사이버 사고는 단순히 한 번 발생하고 끝나는 개별적인 사건이 아니다. 많은 CISO에게 이는 회복력, 위험관리 전략, 나아가 직무 수행에 따른 개인적 안녕에까지 영향을 미치는 전환점이 된다.
여러 보안 리더들은 실제 사고에서 얻은 교훈을 돌아보며, 이를 커뮤니티와 공유하는 일이 중요하다고 강조한다. 보안 리더로서 공동의 회복력을 높이고, 침해사고에 대한 부정적 인식을 줄이며, 앞으로 비슷한 위기를 겪을 수 있는 이들에게 실질적인 도움이 되기 때문이다.
1. 교훈을 공유하고 업계 전체 보안을 개선하자
사고 한가운데 선 CISO는 언론의 집중 조명은 물론 각기 다른 이해관계를 가진 이들의 주목을 받게 된다.
솔라윈즈(Solarwinds)의 CISO 팀 브라운은 “세상의 이목이 순식간에 집중된다”라고 표현했다.
그러나 이 과정이 늘 순수한 관심에서 비롯된 것은 아니다. 일부 평론가는 자신의 입지를 높이거나 타 조직을 비난하거나 단순히 뉴스에 이름을 올리기 위해 사고를 이용하기도 한다.
반면, 긍정적인 측면도 있다. 브라운에 따르면 많은 이들이 지켜보는 상황에서 우수한 연구자들도 관심을 가지는 만큼, 업계 전체를 도울 기회가 될 수 있다.
물론 공유 가능한 정보에는 법적, 조직적, 규제적 제약이 따르겠지만, 기술적 대응 방안 측면에서는 의미 있는 교훈을 공유할 여지가 충분하다.
브라운은 “교과서나 대학 강의에까지 인용되는 유명한 사례는 물론, 동료들과의 컨퍼런스 발표나 이벤트를 통해 공유할 수 있는 경험까지, 침해사고에는 늘 배울 점이 있다”라며 “사고를 계기로 업계를 어떻게 더 나은 방향으로 이끌 수 있을지, CISO 커뮤니티에 어떤 도움을 줄 수 있을지를 고민하라”라고 강조했다.
백업·복구 서비스 엄베 크래시플랜(CrashPlan)의 CISO 토드 토르센도 같은 입장이다. 그는 2013년 타깃(Target) 데이터 유출 당시 사이버보안팀의 일원으로 참여한 경험을 바탕으로, 때로는 사고가 ‘이렇게 하면 안 된다’는 생생한 사례가 되기도 한다고 설명했다.
그의 대응 방식은 비난이 아닌 학습을 위한 ‘기술적 사후 부검’을 통해 근본 원인을 분석하고, 열린 논의가 가능한 환경을 조성해 무엇을 개선할 수 있었는지 돌아보는 것이다. 그는 “우리 모두 비슷한 보안 위협과 사이버 공격에 직면해 있다”라며 보안 커뮤니티와의 정보 공유를 권장했다.
또한 토르센은 이 과정이 업계 내 지지 네트워크를 만드는 데 도움이 되며, 훗날 자신이 어려움에 처했을 때 의지할 수 있는 기반이 된다고 설명했다. 토르센은 “언제 커뮤니티의 도움을 요청해야 할지 아무도 모른다”라고 조언했다.
2. 방어에서 공격 중심으로 생각하자
사고 이후 CISO의 역할은 이전과 같을 수 없다. 브라운은 “12월 11일 내 역할과 12일 이후 내 역할은 완전히 달라졌다”라고 전했다.
일부 조직은 사고 이후 보안 전략을 완전히 새롭게 바꿔야 하며, 이 과정에서 기존과는 다른 성향의 CISO가 필요할 수 있다. 브라운은 “CISO가 해임되는 일이 항상 무능해서이거나 사고 책임 때문은 아니다”라며, 이는 조직 상황과 CISO가 변화에 적응할 수 있는 능력에 따라 달라진다고 설명했다. 또한 그는 “사고 이후에도 CISO로 남고 싶다면, 사고 이전과는 전혀 다른 역량을 갖춰야 한다”라고 말했다.
사고를 직접 겪은 다수의 CISO는 보안에 대한 사고방식 자체를 바꾸게 된다. 기업용 SaaS 보안 기업 앱오므니(AppOmni)의 보안·IT 부문 부사장 코리 미셸은 “공격 관점의 사고 방식이 형성돼 공격면(attack surface)을 공격자보다 더 깊이 이해하고, 자원을 효율적으로 배분해 위험을 줄이려 한다”고 말했다. 그는 여러 보안 사고 대응팀에 참여한 경험이 있다.
공격 중심 전략으로의 전환은 단순 방어를 넘어, 플랫폼 오용이나 익스플로잇, APT와 같은 다양한 유형의 사고를 사전에 고려하고 그에 맞춘 대응 전략을 준비하는 것을 의미한다.
미셸은 이러한 전략에 레드팀 훈련과 실전 시뮬레이션도 포함된다고 전했다. 기존 보안 전략을 주기적으로 재검토하고, 백지상태에서 다시 점검하는 과정도 필요하다. 그는 “기존 CISO는 디테일에 너무 몰입한 나머지 현재 상황을 제대로 보지 못하는 경우가 많다”고 CSO에 설명했다.
