모든 최고정보보호책임자(CISO)가 알고 있듯이, 강력한 사이버보안 태세를 유지하는 데는 상당한 비용이 든다. 그러나 비교적 적은 투자만으로도 사이버보안을 강화할 수 있는 방법이 적지 않다는 사실은 널리 알려져 있지 않다. 보안 리더가 창의적으로 접근한다면, 최소한의 비용으로도 기업의 전반적인 보호 수준을 크게 끌어올릴 수 있다.
조직이 추가적인 저비용 보안 강화 방안을 통해 실질적인 이점을 얻을 수 있을까? 그렇다면 예산에 큰 부담을 주지 않으면서도 기업의 사이버보안을 개선할 수 있는 여덟 가지 방법을 살펴볼 필요가 있다.
1. MFA를 더욱 철저히 적용하라
리스크 완화는 기본부터 시작해야 한다고 컴플라이언스 기술 서비스 기업 트러스트넷(TrustNet)의 최고정보보호책임자 트레버 호위츠는 설명했다. 그는 “MFA는 기밀성과 접근통제라는 핵심 보안 목표를 직접적으로 뒷받침하는 수단”이라며 “우리가 분석한 거의 모든 침해 사고에는 자격 증명 탈취가 연관돼 있다”고 전했다.
대부분의 조직은 이미 MFA 기능을 사용할 수 있는 환경을 갖추고 있다. 호위츠는 특히 특권 계정 접근에 대해 MFA를 반드시 활성화해야 한다고 조언했다.
기술 자격증 교육 기관 컴프TIA(CompTIA)의 최고정보보호책임자 랜디 그로스도 같은 의견을 밝혔다. 그로스는 “우선 조직의 ‘크라운 주얼’, 즉 가장 중요한 자산과 그다음 단계의 핵심 시스템을 명확히 정의한 뒤, 해당 환경 전반에 MFA와 최소 권한 원칙을 적용해야 한다”고 말했다. 이어 “이후 범위를 전체 환경으로 확대하기 전에, 해당 시스템에서 발견된 주요 취약점에 대해 기한을 명확히 정한 조치 기준을 수립해야 한다”고 설명했다.
2. 기존 보안 도구를 최대한 활용하라
보안 서비스 기업 가이드포인트 시큐리티(GuidePoint Security)의 최고정보보호책임자 게리 브릭하우스는 추가적인 대규모 예산을 들이지 않고도 기업 보안을 강화할 수 있는 현실적인 방안으로, 이미 조직에 도입된 솔루션의 기능을 최대한 활용하는 전략을 제시했다.
브릭하우스는 “대부분의 조직이 보안 솔루션에 상당한 투자를 했지만, 실제로는 그 도구가 제공하는 기능의 일부만 사용하고 있다”고 진단했다. 이어 “기존 기술을 최적화하고 운영 체계에 제대로 정착시키는 것만으로도 적은 비용으로 사이버보안 리스크를 낮출 수 있다”고 설명했다.
이 접근 방식이 효과적인 이유는 새로운 기술을 추가하는 대신 운영 성숙도를 높이는 데 초점을 맞추기 때문이라고 브릭하우스는 분석했다. 그는 “이 전략은 이미 보유한 솔루션에서 최대 가치를 끌어내도록 해 투자 대비 수익(ROI)도 함께 높이는 효과가 있다”고 말했다.
3. ‘테이블탑 훈련’을 실시하라
테이블톱 훈련(Tabletop Exercise)은 사이버 공격과 같은 위기 상황에 대비해 대응 절차와 의사결정 체계를 점검하는 모의훈련 방식이다. IT 서비스 기업 뉴 차터 테크놀로지스(New Charter Technologies)의 최고정보보호책임자 라이언 데이비스는 테이블탑 훈련의 효과를 과소평가해서는 안 된다고 말했다. 데이비스는 “테이블탑 훈련은 거의 확실하게 긍정적인 행동 변화를 이끌어내며, 비용은 시간 투자 정도에 불과하다”고 설명했다.
