2003년 시카고에서 열린 업계 컨퍼런스에서 필자는 처음으로 사이버보안에 관해 발표했다. 당시 유행하던 웜과 바이러스(MSBlast, SQLSlammer 등)의 공격에 대해 이야기하며, 청중에게 강력한 취약점 및 패치 관리의 중요성을 강조했다.
질의응답 시간이 되자 한 청중이 자신의 상황을 요약하며 가슴에 와닿는 질문을 던졌다. “우리는 언제든 한 시점에 수천 개의 취약점을 갖고 있다. 어떻게 우선순위를 정해야 하는가?”라고 말이다.
필자는 “조직에 알려진 위협에 따라 우선순위를 정하라” 또는 “비즈니스 중요도에 따라 우선순위를 정하라” 같은 일반적인 답변을 했다. 정확하긴 했으나 모호한 답변이었다. 20년이 넘게 흘렀지만, 지금도 같은 상황과 질문이 많은 조직을 괴롭히고 있다.
달라진 것은 문제의 규모다. 2003년에는 기업의 활성 취약점은 수천 개였지만, 지금은 수십만 개 이상이다. 그런 상황에서 많은 조직이 여전히 수년 전과 동일한 문제를 겪고 있다. 경험 있는 인재 부족, 수작업 프로세스, 보안팀과 다른 팀(IT 운영, 소프트웨어 개발) 간의 목표 불일치 등이다.
현대의 기업은 소프트웨어를 기반으로 운영되기 때문에 취약점 관리가 제대로 이뤄지지 않으면 심각한 비즈니스 리스크가 뒤따를 수 있다. 그렇다면 CISO들은 리스크를 완화하기 위해 어떻게 프로그램을 현대화하고 있을까? 지난 몇 개월 간 12명의 보안 임원들과 대화를 나누고, 그들의 답변을 10가지 모범 사례로 요약했다.
취약점 관리에 있어 항상 중요한 모범 사례 10가지
1. 문화
취약점 관리 프로그램의 성공은 조직 전체에 사이버보안 중심 문화를 확립하는 데서 시작한다. 많은 CISO가 과거 문화적 문제에 직면했다고 언급했다. 한 CISO는 “회사의 사이버보안 문화는 Log4J와 랜섬웨어 공격을 당하기 전까지는 상당히 방임적이었다”라고 요약했다. 그는 “이런 사건들이 CEO와 이사회에게 각성제로 작용했다. 나는 그때 고용됐으며, 예산을 조정하고 필요한 일을 하기로 약속했다”라고 말했다. 이어 취약점 관리 개선이 조직의 문화적 전환에서 최우선 과제였다고 그는 덧붙였다.
2. 문서화
대부분의 CISO들은 취약점 관리의 모든 단계가 문서화, 평가, 검토되어야 한다는 데 동의했다. 이는 오랜 취약점 관리 문제에 빠른 해결책이 없다는 사실을 의미한다.
조직은 취약점 관리 수명 주기의 각 단계를 파고들어 비효율성을 찾고, 개선 전략을 고안하고, 진행 상황을 측정할 적절한 지표를 정의해야 한다. CISO들은 이 작업에 끝이 없다는 것을 이해하고 있지만, 신뢰할 수 있는 기록을 보유하면 모든 단계에서 지속적이고 반복적인 개선을 장려할 수 있다.
3. 프로세스 수립
인터뷰한 대부분의 CISO들은 기존 프레임워크의 구조를 차용하긴 했지만 비즈니스, 산업 및 조직 요구에 맞게 커스터마이징했다. 일단 표준 취약점 관리 프로세스를 도입하면 기업 전체에 적용하고 지속적인 개선을 위해 모니터링할 수 있다.
한 CISO는 조직이 이를 한 단계 더 발전시켰다면서, 기업 인수 후 보안팀이 미리 준비한 프로그램을 통해 인수한 회사의 취약점 관리 프로그램을 기존 모델에 맞게 변환했으며, 진행 상황을 측정할 수 있는 지표까지 갖췄다고 설명했다.
4. 보안에 필요한 데이터 정의
명확히 하자면, 이는 처음부터 기술 목록을 작성하는 작업이 아니다. CISO들은 먼저 보유한 데이터를 평가하고 필요한 데이터와 비교 분석한다. 이 지식을 바탕으로 부족한 부분을 채울 수 있는 적절한 기술을 찾도록 팀원들에게 임무를 할당할 수 있다.
5. 취약점 관리에 통합 기능 내장
이 프로젝트 역시 기술보다는 학술 프로젝트에 가깝다. 먼저 누가 어떤 데이터를 필요로 하는지 살펴보고, 그 데이터가 어디서 오는지 조사하는 데서 시작한다. 개인이 올바른 데이터를 받으면 그것으로 무엇을 하는가? 모든 것이 순조롭게 진행된다고 가정할 때, 데이터 분석은 자동 또는 수동 작업을 트리거하는가? ‘들어가는’ 요소와 ‘나오는’ 요소를 모두 매핑한 후, CISO들은 종종 벤더 파트너를 초대해 살펴보게 한다. 목표는 무엇이어야 할까? 설계를 현실로 바꾸는 데 필요한 커넥터, API 및 데이터 형식을 확보하는 것이어야 한다.
