사이버 사고, 특히 랜섬웨어 공격은 기업이 리스크와 복원력을 평가하는 방식에 큰 변화를 가져오고 있다. 그 결과, 기존에는 CIO 중심이었던 업무 연속성 관리가 점차 CISO의 업무로 이동하고 있다. IANS의 ‘2025 CISO 현황 보고서‘에 따르면, CISO는 비즈니스 연속성(Business Continuity, BC)과 서드파티 리스크 관리 등 비즈니스 리스크 전반을 아우르는 역할로 영역을 확대하고 있다.
보안 네트워크 및 컨설팅 기관 IANS 리서치 소속 자문위원 볼프강 괴를리히는 비즈니스 연속성과 연결된 CISO의 세 가지 핵심 과제를 설명했다. 첫 번째 역할은 보안 시스템을 설계할 때 위험한 요소가 무엇인지 미리 찾아내고, 이를 고려해 안전하게 만드는 것이다. 괴를리히는 “비즈니스 연속성과 재해 복구에서 나온 정보를 모아, 이를 다른 보안 구성요소에 반영하는 것이 중요하다”라고 설명했다.
두 번째는 정보보안 부서가 시스템 복구와 업무 재개를 준비하는 ‘비즈니스 연속성 및 재해 복구(BCDR)’ 작업에 적극 참여해야 한다는 것이다. 세 번째는 사이버보안이 전체 업무 흐름과 시스템이 멈추지 않고 계속 작동할 수 있도록, 즉 ‘가용성’을 항상 염두에 둬야 한다는 점이다. 괴를리히는 “조직이 무엇을 하는지 제대로 이해하면 전략적 가치를 더할 수 있다”라고 말했다.
보안 리더의 과제: 빠른 복구와 재감염 차단
CISO에게 주어진 핵심 과제는 보안을 유지하면서 시스템을 신속하게 복구하는 것이다. 이때 복구한 시스템이 다시 해킹 당하거나 또는 서둘러 잘못된 결정을 내려 같은 사고가 또 발생하지 않도록 주의해야 한다.
오늘날 비즈니스 연속성의 현실은 사이버 사고에 따른 중단 상황을 다루는 데 있다. 포레스터의 ‘2024 비즈니스 연속성 보고서‘에 따르면, 전체 조직의 46%가 사이버보안 사고를 최우선 비즈니스 연속성 이슈로 보고 있는 것으로 나타났다.
또한 전체의 약 3분의 2에 달하는 조직이 비즈니스 연속성 관련 예산을 늘리고 있는 것으로 조사됐다. 이는 사이버 공격 같은 치명적인 사고를 줄이고 성숙한 대응 체계를 구축하려는 중요성이 그만큼 높아졌음을 보여준다.
엔터프라이즈 데이터 관리 솔루션 기업 코헤시티(Cohesity)의 사이버 복원 전략 담당 부사장인 제임스 블레이크는 “기존의 비즈니스 연속성은 정전, 장비 고장, 화재, 구성 오류 등 소수 시나리오에 대비했고, 이에 대한 접근법도 ‘가장 최근 백업 이미지를 복구한다’는 식으로 단순했다”라고 말했다.
하지만 사이버 사고는 사태의 발생 경로를 명확히 이해해야 한다. 그래야 복구 과정에서 문제가 함께 복원되거나 다시 감염돼 추가 다운타임이 발생하는 일을 막을 수 있다.
블레이크는 사이버 공격의 복잡성과 빈도가 높아지면서 CISO가 비즈니스 연속성 계획 수립과 실행에 깊이 관여하게 됐다고 설명했다. 그는 이에 대한 3단계 대응 전략을 제시했다. 첫째, 주요 침입 경로인 취약점을 찾아 차단하고, 둘째, 랜섬웨어 재유입을 막기 위한 예방 규칙을 지속적으로 개선하며, 셋째, 공격의 흔적을 완전히 제거하는 것이다. 블레이크는 “공격 흔적에는 생성된 계정, 변경된 보안 정책, 수정된 구성, 그리고 지속적으로 침투하기 위한 접근 방식 등이 포함된다. 이를 제거하지 않으면 결국 시계를 ‘재앙 직전’인 23시 59분으로 되돌리는 셈”이라고 표현했다.
