2024년은 CISO에게 도전적인 해였다. CISO는 올해 사이버 보안을 비즈니스 성장의 동력으로 만들어야 한다는 압박, 보안 사고에 대한 법적 책임 위험, 책임 부담, 공격 범위 확대 등 여러 요구 사항을 겪었다.
기업의 보안 책임자들이 2024년 보안 환경의 주요 시사점 10가지를 되돌아봤다.
서둘러 도입한 AI 코딩 어시스턴트가 새 취약점 야기
IANS 리서치의 교수이자 헌터 스트래티지의 연구 개발 부사장인 제이크 윌리엄스는 AI가 사이버 보안 분야를 크게 변화시켰다고 설명했다. AI는 새로운 도구 개발을 촉진했지만, 동시에 해커와 사이버 범죄자들에게도 활용됐다.
성급히 AI를 도입한 조직에서는 검증되지 않은 이 기술이 해결책보다는 오히려 새로운 위험과 취약점을 만들어내기도 했다.
윌리엄스는 AI 코딩 어시스턴트를 도입한 여러 조직과 협력했다면서, 초기에는 파일럿 그룹에서 코드 작성 속도가 빨라졌다고 밝혔다. 그는 “하지만 대부분의 경우 개발자 추가 교육 없이 AI 도구를 더 광범위하게 배포했다. 그 결과 AI 코딩 어시스턴트 도입 이후 코드 결함률이 높아졌다”라고 말했다.
대부분의 팀에서는 AI가 생성한 코드 문제를 해결하는 데 시간이 더 오래 걸릴 수 있다. 그러나 윌리엄스는 일부 조직에서 SAST(정적 애플리케이션 보안 테스트)로 발견된 취약점을 해결하는 등 특정 작업에만 AI 코딩 어시스턴트를 사용하면 결함률이 증가하지 않았다고 언급했다. 그는 AI 코딩 어시스턴트가 나쁜지를 묻는 대신 적절한 사용 사례를 고민해야 한다고 설명했다.
실제로 AI 코드 생성은 고도로 구조화되고 결과 측정이 쉬운 사용 사례다. 또한 AI가 탁월한 성과를 보이는 영역이기도 하다. 윌리엄스는 그 적용 과정에서 문제가 발생한다면 AI 구현에 겉으로 드러나지 않는 다른 문제가 있을 가능성이 높다고 언급했다. 그는 “여기서 압도적인 성공을 거두지 못했다는 것은 다른 AI 도입 과정에서도 측정하기 어려운 실패가 숨어있을 수 있다는 것을 시사한다”라고 말했다.
투명성 우선시해야 하는 SEC 새 규정
미국 증권거래위원회(SEC)가 2023년 위험 관리, 전략, 거버넌스, 사고 공개에 관한 규정을 도입하면서, 상장 기업의 CISO의 규제와 보고 요구 사항이 크게 늘어났다. 하이퍼프루프(Hyperproof)의 현장 CISO인 케인 맥글래드리는 이로 인해 기업의 공시 부담이 증가했다고 언급했다.
주목받은 새 SEC 규정은 ‘중대(materiality)’ 항목으로, ‘중대한’ 사이버 보안 사고를 발견하면 4영업일 이내에 보고해야 하는 의무다.
이 의무의 핵심은 사고가 조직과 주주들에게 중대한 위험을 초래했는지 여부다. 만약 그렇다면 이는 ‘중대한 사고’로 정의되며 판단이 내려진 시점(최초 발견 시점이 아님)으로부터 4일 이내에 보고해야 한다.
맥글래드리는 “중대한 사고란 직접적인 재무적 영향과 같은 정량적 손실을 넘어 평판 손상과 운영 중단과 같은 정성적 측면까지 포함한다”라고 설명했다. 맥글래드리는 SEC의 중대 항목이 사이버 보안 사고와 관련된 투자자 보호의 중요성을 강조한다고 언급하며, 의심스러운 경우 보고하는 방법이 안전하다고 말했다. 그는 “공시 여부가 불확실하다면 투명성을 우선시하는 것이 주주를 보호하는 길”이라고 덧붙였다.
소규모 기업의 보안 강화
포켓 CISO(Pocket CISO)의 설립자이자 커뮤니티 CISO인 칼로타 세이지는 소규모 기업의 리더들이 더 이상 사이버 보안과 컴플라이언스를 형식적으로만 다루지 않는다고 말했다. 그에 따르면 소규모 기업은 성장 과정에서 조직의 회복력을 확보하기 위해 초기부터 보안과 컴플라이언스 전략에 투자하고 있다.
세이지는 스타트업이 프리 시드 및 시리즈 A 단계, 경우에 따라 최소 기능 제품을 완성하기 전에도 vCISO(가상 CISO) 서비스를 이용하기 시작했다고 언급했다. 그는 “소규모 기술 컨설팅 및 전문 소프트웨어 개발사는 대형 고객에게 지속적으로 서비스를 제공하기 위해 ISO 27001 인증을 받으려 하고 있다”라고 설명했다.
