사이버 위험 평가는 보안 조직이 기업의 핵심 디지털 및 물리적 자산을 대상으로 잠재적인 위협과 취약점을 식별하고, 발생 가능성과 영향을 분석해 우선순위를 정하는 데 도움을 준다. 그러나 이러한 중요성에도 불구하고 많은 최고정보보호책임자(CISO)는 위험 평가의 목표를 충분히 달성하지 못하게 만드는 다양한 ‘함정(gotcha)’에 빠지곤 한다.
위험 평가는 모든 조직의 전반적인 사이버보안 전략에서 필수적인 요소가 돼야 한다. 이를 통해 보안 리더는 비즈니스 목표에 영향을 미치는 위험을 파악하고, 사이버 공격의 발생 가능성과 영향을 평가하며, 발견한 위험을 완화하기 위한 대응 방안을 마련할 수 있다.
위험 평가의 실효성을 높이기 위해 보안 리더가 반드시 피해야 할 대표적인 7가지 실수를 살펴본다.
1. 형식적인 위험 평가에 그치는 것
미국 노스캐롤라이나대학교의 사이버보안 연구원 시르센두 몬달(Shirsendu Mondal)은 사이버 위험 평가를 실제 비즈니스 영향과 위협 시나리오를 반영하는 의사결정 도구가 아니라, 미리 정해진 체크리스트나 통제 항목을 확인하는 절차로 여기는 것이 가장 큰 함정이라고 지적했다.
몬달은 “위험 평가가 단순히 체크리스트를 채우는 작업에 그치면 실제 환경에서 위험이 어떻게 나타나는지를 제대로 반영하지 못한다”라며 “위험 평가는 기업이 실제로 어디에 노출돼 있는지를 파악하고 의사결정을 지원하는 역할을 해야 한다”라고 설명했다.
또한 이러한 안일함을 피하려면 상황(Context) 중심의 접근 방식이 필요하다고 조언했다.
몬달은 “자산이 어디에 있는지, 누가 접근할 수 있는지, 어떤 데이터를 다루는지, 운영에 얼마나 중요한지, 장애가 발생하면 어떤 일이 벌어지는지를 살펴봐야 한다”라며 “위험은 기술적인 분석 결과뿐 아니라 반드시 비즈니스 영향과 연결해 평가해야 한다”라고 말했다.
아울러 위험은 기술만의 문제가 아니라며 IT와 운영 부서를 비롯한 내부 비즈니스 리더를 보안 조직의 위험 평가 과정에 참여시키는 것도 권고했다.
2. 결과를 좋게 포장하는 것
소프트웨어 개발 기업 베어스데브(BairesDev)의 최고정보보호책임자(CISO) 파블로 리볼디(Pablo Riboldi)는 어려운 시기일수록 이해관계자에게 현실을 있는 그대로 전달해야 한다고 말했다.
리볼디는 “평가 결과가 기대에 미치지 못했다면 위협 환경이 기존 평가 체계가 예상했던 것보다 훨씬 빠르게 변화했다는 사실을 인정해야 한다”라고 밝혔다.
또한 단순히 취약점 목록만 전달해서는 안 된다고 지적했다.
리볼디는 “실제 공격 시나리오를 함께 제시해야 한다”라며 “예를 들어 가장 중요한 비즈니스 자산 3개를 우선 선정해 심층 위험 평가를 수행하면 위험의 심각성과 함께 즉각적인 비즈니스 가치를 보여줄 수 있다”라고 설명했다.
3. 위험 평가 범위를 충분히 설정하지 않는 것
사이버보안 서비스 기업 수주 랩스(Suzu Labs)의 최고기술책임자(CTO) 데니스 칼데론(Denis Calderone)은 많은 CISO가 통제 항목을 문서화하고 규정 준수 여부를 확인한 뒤 모든 것이 문제없다는 내용의 위험 등록부(Risk Register)를 작성하는 데 그친다고 지적했다. 그러나 정작 해당 통제가 실제로 제대로 작동하는지 검증하거나, 위험 평가 범위가 정말 중요한 자산과 시스템을 포함하고 있는지 점검하는 경우는 드물다는 설명이다.