테이블탑 훈련은 참가자들이 이론적 관점이 아니라 실제 실행 관점에서 시나리오를 바라보도록 요구한다.
데이비스는 “예기치 못한 상황을 가정해 연습하면 평소에는 사용하지 않던 대응 역량을 점검할 수 있다”며 “일상적인 상황에서는 시간이나 필요성 부족으로 제기되지 않던 질문을 팀원들이 던질 수 있는 계기가 된다”고 전했다.
또한 그는 이 방식은 추가 조치가 필요 없는 강점과 반드시 보완해야 할 공백을 빠르게 드러내는 데도 도움이 된다고 덧붙였다.
4. 애플리케이션 계층을 활용하라
사이버보안 전략에 애플리케이션 계층을 포함하는 것은 보안 범위를 넓히고 전반적인 리스크를 줄이는 효과적인 방법이라고 사이버보안 플랫폼 기업 시큐리티브리지(SecurityBridge)의 매니징 디렉터 빌 올리버는 조언했다. 올리버는 ERP 시스템이 기업 운영의 핵심에 자리하고 있으며, 수년간 공격자의 주요 표적이 돼 왔다고 짚었다.
올리버는 “ERP 시스템의 보안 패치 누락, 잘못된 보안 설정, 실시간 보안 이벤트 등을 모니터링하면 다른 보안 프로젝트에 비해 상대적으로 낮은 비용으로도 강력한 보호 효과를 얻을 수 있다”고 설명했다. 이어 “실시간으로 어떤 보안 이벤트가 발생하고 있는지 파악하는 것만으로도 기업의 사이버보안 프로그램을 크게 강화할 수 있으며, 초기부터 존재해 온 취약 지점을 바로잡는 데 도움이 된다”고 말했다.
5. 패스키를 도입하라
규제 산업의 인프라 보안을 지원하는 기업 포티파이 사이버(Fortify Cyber)의 최고정보보호책임자 존 쿠르센은 패스키가 대부분의 조직이 직면한 가장 큰 공격 경로, 즉 탈취되거나 피싱된 자격 증명을 원천적으로 차단한다고 설명했다.
쿠르센은 “패스키는 인증 과정에서 사람의 개입 요소를 제거한다”고 밝혔다. 이어 비밀번호는 재사용되거나 피싱 공격에 노출되고, 유출된 자격 증명 데이터베이스에 대량으로 저장되는 경우가 많다고 지적했다. 그는 “패스키는 탈취할 수 있는 공유 비밀값이 없기 때문에 피싱 자체가 성립하지 않는다”고 말했다.
또한 애저 AD, 옥타 등 대부분의 최신 아이덴티티 제공업체가 이미 패스키를 지원하고 있다고 언급했다. 쿠르센은 “기술 구현 자체는 어렵지 않다”며 “관건은 사용자 행동을 바꾸고 실제 도입을 이끌어내는 것”이라고 전했다.
쿠르센은 임원, 재무팀, 민감한 고객 데이터 접근 권한자, 송금 승인 권한 보유자 등 고위험 사용자부터 단계적으로 적용할 것을 권고했다.
6. 공격의 핵심을 겨냥하라
보안 기술 기업 아이키도 시큐리티(Aikido Security)의 최고정보보호책임자 마이크 윌크스는 공격자가 실제로 악용하는 지점을 직접 공략해야 한다고 조언했다.
윌크스는 “중복 DNS 제공업체를 구축하라. 비용은 낮지만 효과는 크고, 활용도는 여전히 낮다”고 말했다. 이어 “외부에 노출된 애플리케이션 앞단에 클라우드플레어 무료 요금제를 적용하면 즉시 DDoS 완화와 웹 애플리케이션 방화벽(WAF) 계층을 확보할 수 있다”고 설명했다.
이메일이 여전히 주요 초기 침투 경로인 만큼 SPF, DMARC, DKIM을 활성화해야 한다고도 강조했다. 해당 DNS 설정은 반나절이면 적용할 수 있다. 윌크스는 “무료 구글 OTP를 활용해 모든 계정에 MFA를 적용하라”고 권고했다. 아울러 DNS 레코드를 점검하고, MFA 적용 과정에서 발생한 공백을 감사하는 절차도 병행해야 한다고 덧붙였다.