CIO·CISO의 역할 분담: 비즈니스 연속성을 누가 책임지는가?
비즈니스 연속성이 CISO의 업무로 확장되고 있지만, 책임과 역할의 경계가 불분명하면 문제가 발생할 수 있다. 사이버보안 리더가 업무 연속성에 효과적으로 대응하려면 IT 리더십과 협력할 수 있는 규칙 및 구조가 필요하다.
사건에 대응할 때는 철저한 조사와 빠른 복구 간 균형이 중요하다. 하지만 기존 비즈니스 연속성 계획은 이 균형을 맞추기 어렵다.
블레이크는 “서류상으로는 CISO가 기밀성, 무결성, 가용성 보호를 책임지지만, 사실상 가용성은 오래전부터 CIO나 시설 부서로 위임돼 왔다”라고 설명했다. 그는 이어 “BCDR는 보통 CIO나 시설 부서가 담당한다”라며 “사이버 공격이 터지면 그 결과에 대해 책임을 지는 건 CISO이고, 정작 시스템 운영과 복구는 CIO가 관리한다. CISO는 마치 고장 난 변기의 물을 내리는 역할을 맡고, 진짜 배관을 고치는 건 CIO가 하는 셈”이라고 표현했다.
또한 CIO는 일반적으로 CISO만큼 사이버 공격을 깊이 있게 조사하지 않는다. 사고 발생 이후에는 백업이나 복구 등 여러 우선순위가 충돌할 수 있다. 블레이크는 “CIO는 백업 솔루션은 필요에 따라 다르게 선택하거나 사용할 수는 있지만, 보안 위협을 제거하는 것부터 시작하는 ‘사고 대응 프로세스 전체’를 직접 실행하거나 주도적으로 운영하지는 않는다”라고 설명했다.
최소한의 수준으로도 CISO는 사고 대응 회의에 반드시 참여해야 하며, 기본적으로 두 팀이 사고 ‘발생 전, 발생 중, 발생 후’ 모두 협력해야 한다고 블레이크는 조언했다. 그는 “두 조직이 각자 어떤 역할을 맡을지 명확히 정하고, 사고나 이슈 발생 시 어떤 시점에 서로 업무를 넘길지(인계할지) 미리 정해놓은 조직일수록, 문제 상황에서 시스템이 멈추는 시간이 더 짧다”라고 말했다.
괴를리히에 따르면, 최근에는 BCDR이 CISO의 업무 도구 일부로 자리 잡는 사례가 늘고 있지만, 여전히 이를 누가 맡아야 하는지, 어느 범위까지 적용해야 하는지를 두고 혼선이 있다. 괴를리히는 “내가 몸담았던 어떤 조직에서는 BCDR이 별도로 운영됐고, 우리는 협력자였을 뿐 직접 관여하지는 않았다”라며 “반면, 다른 조직에서는 제가 그 프로그램을 주도적으로 이끌기도 했다”라고 전했다.
비즈니스 연속성 중단 시간을 정의하는 주체는 해당 프로그램의 책임자에 따라 달라질 수 있다. 괴를리히는 “어느 쪽이든, 중단 시간의 기준은 결국 비즈니스 영향 분석에서 조직이 체감하는 고통의 크기에 따라 결정된다”라고 말했다.
예를 들어, 복구 시간 목표(RTO)는 산업별 특성과 관련 고려사항에 따라 달라진다. 제조업과 헬스케어 분야에서는 안전이 우선이며, 금융 서비스 업계에서는 무결성과 업무 프로세스 완료율이 핵심 요소가 된다.
괴를리히는 “서드파티 리스크나 공급망 관리를 CISO가 맡고 있다면, 기존에 수행하던 업무에 BCDR 요건을 추가하고 이를 다시 감사하는 역할도 포함된다”라고 설명했다.