또한 중기업(직원 300~500명)의 보안 리더는 감사 외에도 보안 및 컴플라이언스 프로그램이 모범 사례를 따르며 양호한 상태라는 것을 확인받고 싶어 하는 것으로 나타났다.
고객과의 투명한 소통에 집중
IANS 리서치 교수이자 몽고DB(MongoDB)의 임시 CISO/신뢰 책임자인 조지 거초우는 올해 주요 클라우드 서비스 업체와 포춘 100대 기업에서 신뢰 프로그램이 출범했다고 전했다.
거초우는 스노우플레이크, 크라우드스트라이크 같은 대기업의 서비스 중단 사고와 옥타(Okta) 관련 사고로 인해 클라우드 서비스 업체에 대한 신뢰가 약화된 것이 배경이라고 언급했다. 그는 “전통적인 보안 설문지와 공동 책임 모델은 더 이상 충분하지 않다. 보안 리더들은 이미 오래전부터 이를 알고 있었다”라고 말했다.
대규모 사고에 대한 투명성 부족이 불안을 야기하면서 클라우드 도입도 둔화됐다. 거초우는 “하지만 현실적으로 사람들이 필요로 하는 도구들이 점점 더 클라우드 기반이 되고 있다”라고 말했다.
이에 대응해 기업들은 고객과의 투명하고 열린 소통을 위해 신뢰 담당 부서 설립에 주력하고 있다. 거초우는 “이런 노력은 신뢰 위기에 선제적으로 대응하려는 움직임으로, 보안 리더들이 새로운 위협과 신뢰 구축 방안을 적극적으로 논의하고 있다. 모든 조직이 투명성을 추구하고 있다”라고 언급했다.
그는 신뢰 담당 부서가 사고 발생 시 자사와 고객을 보호하는 직접 소통 창구가 될 것이라고 전망하면서, “AI 투자가 계속 증가하는 만큼 팀 간의 신뢰와 협력이 어느 때보다 중요해지고 있다. 그런 상황에서 신뢰 기반 구축은 유일한 해결책일 수 있다”라고 말했다.
서드파티 보안 조사는 개선됐지만 추가 연구가 필요
로즈 CISO 그룹(Rose CISO Group)의 설립자이자 CISO인 올리비아 로즈는 “마침내, 다행스럽게도 벤더가 ‘비즈니스 검증’을 받기 위해 수많은 설문지를 작성해야 하는 기존 프로세스에 문제가 있다는 인식이 올해 확산됐다”라고 말했다.
그에 따르면 벤더 입장에서 이런 설문지는 시간이 많이 소요되며 팀 자원에 큰 부담을 준다. 로즈는 “고객 입장에서는 가장 신중하고 꼼꼼한 CISO가 수백 개의 벤더 답변과 SOC2 보고서만을 근거로 민감한 데이터와 환경에의 접근 권한을 제공해야 하는 상황”이라고 설명했다. 그에 따르면 이런 프로세스에도 불구하고 서드파티 침해 사고의 빈도가 줄어들지 않았다는 점이 전체 프로세스에 문제가 있다는 사실을 보여준다는 것이다.
이런 상황에서 AI는 팀이 설문지에 더 빠르고 정확하며 수월하게 응답할 수 있도록 지원하고 있다. 다만 여전히 개선의 여지가 있으며, 이 작업에 소요되는 상당한 시간과 자원을 절약할 가능성이 있다.
그는 “2025년에는 새로운 스타트업이 등장하길 기대한다. 고객이 연결된 벤더의 보안 수준을 더 구체적인 방식으로 평가하고 검증할 수 있는 솔루션을 제공하는 기업이 나타날 수 있다”라고 말했다.
피싱 공격에 대응하기 위한 인력 확충
2024년에는 피싱 수법도 다양해지면서 탐지팀의 부담이 늘어났다. 탬파대학교의 IT 및 보안 부사장인 타미 로퍼는 “사이버 범죄자들이 더 이상 단일 피싱 이메일을 수천 명의 사용자에게 보내지 않는 추세”라고 언급했다.
로퍼는 대신 사이버 범죄자들이 한 번에 보낼 피싱 이메일을 각각 대상에 맞춤화해 공격을 신속하게 차단하기 어렵거나 거의 불가능하게 하고 있다고 설명했다.
피싱 이메일이 수신됐다는 사실이 탐지된 경우, 사고 처리 담당자는 이런 맞춤화로 인해 더 이상 동일한 피싱 메시지가 전달됐을 가능성이 있는 모든 편지함에서 신속히 제거할 수 없다. 로퍼는 “이제 최종 사용자들에게 각각 다르지만 유사하게 구성된 피싱 이메일을 개별적으로 찾아 제거해야 한다. 사이버 범죄자들은 탐지를 회피하고 정보 보안팀에게 새로운 과제를 안기는 데 능숙해지고 있다”라고 설명했다.
이런 상황 때문에 보안 및 위협 알림도 기하급수적으로 증가했다. 따라서 사고 대응 인력을 확충할 필요성이 대두됐다.
