기업 보안 운영팀은 오늘날 점점 더 심각해지는 사이버 위협과 씨름하고 있다. 많은 CISO가 인력 및 자금이 부족으로 인해 나타날 결과를 불안해하고 있다는 조사가 등장했다.
어댑터비스트(Adaptavist)의 조사에 따르면 IT 리더 5명 중 2명(39%)이 “과도한 업무량으로 인해” 회사에 중대한 사고가 발생할 수 있다고 보고 있었다. 보고서 저술진은 “IT 인재 확보를 위한 전쟁이 이러한 문제를 악화시키고 있을 가능성이 높다”라는 결론을 제시했다.
클리블랜드에 본사를 둔 보안 기업 서브로사(SubRosa)의 존 프라이스 CEO는 현재 많은 CISO와 그 팀이 직면하고 있는 현실을 전했다. 그는 “엄청난 경보 규모와 공격 표면의 복잡성이 결합되어 많은 보안 전문가들이 압도당하는 상황에 처해 있다. 보안 사고에 대한 대응 방식은 여전히 사후 대응적이다. 때로는 사이버 공격을 당하는 사례가 필요한 예산을 확보하는 원동력이 되기도 한다”라고 말했다.
업무량 증가를 줄이고(그리고 위임하기)
보안 전문가들은 CISO에게 보안팀의 참여 수준을 높이고 날카로운 대비 태세를 확보하기 위해 새로운 방법이 필요하다고 조언한다. 부족한 자원 속에서 보안 위험을 줄이는 효과적인 방법 중 하나는 “팀이 하는 일을 엄격하게 분류하는 것”이라고 컨설팅 회사 맥킨지의 전문가 파트너인 짐 보헴은 말했다.
보헴은 “강력한 수요 관리에 해당한다”라며, 포기할 수 있는 팀 작업에는 아키텍처 보드 검토 회의와 ‘내부 감사를 위한 사후 처리’ 등이 있다고 전했다.
그는 “왜 한 시간짜리 [검토] 회의에 네다섯 명이 모여서 논의해야 할까? 차라리 잠재적 인수 대상의 보안 태세를 검토하는 편이 낫다. 위험 기반 접근법을 통해 모든 것을 살펴보는 것이 중요하다. 직원들이 무엇을 하고 있는지 살펴보는 것이 중요하다”라고 덧붙였다.
보헴은 이어 데브섹옵스에 LOB 이중 내장(dual-embedding) 메커니즘을 수용할 것을 제안했다. 이상적으로는, 보안에 관심이 없는 동료들에게 보안 사고 방식을 교육함으로써 보안 문제를 줄이는 데 도움이 될 수 있다는 설명이다.
“예를 들어, 개발자들은 엔지니어로 간주되는 것을 싫어한다. 그들은 제약을 싫어한다. 그들은 예술가가 되고 싶어 하며, 문서를 남기지 않으려는 경향을 보인다”라며 그는 “개발자에게 해당 메커니즘을 채택하면 보안 팀의 방해로부터 자유로워질 수 있다고 제시하라. 6개월 동안 클린 런을 실행하면 보안 위협 검토 팀의 필요성이 사라질 수 있다”라고 그는 말했다.
그러한 교육은 개발자들에게도 의미 있는 비즈니스 ROI를 가져다줄 수 있다. “개발자들의 생산량이 증가하고, 시장 출시 기간이 단축된다. 그것은 강력한 인센티브다”라고 보헴은 덧붙였다.
직원의 기량을 유지하기
포레스터의 수석 애널리스트 제스 번은 CISO가 때로는 상반되는 결정을 내려야 한다고 전했다. 예를 들어, 보안팀이 부족한 상황에서도 휴가를 사용하도록 해야 한다는 것이다. 그러나 그렇게 하려면 팀 구조에 대해 전략적으로 접근해야 한다고 그녀는 덧붙였다.