칼데론은 “이런 사례는 흔하게 볼 수 있다”라며 “예를 들어 운영 서버와 사내 네트워크는 평가 대상에 포함하면서도 한쪽에 방치된 오래된 개발 서버나 내부 담당자가 없는 외부 협력사 포털, 또는 2년 전 프로젝트를 위해 구축한 뒤 폐기하지 않은 API 엔드포인트는 제외하는 경우가 많다”라고 설명했다.
이어 “공격자는 조직이 설정한 평가 범위에는 관심이 없다”라며 “전체 환경을 살펴본 뒤 조직이 평가할 가치가 없다고 판단한 취약한 지점을 찾아 공격한다”라고 말했다.
AI 도입은 이런 문제를 더욱 악화시키고 있다고 칼데론은 지적했다.
그는 “많은 조직이 AI 도구를 내부 시스템과 연동하고 민감한 데이터 접근 권한까지 부여하고 있지만, 이러한 변화가 위험 평가에는 반영되지 않는 경우가 많다”라며 “AI 에이전트는 API를 호출하고 데이터베이스에 접근하며 각종 자격 증명을 활용해 작업하지만 이를 제대로 추적하는 조직은 거의 없다”라고 설명했다.
또한 “조직이 AI를 업무 프로세스에 도입하기 전에 작성한 위험 평가는 이미 현실을 반영하지 못하는 문서가 됐다고 봐야 한다”라고 경고했다.
4. 전제를 검증하지 않은 채 위험 등록부만 신뢰하는 것
전 세계에서 원유와 석유제품을 운송하는 해운 기업 인터내셔널 시웨이스(International Seaways)의 최고정보책임자(CIO) 겸 최고정보보호책임자(CISO) 아미트 바수(Amit Basu)는 실제 위험 노출을 이해하는 것이 아니라 위험 평가를 완료하는 것 자체가 목표가 되면, 감사에는 통과할지 몰라도 경영진을 잘못된 방향으로 이끄는 문서만 남게 된다고 지적했다.
바수는 이러한 접근이 잘못된 안전감을 심어줄 수 있다고 설명했다.
그는 “경영진과 이사회는 위험 등록부가 완성된 것을 보고 조직이 충분히 보호되고 있다고 생각한다”라며 “하지만 평가 체계에 맞지 않는 실제 위협은 그대로 방치된다”라고 말했다.
이어 “이런 함정은 스스로 모습을 드러내지 않는다”라며 “모든 것이 정상으로 표시된 녹색 대시보드 속에 숨어 있다”라고 비유했다.
바수는 위험 평가는 그 기반이 되는 전제만큼만 신뢰할 수 있다고 강조했다.
그는 “위험 평가에 적용한 전제를 명확하게 문서화하고, 비즈니스가 변화하거나 위협 환경이 달라질 때, 또는 보안 사고를 통해 새로운 취약점이 드러날 때마다 반드시 다시 검토해야 한다”라며 “위험 평가는 한 번 작성하고 끝나는 결과물이 아니라 보안 조직과 비즈니스 조직이 지속적으로 논의하기 위한 살아있는 자료”라고 설명했다.
5. 위험을 비즈니스 영향과 연결하지 않는 것
고객 ID 및 접근 관리(CIAM) 플랫폼 기업 퓨전오스(FusionAuth)의 전략 및 ID 표준 담당 수석 디렉터 댄 무어(Dan Moore)는 위험과 비즈니스 영향의 연관성을 무시하거나 축소하면 문제의 우선순위가 뒤로 밀리거나 아예 간과되기 쉽다고 지적했다.