예상치 못한 보안 위협 드러낸 AI
올해는 AI와 관련된 잠재적 보안 문제를 예측하기 어렵고, 사후에 연관성을 파악하기가 항상 더 쉽다는 사실이 여실히 드러났다.
BPM의 CISO인 밴디 하미디는 AI가 이미 다양한 방식으로 영향을 미치고 있지만, IT와 정보 보안팀은 보안 위협을 주시하면서 발견되는 즉시 이를 파악하고 관리해야 한다고 조언했다.
그는 “AI 이후 인류의 미래에 대한 예측은 많지만, 실제 영향은 AI가 우리 앞에 나타날 때까지 명확하지 않을 것”이라고 진단했다.
보안 전문가는 동료를 안내하고 교육하는 동시에 새로운 리스크에 대해 최대한 빠르게 배워야 한다. 또한 기술의 영향을 최적화하면서 보안 리스크 변화에 대응할 민첩성을 갖춰야 한다.
딥페이크를 새로운 리스크로 인식
하미디는 기업이 비디오 콘텐츠를 빠르게 제작하거나 대화형 봇을 만드는 데 활용할 수 있는 딥페이크, 심지어 승인된 딥페이크조차 새로운 종류의 위협일 수 있다고 지적했다.
그는 “실제 사람을 실시간으로 모방할 수 있는 사실적인 봇이 등장한다면 어떤 일이 벌어질까?”라고 물었다.
하미디에 따르면 딥페이크는 2가지 심각한 문제를 야기할 수 있다. 하나는 누가 그 이미지나 목소리의 소유권을 가지는지에 대한 규정 준수 및 데이터 프라이버시 문제이고, 다른 하나는 신뢰받는 인물의 얼굴이나 목소리가 사기에 악용될 수 있다는 보안 우려다.
엘라스틱(Elastic) CISO인 맨디 앤드리스는 생성형 AI의 발전으로 인해 딥페이크가 더욱 보편화될 것이라고 전망했다. 그에 따르면 올해는 보안팀이 조직의 위험을 더 잘 이해하고 다른 직원을 교육하도록 돕는 데 중요한 역할을 해야 한다는 필요성이 제기됐다. 그는 “AI와 머신러닝을 사용하면 팀이 방대한 양의 데이터를 활용해 의사 결정을 내리고 공격에 대응하는 데 유용할 수 있다”라고 언급했다.
더 복잡해지고 확대된 서드파티 위협
칼라일그룹의 CISO인 베서니 드 루드에 따르면, 서드파티 의존도가 증가하면서 사용자 커뮤니티를 손상시키는 침해 사고가 계속 발생하는 동시에 다양한 환경에서 복잡성이 증가하고 있다.
그는 “기업이 멀티클라우드와 SaaS 기반 비즈니스 모델을 도입하면서 기존 방식으로 통제되는 엣지가 아닌 ID로 정의되는 정보 환경에서 위험을 관리해야 한다는 새 과제가 등장했다”라고 설명했다.
드 루드는 변화하는 엣지와 보안이 시스템 위치보다는 누가 데이터와 시스템에 접근할 수 있는지에 중점을 두는, 새롭고 실용적인 데이터 및 벤더 관리 접근법이 앞으로 등장할 수 있다고 전망했다. 그는 “상호 연결되면서도 복잡하고 분산된 환경에서 비즈니스가 운영되는 방식을 새롭게 다룰 접근법이 필요하다”라고 말했다.
AI 및 자동화에 기반한 취약점 관리
캐롤라이나 컴플리트 헬스(Carolina Complete Health)의 정보 보안 부사장 겸 CISO인 릭 도튼에 따르면 올해는 대규모로 자동화된 Q/A 및 회귀 테스트를 위해 AI를 활용하는 새로운 도구가 등장해 팀의 부담을 줄이고, 안전하고 효과적인 문제 해결 프로세스를 가속화한 해였다.
도튼은 “문제 해결 워크플로우 도구는 발견 사항에 우선순위를 지정하고 정규화하며, 중복을 제거해 적절한 팀에 전달하고, 특정 사람에게 할당할 티켓을 생성하도록 지원한다”라고 설명했다. 이는 이미 보안 오케스트레이션, 자동화 및 대응(SOAR) 도구로도 가능하지만, 자동화 스크립트를 만들고 자동화를 지원하는 프로세스와 워크플로우를 만드는 데 사람이 필요하다.
AI 기반 도구는 자원 제한을 해결할 뿐만 아니라, 서로 다른 문제 해결 워크플로우와 티켓팅 시스템을 가진 여러 팀 간의 책임 문제를 조율하는 데도 유용하다. 도튼은 “클라우드 환경의 동적 특성으로 인해 워크로드에서 수정해야 할 발견 사항이 수만 가지에 달하기에 AI 도구가 중요하다”라고 말했다.
[email protected]
Read More from This Article: “투명성, 딥페이크, 생성형 AI 外”··· 보안 리더들이 본 2024년 주요 시사점 10가지
Source: News