3. 침해사고 대응을 위한 전술 매뉴얼을 마련하자
보안사고는 대응 계획이 사전에 충분히 준비되어 있어야 한다는 점을 다시금 상기시킨다. 이 계획에는 내부 조율 책임자를 명확히 지정하고, 외부 전문가(침해사고 컨설턴트, 법률 자문 등)를 연계할 수 있는 구조가 포함돼야 한다.
보안 솔루션 기업 사이프로(XYPRO)의 CISO 스티브 체르치안은 “언론 대응, 보험사 협의, 데이터 복구 불가 상황에서의 조사, 랜섬 관련 공격자와의 소통 등 다양한 역할을 맡을 핵심 인물이 필요하다”라고 설명했다.
체르치안은 랜섬웨어 공격 이후 자문 역할을 해오면서 명확한 역할 분담이 없을 경우 현장에서 당황과 혼란이 빠르게 확산된다는 사실을 확인했다고 말했다. 그는 “사고 발생 직후 가장 먼저 나오는 말은 ‘우리가 뭘 해야 하죠? 누가 총책임자죠? 누구에게 연락하죠? 누굴 포함하고, 누굴 빼야 하죠?’ 같은 것들”이라고 말했다.
이 매뉴얼에는 사고 중·이후의 커뮤니케이션 전략도 명확히 담겨야 한다. 이는 종종 위기 대응에 집중하는 사이 소홀히 다뤄지지만, 결국 사고의 장기적 여파를 결정짓는 요소가 될 수 있다.
브라운은 “위기 상황에서는 모든 단어가 중요하다. 발표하는 내용, 말하는 방식, 표현의 톤 하나하나가 영향을 준다”라며 “그만큼 철저한 사전 준비가 필요하다”라고 조언했다.
또한 사고 조사를 언제 종료할지를 결정하기 위한 기준도 매뉴얼에 포함돼야 한다. IANS 리서치 펠로우이자 베드록시큐리티(Bedrock Security)의 CSO 조지 거초는 “사이버 사고 대응에서 가장 어려운 점 중 하나는 언제 조사를 멈춰야 할지를 판단하는 것”이라고 말했다.
규모가 큰 조사팀은 원래의 사고와 무관한 다른 문제까지 들춰낼 가능성이 높다. 이 경우 조사 방향이 흐려지고 본질에서 벗어나 딜레이가 생길 수 있다.
거초는 “모든 문을 다 닫을 수는 없다. 그러나 비교적 위험도가 낮은 이슈는 정리하고, 핵심 사건에 집중해야 한다”고 말했다. 그는 “핵심은 이미 확인된 사실(known knowns)에 집중하고, 투명성을 유지하며 사고를 종결짓는 것이다. 가장 중요한 목적은 데이터 유출 여부를 확인하는 것”이라고 덧붙였다. 거초는 수몰로직(SumoLogic)과 몽고DB(MongoDB)에서 침해사고를 겪은 경험이 있다.
4. 백업은 반드시 격리하고 모니터링하자
데이터를 훼손하는 사고가 발생했을 때, 보호되지 않거나 불충분한 백업은 치명적인 실수로 이어질 수 있다. 이런 경험을 통해 CISO들은 백업 시스템이 안전하고 정상 작동한다고 ‘당연히’ 믿는 것이 얼마나 위험한지 뼈저리게 깨닫게 된다.
체르치안은 “요즘 랜섬웨어는 백업을 먼저 노린다. 복원 지점, 저장 미디어, 복원 경로를 공격해 복구 능력을 무력화시킨 후 몸값을 요구한다”라고 설명했다.
몸값을 지급하더라도 데이터를 온전히 돌려받을 수 있다는 보장이 없기 때문에, 백업이 격리되어 있고 정상적으로 작동하는지 사전에 확인하는 것이 무엇보다 중요하다.
그는 “백업 시스템은 정기적으로 테스트하고 깨끗한 상태인지 확인해야 한다”고 말했다. 특히 “네트워크에 침투한 악성코드나 취약점이 30일, 60일 간 잠복하며 지속적으로 백업에 저장될 수 있다”라며, “이 경우 사고가 발생했을 때 백업을 통해 복원하면, 오히려 악성코드를 다시 시스템에 들여놓는 꼴이 된다”라고 경고했다.
5. 보안 기준을 한 단계 높이자
사고를 겪고 나면 보안 태세 전반에 대한 시각이 바뀌게 된다. 단순히 규제 준수에 그치지 않고, 보다 견고한 보안을 위해 지속적으로 프로세스를 개선하려는 노력이 필요하다.
시스템을 다시 설계하고 재구축하는 일도 마다하지 말아야 한다. 복수 보안 레이어, 더 높은 수준의 규정 준수, 테이블탑 시뮬레이션, 보안 감사, 레드팀 훈련, 엔드포인트 보호 등 다층적인 보안 접근법이 요구된다.