무어는 “그 결과 보안 침해를 비롯한 각종 위험이 비즈니스에 미치는 실제 영향을 이해관계자에게 제대로 전달하기 어려워진다”라며 “더 심각한 문제는 보안팀이 ‘우리의 가치를 제대로 인정받지 못한다’거나 ‘우리의 말을 이해하지 못한다’고 불만을 제기하는 명분이 생기고, 이는 결국 조직의 업무 효율성을 떨어뜨린다는 점”이라고 설명했다.
무어는 위험을 설명할 때는 구체적이고 명확한 접근이 필요하다고 조언했다.
그는 “‘패치 적용률이 95%에 달한다’고 말하기보다 패치되지 않은 시스템이 비즈니스에 어떤 위험을 초래하는지를 설명해야 한다”라며 “인터넷이나 핵심 업무와 연결되지 않은 레거시 시스템은 동일한 패치 문제가 있더라도 다른 시스템보다 위험도가 낮을 수 있다. 이러한 차이를 인정하고 대응 우선순위를 결정해야 한다”라고 말했다.
6. 규정 준수를 실제 보안과 혼동하는 것
침투 테스트 및 보안 자문 기업 네트라가드(Netragard)의 최고경영자(CEO) 애드리얼 데소텔스(Adriel Desautels)는 규정 준수만으로는 효과적인 보안을 확보할 수 없으며, 최소한의 보호 수준조차 충족하지 못한다고 지적했다.
데소텔스는 많은 조직이 규정 준수에 초점을 맞추면서도 최고 수준의 서비스를 제공한다고 홍보하는 침투 테스트 업체를 선택하는 과정에서 이러한 함정에 빠진다고 설명했다.
그는 “실제로는 사람이 수행하는 침투 테스트인 것처럼 포장된 자동화 스캔만 제공하는 경우가 적지 않다”라고 말했다.
데소텔스는 그 결과 조직은 잘못된 안전감을 갖게 된다고 경고했다.
그는 “이는 종이로 만든 안전벨트를 착용한 것과 같다”라며 “보호받고 있다고 생각하지만 낮은 속도의 충돌에서도 부상을 입거나 더 심각한 결과를 맞을 수 있다”라고 설명했다.
이어 “지난 10년 동안 발생한 주요 보안 침해 사례를 보면, 사고 당시 해당 조직들은 모두 규정을 준수하고 있었다는 사실을 기억해야 한다”라고 덧붙였다.
7. 위험 자체를 제대로 이해하지 못하는 것
클라우드 기반 운영 복원력, 업무 연속성 및 리스크 관리 솔루션 기업 퓨전 리스크 매니지먼트(Fusion Risk Management)의 사이버보안 담당 수석 디렉터 사피 라자(Safi Raza)는 많은 조직이 위험 평가를 취약점을 찾아 등급을 매기고 감사를 통과하기 위한 절차 정도로만 인식한다고 지적했다. 그러나 감사 통과와 위험에 대한 올바른 이해는 전혀 다른 문제라는 설명이다.
라자는 CISO가 기술적인 위험 신호를 실제 운영 성과와 연결하는 데 집중해야 한다고 말했다.
그는 “어떤 서비스가 영향을 받는지, 장애가 어떻게 확산되는지, 그리고 이것이 매출과 고객, 규제 준수 의무에 어떤 의미를 갖는지까지 이해해야 한다”라고 설명했다.
또한 정적인 위험 평가에서 벗어나 지속적이고 상황(Context) 중심의 위험 가시성을 확보해야 한다고 조언했다.
라자는 “위험은 기술적인 측면뿐 아니라 비즈니스에 미치는 영향과 재무적 손실 가능성까지 함께 고려해 이해해야 한다”라고 말했다.
dl-ciokorea@foundryco.com
Read More from This Article: 사이버 위험 평가, 효과를 떨어뜨리는 7가지 치명적 실수
Source: News

