미국 육군 통신장교로 24년간 복무한 예편 대령 배리 헨슬리의 군 경력에서 IT 보안은 매우 중요한 역할을 차지했다. 헨슬리는 주둔지에 있든, 전투에 투입된 병력을 지원하든 관계없이 ‘군 네트워크의 설계와 구축’을 책임지는 역할을 맡는 경우가 많았다.
헨슬리는 파운드리 산하 언론사 CSO와의 인터뷰에서 “군 경력의 정점은 전 세계 군 통신 네트워크를 운용하고 방어하는 것을 최종 임무로 하는 정예 사이버 부대와 함께 일했던 경험이었다”라며 “이 시기를 거치며 미국이 직면한 사이버보안 위협의 심각성을 절실히 깨달았고, 계속해서 국가를 지키는 싸움을 이어가면서 이 문제의 해법에 기여하고 싶다는 생각으로 전문 경력을 쌓기로 결심했다”라고 설명했다.
현재 헨슬리는 글로벌 보험 중개사 브라운앤브라운의 최고보안책임자로 재직하며, 고객이 가장 중요하게 여기는 가치를 안전하게 보호하는 일을 맡고 있다.
CSO는 헨슬리와 만나 보험 업계에서의 사이버보안 과제와 사이버 보안 전문가의 동기 부여 방안 등 다양한 주제에 대해 이야기를 나눴다.
Q: 오늘날 조직들은 사이버 보안을 어떻게 인식하고 있나
A: 오늘날 산업 전반에서 사이버 보안 리스크에 대한 인식은 과거보다 훨씬 일관되게 형성돼 있다. 다만 실제로 어느 정도의 행동이 요구되는지에 대해서는 조직마다 큰 차이를 보인다. 사이버 보안은 모든 조직의 기반이며, 특히 고객의 신뢰와 확신이 중요한 조직일수록 그 중요성은 더 크다. 이러한 신뢰에는 조직이 제공하는 네트워크와 데이터, 서비스의 보안이 포함된다.
불과 얼마 전까지만 해도 많은 조직은 사이버 리스크를 현실적이거나 자신들과 직접적인 관련이 있는 문제로 받아들이지 않았다. 그러나 직접 중대한 보안 사고를 경험하거나, 제3자와 제4자에서 발생한 침해 사고 통지를 반복적으로 접하면서 상황은 달라졌다. 이러한 사건들은 위협과 그에 수반되는 리스크에 대한 인식을 높이고, 위험의 실체를 분명히 인식하게 만드는 계기가 됐다. 그럼에도 불구하고 특히 예산에 제약이 있는 조직을 중심으로, 효과적인 보안 통제에 대한 적절한 투자로 이어질 수 있는 리스크 허용 수준을 설정하는 데에는 여전히 어려움이 있다.
여기에 더해 사이버 보안 사고와 관련된 정부 개입의 증가, 벌금 부과, 각종 규제 조치 역시 조직의 인식에 지속적인 영향을 미치고 있다는 점을 간과해서는 안 된다.
Q: 현재 보험 산업이 직면한 구체적인 보안 리스크는 무엇인가
A: 오늘날 위협 행위자들은 접근 권한을 어떻게 활용해 이익을 극대화하는지라는 공통된 특징을 갖고 있다. 그래서 특정 산업에 한정된 위협에 과도하게 집중하기보다는, 조직이 보유한 데이터나 접근 권한, 그리고 그 가치가 어떻게 인식되는지가 더 중요하다고 본다. 보험 산업의 경우 보험금 청구나 보험 계약을 위해 수집되는 정보가 있는데, 이러한 정보는 다른 공격 대상을 정교하게 겨냥하는 데만 활용되더라도 위협 행위자에게는 충분히 가치가 있을 수 있다.
다만 보험 산업에 대한 역사적 오해나 반감으로 인해, 이념적 목적이나 신념에 기반해 보험사를 표적으로 삼는 위협 행위자 역시 배제할 수 없다.