6. 우선순위 지정을 위한 올바른 지표 마련
이는 2003년에 받았던 질문에 대한 직접적인 답변이다. 취약점 관리가 노출 관리와 만나는 지점이기도 하다. 모든 것은 맥락에 달려 있다. 취약한 자산의 비즈니스 가치는 얼마인가? 취약한 자산이 공격 경로에 있는가? 보완 통제 기능이 마련되어 있는가? 보완 통제가 최근에 테스트됐는가?
당연해 보일 수 있는 단계지만, 대화한 CISO들은 이런 요소와 더 많은 데이터를 종합적으로 반영한 맞춤형 위험 점수 시스템을 개발했거나 개발 중이었다. 이는 전체 취약점 관리 프로그램의 핵심 기반이 될 수 있다.
7. SLA 규율 만들기
우선순위 계층은 보안, IT, 소프트웨어 개발 및 서드파티 리스크 관리 팀 전반에 걸친 엄격한 서비스 수준 계약(SLA)과 결합돼 있다. 예외는 드물다. 많은 조직은 또한 팀이 SLA 기한을 놓칠 때 공식적인 검토 과정을 거친다. 다시 말하지만, 여기에서도 지속적인 개선이 필요하다.
8. 긴급 패치 프로그램 개발
Log4Shell과 솔라윈즈(SolarWinds) 사건 같은 사례는 많은 CISO가 이런 유형의 긴급 사건에 얼마나 준비가 부족한지 깨닫게 하는 계기였다. 이러한 깨달음은 CISO들이 긴급 사건에 대비한 사고 대응 계획을 만들고, 인력을 배치하고, 테스트하게 했다.
한 CISO는 “과거 사건에 대응하는 방식에 자부심을 느꼈지만, 몇몇 팀원들은 몇 주 동안 지쳤고 이직률이 급증했다. 영웅이 아니라 의지할 수 있는 체계적인 프로그램이 필요했다. ‘다음 번’이 없기를 바라지만, 만약 있을 경우를 대비해 준비하고 있다”라고 언급했다.
9. 다양한 팀 간의 목표, 지표 및 보상 조정
취약점 관리는 원활한 커뮤니케이션, 일관된 지표 및 공통 목표를 가진 교차 기능팀에 의존한다. 이는 사람에 관한 부분이다.
앞서 논의한 사이버보안 문화에의 헌신도 중요하지만, 대화를 나눈 CISO들은 또한 CIO, 사업부 관리자 및 인사 담당자들과 협력해 다양한 그룹과 개인 간의 협업을 장려하기 위한 올바른 워크플로우, 자동화, 보고서, 메시징 및 심지어 직원 보상 혜택을 마련했다. CISO가 CIO와 정기적으로 팀을 이뤄 병목 현상을 발견하고 진행 상황을 검토할 때 보안은 훨씬 더 효과적일 수 있다.
10. 지속적인 유효성 테스트로 가상 머신 강화
몇 년 전 보안 관찰성, 우선순위 지정, 그리고 검증을 의미하는 ‘SOPV’라는 어색한 약어를 만든 적이 있다. 널리 퍼지지 않았지만, CISO들은 지속적인 보안 검증 테스트의 개념을 받아들이고 있었다.
물론 검증은 취약점 관리 수명 주기의 여러 단계 중 하나다. 이를 통해 무엇이 바뀔 수 있을까? 많은 기업이 주기적인 침투 테스트에서 새로운 도구나 관리 서비스를 이용한 지속적인 보안 테스트로 전환했다. 마이터(MITRE)는 이를 위협 정보 기반 방어라고 부르고 있다. 조직은 이 방식으로 취약점 개선을 검증할 뿐만 아니라 통제 효율성을 테스트하고 탐지 규칙 엔지니어링을 위한 청사진을 제공할 수 있다.
CISO들은 그 밖에도 다양한 보안 이슈와 권고 사항을 언급했지만, 이 10가지 사례는 조직 규모, 위치, 산업에 관계없이 꽤 공통적이었다. 추가 공통 사항을 사이버보안에서 자주 사용되는 비유로 설명하자면, CISO들은 강력한 취약점 관리가 목적지가 아니라 비선형적 여정이라는 점을 인식하고 있었다.
다시 말해 어떤 일도 끝이 아니라 모든 단계와 개별 작업을 개선하기 위해 노력해야 한다는 것이다. CISO는 항상 많은 업무를 감당하지만, 그것이 현대 기업을 보호하는 이들의 현실이다.
[email protected]
Read More from This Article: 칼럼 | 현직 CISO들이 언급한 ‘취약점 관리 모범 사례’ 10가지
Source: News