‘CS버그 사태’ 등에…“‘사이버보안 혁신’ 필요”

[애플경제 전윤미 기자] 최근 보안업체 크라우드스트라이크사의 잘못된 보안 솔루션으로 인해 지구촌 윈도우 시스템이 마비되는 일이 벌어졌다. 물론 이는 사이버공격에 의한 것은 아니지만, SaaS와 클라우드 등 써드 파티에 의한 타사 공급업체에 전적으로 의존하는 IT산업의 취약점을 그대로 보여주고 있다.

이에 전문가들은 타사 공급업체에 대한 과도한 의존과 그로 인한 리스크를 최소화할 수 있는 내부 보안 시스템의 혁신을 촉구하고 있다. 또한 윤리적이고 책임있는 AI를 구축, AI에 의한 리스크를 줄이고, ‘제로 트러스트’를 기반으로 한 사이버보안 혁신을 강조하고 있다. 보안시스템의 자동화와 간소화도 곁들여 주문하고 있다.

클라우드와 SaaS 솔루션 시대에 대응

클라우드 기반 플랫폼과 SaaS 솔루션은 산업계 전반의 관행이 되고 있다. 심지어 많은 스타트업들은 급여나 데이터 관리, IT와 정보 보안 등 중요한 기능을 모두 제3자에게 아웃소싱하고 있는 경우도 많다. 그러나 전문가들은 상대적으로 이들 공급업체들에 대한 신뢰가 크지 않은 현실이다. 더욱이 이들 서드 파티 역시 보안 측면에서 신뢰를 얻을 만큼 성숙하지 않다는 평가가 지배적이다.

김영욱 시니어 프로그램 매니저는 최근 한국지능정보사회진흥원 ‘이슈리포트’에서 2022년 포네몬 연구소(Ponemon Institute)의 조사를 들어 이같은 현실을 지적했다. 이에 따르면 IT 전문가 중 54%가 지난 12개월 동안 써드파티 공급업체로 인한 데이터 유출을 경험했다. 또한 공급업체에서 유출 사고가 발생했을 때 알림을 받을 수 있다고 확신한 응답자는 전체의 34%에 불과했다. 게다가 많은 기업들이 이런 공급업체 리스크 책임과 관리나, 민감한 정보와 자산을 보호하는 역할을 CISO(최고 정보책임자)에게 맡기고 있다는 것도 문제로 꼽혔다.

이에 김 매니저는 “정보 보안 리스크를 ‘기업의 리스크’로 인식하고, 그에 대한 관리를 전사적 차원으로 끌어올려야 할 때”라며 몇 가지 방안을 제시했다.

우선 중요하고 민감한 정보를 공유하는 모든 써드파티 공급업체를 목록화하는게 중요하다. 이를 통해 이들의 보안 및 데이터 취급 관행에 대한 평가를 하는 것이다. 또 써드파티 공급업체의 정책을 검토하는 프로그램도 필요하다. 특히 “써드파티 공급업체가 보안 사고나 데이터 침해 사실을 고객에게 공개하도록 하는 내용의 계약을 맺어야 한다”는 것이다.

또한 모든 공급업체와 정보 보안 위험 보고서를 기업 자신이 사용하는 용어로 번역하고 배포함으로써 손쉽게 이해하고, 보안에 적용할 수 있게 하는 것도 중요하다. 예를 들어 대상이 되는 용어는 서비스 중단, 매출 손실, 평판 손상, 운영 효율성 저하 등이다.

책임있고 윤리적인 AI 구축 필요

AI로부터 초래되는 위험도 경계해야 한다. 이를 위해선 윤리적이고 책임있는 AI를 구축하는게 중요하다. AI가 인력관리나 프로세스, 기술, 보안에 미치는 영향 등을 고려하면, 책임감 있는 AI를 구축하기 위한 프레임워크를 개발할 수 있다는 의견이다. 즉 이를 통해 AI 기술이 비즈니스 목표에 합당한지, 기술의 윤리적 문제와 위험은 없는지를 판단하고, 대응해야 한다. 영향을 평가할 수 있는 구조를 갖출 수 있다.

실제로 인포테크의 조사에 따르면, 55%의 조직이 위험을 식별하고 전반적인 보안 태세를 개선하기 위해 AI를 활용하고 있거나, 사용할 계획이다. 이처럼 “많은 조직이 AI의 힘을 활용하기 위해 노력하고 있는 만큼, 기술을 효과적으로 도입하기 위한 조치가 마련되어야 한다”는 주장이다. 특히 강력하고 윤리적인 리스크 관리 프레임워크를 마련하기 위해 ‘AI 거버넌스’를 수립할 필요가 있다.

“이같은 AI 위험 관리 프레임워크를 구현하면 AI 시스템에 대한 충분한 감독을 보장하고 AI의 사용에 따르는 위험을 평가하고, 생산 과정을 모니터링 할 수 있다”는 설명이다.

조직 목표에 충실한 ‘제로 트러스트’ 전략 필수

‘제로 트러스트’ 전략도 필수로 꼽힌다. 이는 해커들이 우회 침투할 수 있는 여지를 줄이고, 중요한 리소스에 최소 권한 액세스를 적용함으로써, 공격으로 피해를 입을 표면을 최소화할 수 있게 하는 것이다. 또한, “기업의 위험과 규정 준수 비용을 줄임으로써 전략을 실행하는 데 필요한 최소한의 이점을 보장할 수 있다”는 것이다. 그러나 다른 중요한 보안 권장 사항과 마찬가지로 전략 실행을 위한 로드맵을 구축할 필요가 있다는 조언이다.

특히 제로 트러스트 전략을 구현하는 것이 조직의 목표 달성에 어떻게 기여하고, 작동할 것인지를 파악할 필요가 있다. 대표적으로, 데이터, 자산, 애플리케이션, 서비스 요소(DAAS: Data, Assets, Applications, Services)를 포함하는 중요한 보호 영역에 어떤 방식으로 기여하는지를 파악해야 한다. 즉, “‘제로 트러스트’ 전략을 채택하면서, 이를 구현하는 시점에 앞서, 먼저 구현 방식에 대한 사고방식의 전환이 중요하다”는 지적이다.

물론 ‘제로 트러스트’를 채택할 경우, 예외적인 업무 프로세스가 발견되면, 실제 실행까지 예상보다 오래 걸릴 수 있다는 단점도 있다.

그럼에도 불구하고, 사이버공격의 목표가 되기 쉬운 디지털 자산에 대한 전반적인 보안 개선이 이루어진다. 또한 중요한 보호 대상, 즉 ID나, 디바이스, 네트워크, 애플리케이션, 데이터에 대한 지속적인 검증이 가능하게 된다. 특히 규제 표준을 준수, 감사 결과를 개선하고 데이터 유출 사고를 감소시킨다.

김 매니저는 이 외에도 ‘보안 프로세스 자동화’도 곁들여 주문했다. 즉, “보안 환경이 진화함에 따라 보안 프로세스를 간소화하고, 정교한 위협을 효율적으로 방어하는 한편, 기술 흐름에 앞서 나갈 수 있는 역량을 키워야 한다”는 것이다.