랜섬웨어 관점에서 보면, 위협 행위자들은 몸값을 지불할 가능성이 높거나 공격이 용이하다고 판단되는 조직을 노리는 경향이 있다. 결국 이는 산업 분야 자체의 문제가 아니라, 해당 조직이 보유한 데이터의 성격과 보안 프로그램의 성숙도와도 밀접하게 연결돼 있다. 위협 행위자들은 최소한의 자원으로 최대의 수익을 얻고자 하기 때문에, 많은 경우 보안 성숙도가 가장 낮은 조직, 즉 손쉬운 대상을 우선적으로 공격한다.
Q: 향후 몇 년 안에 사이버 보안 전략에 변화가 있을까
A: 전반적인 전략의 방향은 변하지 않는다. 리스크 허용 수준에 맞춘 보안 투자를 유지하면서, 점점 더 활발해지는 위협 환경보다 한발 앞서 대응하는 것이 핵심이다. 인공지능 기반 해킹 도구의 확산은 이러한 적응의 필요성을 분명히 보여주는 사례다. 중요한 질문은 보안 조직이 자체적인 AI 전략으로 이러한 진화를 어떻게 상대하느냐에 있다. 반복적이고 정형화된 업무는 AI를 활용해 처리하고, 사람은 비즈니스 맥락에서의 전반적인 리스크 감소와 AI 모델 학습의 우선순위 설정에 집중해야 한다.
사람 중심의 보안 전문가가 이끄는 AI 보안 인력을 상상해볼 수 있다. 이들은 적절한 시점과 위치에 맞는 방어 체계를 갖추도록 관리하며, 예를 들어 지속적인 침투 테스트를 통해 기존에는 드러나지 않았던 방어 취약점을 찾아낼 수 있다.
또 하나의 변화는 제3자와 제4자 리스크 관리의 진화다. 특히 보안 파트너의 성숙도와 복원력을 어떻게 검증하느냐가 중요해지고 있다. 비용 절감이나 효율성 강화를 위해 협력사가 기반 기술을 교체하는 과정에서, 고객은 그로 인해 노출될 수 있는 리스크를 충분히 인지하지 못하는 경우가 많다. 내부적으로 제공하는 보안 기능에 대해서는 기본에 충실하고 이를 철저히 수행할 것이다. 외부에 맡긴 통제와 기능의 경우에는 파트너 환경을 검증하는 데 그치지 않고, 파트너의 보안 프로그램과 우리 조직의 보안 수준을 함께 끌어올리기 위해 적극적으로 참여하는 방식을 재정립해야 한다.
사이버 보안의 상당 부분은 기본을 얼마나 충실하고 정교하게 수행하느냐에 달려 있다는 점도 잊어서는 안 된다. 장기간 활용될 인프라를 제대로 구축하고 안전하게 보호하는 것, 이것이 결국 가장 중요한 기본이다.
Q: 사이버 보안 전문가를 유지하기 위해 어떤 노력을 하고 있나
A: 리더십이란 사람들이 스스로 가능하다고 생각했던 수준을 넘어, 공동의 비전을 달성하도록 영감을 주는 과정이다. 이를 위해 리더는 먼저 구성원의 관심사와 관련 역량을 이해하고, 이를 비즈니스 목표 달성과 연결해야 한다. 전체 비전 속에서 각자가 어떤 역할을 맡고 있는지를 명확히 설명하고 공감을 얻는 것이 무엇보다 중요하다.
브라운앤브라운에서는 사람들이 가장 소중하게 여기는 것을 보호하는 일을 한다. 핵심 인재를 유지하기 위해 구성원들이 이 미션에서 자신의 역할이 어디에 있는지 분명히 이해하도록 돕고 있다. 브라운앤브라운의 성과는 매일 신뢰를 쌓아가는 데서 비롯되며, 이를 위해 환경과 네트워크, 데이터의 보안을 확보하는 일은 필수적이다. 이러한 신뢰를 고객과의 관계에서 유지하는 데 구성원들이 얼마나 중요한 존재인지 분명히 인식시키는 것이 필요하다. 구성원들이 매일 아침, 자신이 보안 프로그램뿐만 아니라 브라운앤브라운 전체 생태계에서 중요한 역할을 하고 있다는 점을 자각하며 일할 수 있기를 바라고 있다.