괴를리히는 한 은행과 협력해 SLA(서비스 수준 계약)를 감사한 경험을 공유했다. 당시에는 먼저 내부 SLA와 외부 서비스 제공업체의 SLA를 맞춘 뒤, 일부 업체를 직접 방문해 SLA 이행 가능성을 확인했다. 괴를리히는 “많은 업체가 준비 상태를 실제보다 과장했고, 전략이 실효성이 없거나, 기술팀이 영업팀이 제안한 내용을 제대로 알지 못해 대응하지 못하는 경우도 많았다”라고 전했다.
비즈니스 연속성과 재해 복구의 최종 책임이 누구에게 있는지 불분명하다는 점도, CISO가 진정한 비즈니스 파트너로 자리 잡기 위한 과정에서 겪는 어려움 중 하나다.
그는 “비즈니스 연속성 업무를 제대로 수행하려면 기술 영역을 넘어서 비즈니스 프로세스를 이해해야 한다. 훌륭한 BC 작업의 상당수는 기술 작업이 아니라 비즈니스 프로세스 작업이다”라고 말했다.
비즈니스 연속성 성과, 객관적으로 측정해야
BC 프로그램은 위기 상황에서도 기업이 비전과 브랜드 가치를 유지하고, 재정 및 운영 리스크를 줄이며, 규제에 부합하도록 돕는 핵심 기반이다.
하지만 실제 성과와 자기평가 간에는 차이가 존재한다는 산업 데이터도 있다. 이는 많은 조직의 비즈니스 연속성 프로그램이 현실과 이상 사이에서 괴리를 안고 있다는 의미다. 코헤시티의 ‘2024 글로벌 사이버 복원력 보고서‘에 따르면, 전체 조직의 약 95%가 자사 사이버 복원 역량을 과대평가하고 있으며, 이로 인해 업무 연속성 중단이나 랜섬웨어 비용 발생으로 이어지는 경우가 많다고 지적했다.
대부분의 조직은 사이버 공격 이후 데이터 복구와 업무 재개에 소요된 시간이 목표 RTO를 초과했으며, 절반은 최근 6개월 내 사이버 사고나 데이터 유출 시뮬레이션을 진행한 바 있다고 보고됐다.
이러한 결과는 객관적인 측정과 현실적인 평가 기준의 필요성을 강조한다. CISO는 조사 및 복구에 얼마만큼의 시간을 할당해야 안전한 복구가 가능한지에 대한 의견을 반드시 제시해야 한다. 제임스 블레이크는 “RTO가 2일이라 해도 사이버 사고 발생 시에는 복구에 추가 단계를 거쳐야 하기 때문에, 막대한 투자가 없다면 달성하기 어렵다”고 언급했다.
블레이크는 복구보다는 신뢰할 수 있는 구성과 데이터를 기반으로 시스템을 재구축하는 것이 시간이 덜 들고 더 안전한 복구를 가능하게 한다고 설명했다. 다만, 이는 모든 조직이나 CISO가 달성하지 못한 성숙도의 영역이기도 하다. 그는 “일반적으로 조직은 기존 방식의 볼륨 복구나 정리 작업과 크게 다르지 않은 수준의 노력으로도 일부 재구축 작업을 수행할 수 있다”고 말했다.
앞서 언급한 포레스터의 보고서에 따르면, 성숙한 BC 프로그램을 가진 조직은 중대한 리스크 사건을 더 적게 겪은 것으로 나타났다. 그러나 성숙한 BCDR 프로그램은 꾸준한 개선 노력이 필요하다. CISO는 조직의 성숙도 수준에 따라 접근 방식을 개발하고 참여 범위를 넓혀갈 수 있다.
괴를리히는 낮은 성숙도 단계에 있는 조직의 경우, CISO는 보안과 IT 간 시스템 및 BCDR 작업이 통합되어 있는지부터 점검해야 한다고 조언했다. 그는 “리스크 기반 접근법을 바탕으로 성숙도 프레임을 적용해 작게 시작하라”라며 “조직이 있는 위치에서부터 출발해 보안 상태, 연속성, 복구 역량을 조금씩 개선하는 것이 중요하다”라고 말했다. 이어 그는 “모든 것을 한꺼번에 시도하면 결국 번아웃만 초래하게 된다”라고 전했다.