브라운은 “이런 접근은 ‘우리는 침해사고를 겪었지만, 그 이후로 더 나은 보안 모델을 실천하고 있다’고 말할 수 있는 기준점이 된다”라며 “감염이나 또 다른 침해사고를 막기 위한 현실적인 강화 방안이 필요하다”라고 전했다.
그는 테이블탑 훈련도 과거보다 더 자주, 더 심각한 시나리오를 상정해 실시하게 됐다고 말했다. 실제 사고를 겪어본 사람만이 가질 수 있는 위기의식 때문이다.
브라운은 “사고를 직접 겪고 나면 태도가 달라진다. 예전엔 이론적이던 시나리오가 현실이 되면, 사고에 대한 인식 자체가 달라진다”라고 설명했다.
6. ‘반짝이는 신기술’에 현혹되지 말자
미셸은 보안 업계 전반에 ‘반짝이는 신기술 증후군(shiny-object syndrome)’이 만연해 있다고 지적했다. 그는 “화려한 기능, 새로운 개념에 현혹되기 쉽지만, 중요한 것은 기본”이라고 강조했다.
보안의 기본은 취약점 관리와 패치, 효과적인 탐지 및 대응 체계, 제로트러스트 및 패스워드리스 인증 같은 강력한 인증 체계, 직원 교육과 실전 대응 훈련 등이다.
무엇보다 과장된 마케팅에 휘둘리지 않는 경계심이 필요하다. 미셸은 “누구나 취약점 관리는 하기 싫어하지만, 공격면을 이해하고 위험요소를 파악해 제거하는 데 가장 효과적인 방법”이라고 말했다.
7. 사고 이후 예산은 언제든 줄어들 수 있다
보안 사고가 발생하면 사이버보안에 대한 조직의 관심이 집중된다. 이사회와 경영진은 갑자기 보안 리스크에 대해 묻기 시작하고, 밤잠을 설치지 않기 위해 예산도 기꺼이 지원하겠다는 분위기가 형성된다.
더 많은 예산 확보를 위해 오랜 시간 애써온 CISO에게는 반가운 변화지만, 이런 집중 조명과 지원은 오래가지 않을 수 있다.
베드록시큐리티의 거초는 “오랫동안 ‘이런 리스크가 있다’고 경고해왔는데, 실제 사고가 터지면 그제야 이사회, 경영진 모두 보안 얘기만 하려 든다. 하지만 시간이 지나면 관심이 점차 줄어든다”라고 말했다.
예산이 늘어나면 기대치도 덩달아 높아진다. 문제는 적절한 툴과 인력을 확보하기 위한 검토 작업에 시간이 걸린다는 점이다. 하지만 예산을 일정 기간 내에 다 사용하지 못하면, 사고에 대한 긴장감이 사라진 이후에는 다른 부서로 예산이 전환될 수도 있다.
이런 상황은 CISO에게 딜레마를 안긴다. 조직은 개선 지표와 성과를 보고 싶어 하지만, CISO는 갑작스러운 예산 회수와 인력 축소가 어떤 의미를 갖는지 설명해야 하는 입장에 처하게 된다.
거초는 “CISO는 사고 대응에 따른 리스크와 개선 상황은 보고하지만, 예산이 줄거나 인원이 빠지는 상황은 굳이 언급하지 않으려는 경향이 있다”라고 말했다.
8. 자신을 지키는 것이 가장 중요하다
모든 CISO가 공통적으로 느끼는 중요한 교훈은 ‘스스로를 지키는 것’이다. 법적으로, 직업적으로, 정신적으로 자기 자신을 보호하지 않으면 오래 버티기 어렵다는 의미다.
CISO는 과중한 업무, 극심한 스트레스, 점점 늘어나는 책임에 시달리고 있다. 여기에 보안사고는 추가적인 스트레스를 더하는데, 공격 빈도가 증가하면서 사고 자체는 이제 더 이상 드문 일이 아니다.
토르센은 “불행하게도 보안사고는 일상이 됐다. 이젠 업무의 일부”라고 말했다.
브라운은 CISO가 고강도 스트레스에 노출된 상황에서 건강에 어떤 영향을 줄 수 있는지를 인식하고, 사고 발생 시 꼭 필요한 지원 체계를 미리 갖춰야 한다고 강조했다. 특히 위기 한가운데 있는 상황이 개인의 스트레스 대응능력을 얼마나 무너뜨릴 수 있는지 과소평가해서는 안 된다고 지적했다.
브라운은 “사람들은 자신이 스트레스를 잘 관리하고 있다고 생각하지만, 실제로는 그렇지 않을 수 있다”라고 말했다. 그는 “CISO의 일 자체가 매우 힘들기 때문에 각자 스트레스를 해소할 방식을 반드시 찾아야 한다. 사고가 터지면 상황은 더 악화되기 때문에, 자신만의 스트레스 관리 계획을 세워야 한다. 모든 사람에게 통하는 단일한 방법은 없다”라고 조언했다.
dl-ciokorea@foundryco.com
Read More from This Article: “언론은 몰려오고, 내부는 혼돈에 빠지고”···CISO가 직접 겪고 깨달은 보안 사고 교훈 8가지
Source: News