 보안 문제를 넘어 조직의 운영과 가용성의 핵심을 위협하는 운영상의 문제가 되었습니다.  

사이버 위협은 매우 빠르게 진화하고 있어 기존의 예방 및 탐지만으로는 사이버 복원력을 구축하기에 충분하지 않습니다. 조직은 모든 새로운 공격 전술에 대응하는 대신 제로 트러스트 세분화를 시작으로 침해 차단 기술을 구현하여 침해에 선제적으로 대비해야 합니다.  

2. 보안 경고로 인해 사이버 보안이 현상 유지에 머물러 있는 경우

침해 사고가 빈번하게 발생하고 있음에도 불구하고 사이버 보안 커뮤니티는 아직 치명적인 사이버 사건을 목격하지 못했습니다. 2021년 콜로니얼 파이프라인 공격과 같은 사건은 사소한 혼란을 야기했지만 치명적인 수준에는 이르지 않았습니다. 안타깝게도 사이버 보안에 대한 논의는 치명적인 사건이 발생해야만 진정으로 변화할 가능성이 높습니다.

안타깝게도 사이버 보안에 대한 논의는 치명적인 사건이 발생해야만 진정으로 변화할 가능성이 높습니다.

모든 새로운 침해는 특히 중요 인프라에 치명적인 영향을 미칠 수 있는 미래의 잠재적 위협을 나타내는 지표입니다. 문제는 은행 시스템, 전력망, 의료 서비스에 잠재적인 영향을 미칠 수 있는 치명적인 사이버 이벤트가 언제 발생할지 여부가 아니라 언제 발생할지 여부입니다.  

침해 예방 사고방식으로는 치명적인 공격에 대비할 수 없습니다. 모든 산업, 지역, 규모에 걸쳐 조직은 다음 공격이 치명적인 결과를 초래하지 않도록 침해 차단 전략을 채택해야 합니다.  

지난 10년간의 사이버 보안을 되돌아보면 사고방식과 접근 방식의 전환이 필요하다는 것을 알 수 있습니다. 조직은 침해가 불가피하다는 사실을 인정하고 생존 전략, 효과적인 봉쇄, 손실 최소화에 집중해야 합니다. 혁신적인 기술, 전략적 투자, 탄력적인 사고방식의 결합은 지속적이고 진화하는 사이버 위협의 특성으로 인해 발생하는 문제를 극복하는 데 중요한 역할을 할 것입니다.

지금 바로 문의하여 조직에서 침해 차단을 시작하세요.