브라운앤브라운은 구성원을 최우선에 두고 있다. 이들의 전문성은 언제나 조직을 차별화하는 핵심 요소이기 때문이다.
Q: 가장 자랑스럽게 생각하는 것은 무엇인가
A: 매일 함께 일하는 보안 전문가 팀이 가장 자랑스럽다. 이들은 언제나 개인보다 팀을 우선하며, 각자의 분야에서 최고가 되기 위해 노력한다. 또한 동료와 조직의 보안과 보호를 위해 늘 한 걸음 더 나아간다. 이러한 뛰어난 팀의 일원으로서, 그들의 근무 태도와 탁월함에 대한 헌신이 내 경험상 그 어느 곳과도 비교할 수 없다는 점을 큰 행운으로 생각한다.
Q: CISO들이 스스로에게 던져야 할 질문이 있다면 무엇인가
A: 우리는 과거의 리스크가 아니라 현재 조직에 가장 중요한 리스크를 평가하고 있는가라는 질문이다. 이전 조직에서 사용하던 플레이북에 지나치게 익숙해질 경우, 지금 조직에도 그 방식이 여전히 적합한지 점검하지 않으면 안 된다. 예를 들어, 구성원에게 과도한 부담을 주면서 피싱 대응 교육에 많은 시간을 투입하기보다, 이상 징후 기반 탐지 기술을 활용해 탐지와 대응을 자동화하는 방식이 더 효과적일 수 있는지 고민해볼 필요가 있다.
Q: 현재 사이버 보안 리더들이 직면한 가장 큰 보안 과제는 무엇인가
A: 이 분야에는 단 하나의 가장 큰 과제가 존재하지 않는다. 끊임없이 변화하는 여러 과제가 동시에 존재하며, 서로 주목을 끌기 위해 경쟁하고 있다.
사이버 보안 커뮤니티 전반에 공통된 과제는, 위협 행위자가 민첩하고 혁신적이며 충분한 자원을 갖추고 있고 기습이라는 이점까지 지닌 환경에서 보안 전문가는 항상 100% 정확해야 한다는 점이다. 동시에 기업에 새로운 가치를 제공해야 한다는 압박 속에서, 보안 인력은 어디에 우선순위를 둘 것인지에 대해서도 끊임없이 고민한다. 모든 사이버 보안 리더는 새로운 기술이 가져오는 리스크와 마주하게 되며, 인공지능은 그중 하나에 불과하다.
리스크에 대한 질문에 절대적으로 옳은 답은 없지만, 가장 중요한 자산을 기준으로 위협을 완화한다는 오래된 원칙은 여전히 유효하다. 보안 팀은 지속적으로 취약점을 식별하고, 악용 가능성을 평가하며, 그 결과가 비즈니스에 미치는 영향을 판단해야 한다. 이는 쉽지 않은 과정이지만, 리스크와 보상의 균형을 맞추기 위해 반드시 거쳐야 할 단계다.
Q: 밤잠을 설치게 만드는 요소는 무엇인가
A: 알 수 없는 변수다. 앞서 언급했듯이 사이버 보안 전문가는 항상 100% 정확해야 하지만, 위협 행위자는 알려지지 않았거나 아직 완화되지 않은 취약점 하나만 파고들거나, 권한을 가진 사용자 한 명만 악용해도 된다. 따라서 리스크 모델링은 가장 중요한 자산을 기준으로, 이러한 미지의 위협을 최대한 줄일 수 있도록 효과적인 보안 통제에 투자하는 방향으로 이뤄져야 한다.
dl-ciokorea@foundryco.com
Read More from This Article: 일문일답 | 美 육군 통신장교 출신 CSO, 보험 업계에서 사이버 위협에 맞서다
Source: News