7. 휴먼 리스크 관리를 고려하라
사이버보안 인식 교육 기업 닌지오(NINJIO)의 최고혁신·보안책임자 맷 린들리는 대다수의 사이버공격이 사람을 매개로 이뤄지는 상황에서, 휴먼 리스크 관리는 기업을 보호할 수 있는 핵심적이면서도 비용 효율적인 방법이라고 말했다.
린들리는 휴먼 리스크 관리가 효과적인 이유로, 조직 전반에 사이버보안 문화를 정착시켜 기업이 직면한 가장 시급한 위협에 직접 대응할 수 있다는 점을 들었다.
린들리는 “직원을 조직의 사이버보안 태세에서 취약한 고리로 취급할 것이 아니라, 가장 중요한 보안 자산으로 바라봐야 한다”며 “직원이 사이버공격을 식별하고 보고하며 차단할 수 있도록 권한을 부여하면, 기업은 분산되고 적응력 있는 새로운 보안 계층을 갖추게 된다”고 설명했다.
효과적인 휴먼 리스크 관리를 위해서는 보안 리더가 참여를 유도하고, 실제 행동으로 이어질 수 있으며, 개인별 특성을 반영한 보안 인식 교육을 제공해야 한다고 린들리는 밝혔다. 동시에 높은 수준의 책임성도 요구된다고 언급했다. 단순 수료율과 같은 형식적 지표를 넘어, 행동 변화가 실제로 효과를 내고 있는지 판단할 수 있어야 한다는 의미다.
린들리는 “피싱 신고 건수와 같은 데이터, 그리고 조직의 사이버보안 태세가 실제로 어떻게 개선됐는지를 보여주는 지표를 제시해야 한다”며 “이러한 데이터가 최고경영진의 공감과 지지를 이끌어낼 수 있다”고 말했다.
8. 사이버보안의 기본에 더욱 집중하라
기술 서비스 기업 리절턴트(Resultant)의 사이버보안 부문 부사장 제프 포어스먼은 아이덴티티 보호, 패치 관리, 가시성 확보, 사용자 인식 제고와 같은 기본 요소에 더욱 집중하는 것이 가장 효과적인 저비용 보안 전략 가운데 하나라고 밝혔다.
포어스먼은 대부분의 조직이 이미 마이크로소프트, 구글과 같은 플랫폼과 엔드포인트·이메일 보안 스택을 통해 필요한 도구를 갖추고 있다고 설명했다. 진정한 기회는 새로운 솔루션 도입이 아니라 설정 최적화와 규율 있는 실행에 있다는 분석이다. 예를 들어 모든 계정에 MFA를 적용하고, 불필요한 관리자 권한을 줄이며, 인터넷에 노출된 시스템을 신속히 패치하고, 피싱 신고 및 대응 체계를 개선하는 조치가 해당한다. 포어스먼은 “이러한 조치만으로도 현실적인 리스크를 크게 낮출 수 있다”고 말했다.
포어스먼은 기본에 충실한 접근이 효과를 내는 이유는 공격자가 실제로 침투하는 방식을 겨냥하기 때문이라고 설명했다. 대부분의 침해 사고는 여전히 고도화된 제로데이 공격이 아니라, 탈취된 자격 증명, 피싱, 외부 노출 시스템, 설정 오류에서 시작된다는 것이다. 아이덴티티, 이메일, 공격 표면 축소에 집중하면 가장 흔한 진입 경로를 효과적으로 차단할 수 있다.
포어스먼은 “이 접근법은 이론적 통제에 머무르지 않고, 우리가 매일 목격하는 침해 패턴과 직접 연결돼 있어 실용적이고 측정 가능하다”고 말했다.
dl-ciokorea@foundryco.com
Read More from This Article: 예산 부담 없이 보안 수준 끌어올리기…CISO가 제안한 실전 해법 8선
Source: News