“핵심 인력이 휴가를 사용하도록 장려해야 하며, 이를 위한 유일한 방법은 다른 사람이 대신할 수 있도록 교차 교육을 실시하는 것이다. 특히 사고 대응팀의 경우, 벤치 인력을 구성해야 한다. 핵심 그룹인 3~4명의 사람들이 사고나 위반을 겪은 후 18~20시간 동안 일하기를 기대할 수는 없다. 좋은 사람들이 그 자리를 대신할 수 있도록 해야 한다”라고 그녀는 말했다.
팀의 규모는 여러 가지 이유로 줄어들 수 있기 때문에 번은 중복적인 백업 역할이 필수적이라고 주장했다. “조직의 모든 중요한 역할을 위한 예비 인력을 확보하는 관행은 대개 바람직하다. 왜냐하면 사람들은 필연적으로 번아웃, 은퇴, 또는 다른 곳에서 더 나은 제안을 받기 때문에 조직을 떠나게 되기 때문이다”라고 번은 덧붙였다.
즉 승계 계획 등을 고려해야 하고, 조직 내에서 발전할 수 있는 길이 있음을 사람들에게 보여줘야 한다. 이는 직원 유지에 도움이 되고, 직원 개개인을 기여자로 인정하는 가치를 보여줌으로써 직원들의 번아웃을 완화하는 데 도움이 된다고 번은 설명했다.
IEEE 선임 회원이며 하이퍼프루프.io(Hyperproof.io)의 CISO인 케인 맥글래드레이는 자원이 부족하거나 업무량이 감당할 수 없을 정도로 많아질 때 사기를 유지하기 위한 조치를 취하는 것이 중요하다고 강조했다.
맥글래드리는 “업무에 압도된 직원들은 낙담하게 되어 보안 허무주의에 빠지게 될 수 있다. 보안 허무주의란 보안 위반이 불가피하다고 느끼고 보안 조치 유지에 대한 의욕을 잃는 현상이다. 이로 인해 잠재적 위협에 대한 의사소통이 원활하지 않게 되어 보안팀의 효과적인 대응이 어려워질 수 있다”라고 말했다.
그는 이어 “CISO는 직원들과 정기적으로 체크인하여 그들의 감정과 관심사를 파악함으로써 과도한 업무량을 해결하는 데 도움을 줄 수 있다. 이는 업무 분담과 직무 만족도 향상에 도움이 될 수 있다. 또한 팀원들이 새로운 기술을 배우고 일상적인 업무에서 벗어나 휴식을 취할 수 있도록 함으로써 기술 확장을 장려할 수 있다. 그리고 명상 앱이나 온라인 치료와 같은 정신 건강 자원에 대한 접근을 제공하면 팀의 웰빙을 지원하고 과도한 업무량의 영향을 완화할 수 있다”라고 말했다.
그렇게 하지 않으면 보안 팀이 이중으로 취약한 상황에 놓이게 될 수 있다고 태니움(Tanium)의 CIO인 에릭 개스톤은 지적했다. 많은 공격자들이 포위 공격을 감행하여 그들을 압도하고 혼란스럽게 만들려고 하기 때문이다.
“과도한 작업량 관리는 오늘날의 보안팀에게 큰 도전 과제다. 특히 공격자들이 과도한 잡음으로 그들을 압도하여 실제 위협을 효과적으로 모니터링, 탐지 및 대응하는 능력을 방해할 때 더욱 그렇다. 취약성 관리 시스템과 SIEM 플랫폼에서 대량의 오탐(false positive)과 인위적인 잡음을 생성함으로써 공격자들은 실제 공격을 은폐할 여지를 갖게 된다”라고 그는 말했다.
개스톤은 이어 “실제로 위험도가 낮은 것으로 간주되는 행동으로 시스템을 넘치게 하는 하거나, 무해하지만 의심스러워 보이는 페이로드를 대량으로 전송하는 기법을 현실 속에서 관찰할 수 있다. 이러한 공격은 무차별 대입 공격, DDoS, 가짜 측면 이동, 데이터 유출, 터널링 등의 형태로 나타날 수 있다”라고 말했다.
[email protected]
Read More from This Article: “과중 업무량, 중대한 비즈니스 사고로 이어질 수도”··· 보안 리더 39%가 우려 중
Source: News