또한 괴를리히는 비즈니스 연속성과 전략은 기술과 위협 유형에 따라 크게 달라지는 만큼, 시나리오와 전략을 그에 맞게 구성해야 한다고 강조했다. 괴를리히는 “해야 할 일이 수없이 많아 보여도, 실제로는 업무 기능과 위협, 복구 전략을 잘 연결하면 훨씬 관리 가능한 대응 포트폴리오로 정리할 수 있다”라고 말했다.
마지막으로, 비즈니스 연속성은 단순한 컴플라이언스 과제가 아니라는 인식이 필요하다. 연속성과 복구는 조직이 무엇을 중요하게 여기고, 누구를 중요하게 여기는지를 파악할 수 있는 전략적 수단이 될 수 있다. 그는 “적어도 일정 부분의 책임과 권한은 가져야 한다. 그렇지 않으면 CISO는 이 기능이 가진 전략적 가치를 활용하지 못하게 되고, 조직 내 영향력도 약화된다”라고 설명했다.
복원력은 단순한 복구를 넘어선 전략이다
포레스터의 조사에 따르면, 북미 지역을 중심으로 전체 기업의 46%가 운영 복원력을 통합적으로 접근하는 전략을 최우선 과제로 삼고 있는 것으로 나타났다. 복원력은 단순히 기존의 복구 방식에 머무르지 않고, 취약점을 최소화하고 실시간으로 대응하며 위협이 지속되는 상황에서도 운영을 유지하는 보안 전략을 의미한다.
IANS 리서치의 괴를리히는 “복원력은 재해 복구, 비즈니스 연속성, 고가용성, 사고 대응 등 다양한 기능을 아우르는 상위 개념이다”라며 “이런 역량을 통합적으로 운영해야 조직이 본연의 목표를 달성할 수 있도록 보호할 수 있다”라고 설명했다.
CISO에게는 사이버 리스크와 비즈니스 연속성뿐만 아니라, 조직 전반의 복원력을 목표로 설정해 이를 실현할 수 있는 중요한 기회가 주어지고 있다.
금융 서비스 기업 브레드 파이낸셜(Bread Financial)은 규제가 특히 까다로운 산업군에 속해 있다. 이 기업의 CISO인 가우라브 카필은 자사 사이버보안 전략이 미국 국립표준기술연구소(NIST)의 사이버보안 프레임워크(CSF)에 부합한다고 밝혔다. 그중에서도 ‘복구’ 기능은 연속성과 복원력의 핵심 역할을 맡고 있다. 실무에서는 테이블탑 훈련, 주요 업무 중심의 맞춤형 복구 작업, 공격을 흡수하고 방어할 수 있는 기능 구성 등이 포함된다.
카필은 “요즘엔 많은 악성 트래픽이 봇을 통해 유입된다. 이를 자동으로 탐지하고 차단하는 기능은 사이버 복원력과 연속성을 유지하는 데 핵심적인 역량 중 하나”라고 전했다.
이런 역량은 복원력을 구현하기 위해 반드시 필요하며, 사이버 전략을 설계할 때 가장 우선적으로 고려돼야 할 목표라고 카필은 표현했다. 그는 기존의 비즈니스 연속성 개념은 이제 다소 오래된 관점이라고 설명했다. 그 이유는, 문제가 발생하면 일시적으로 서비스를 중단한 뒤 다시 재가동하는 방식이 전제되기 때문이다. 반면 복원력은 서비스가 중단되지 않고, 내부 시스템이 비정상적인 활동을 스스로 흡수하고 차단할 수 있도록 설계되는 것을 목표로 한다.
카필은 “내 생각에 이제는 전통적인 재해 복구나 비즈니스 연속성 계획에 머무를 때가 아니다”라며 “오히려 비즈니스와 기술의 복원력을 함께 고려해야 하며, 특정 문제가 발생할 수 있다는 전제를 바탕으로 복원 전략을 설계에 반영해야 한다”라고 말했다.
[email protected]
Read More from This Article: 비즈니스 멈춤 없는 보안을 향해··· CISO가 풀어야 할 과제들
Source: News