"많은 기업들이 (익숙하지 않은) ‘지정학적 동기로 인한 공격(geopolitically motivated attacks)’으로부터 자신을 보호할 준비가 되어 있지 않다. 이제 위험을 인식하고 강력한 방어 전략을 수립하기 시작해야 할 때다."
사이버 전쟁은 더 이상 상상 속에서 존재하지 않고 현실이 되고 있다, 특히 대리전(waged by surrogates)을 통해 자주 벌어지기 때문에 복잡하고 모호한 성격의 전쟁으로 발전하고 있다. 대리전 수행자와 그 배후에 있는 국가 간의 관계는 종종 모호하며, 공격의 근본적인 동기도 명확하지 않다. 명확한 것은 모든 규모와 유형의 민간 부문 기업들이 고위험 전략 게임의 잠재적 표적이 되었으며, 증가하는 사이버 보안 위험으로부터 자신을 보호하기 위해 새로운 사고방식이 필요하다는 점이다.
사이버 공격은 지정학(geopolitics) 관점에서 새로운 현상은 아니며 최근 들어 그 빈도는 증가하고 있을 뿐만 아니라 피해는 더 심각해지고, 표적은 더 다양해지며, 동기는 더 광범위해지고 있다. 점차적으로 사이버 전쟁은 단순히 국가 간에 진행되는 것이 아니다. 표적은 종종 기업, 민간 네트워크와 기반시설이다. 최근에는 수도 시스템, 병원, 가스 파이프라인 등 핵심 인프라가 특정 정부와 연관된(state actors) 공격을 받았다. 이러한 유형의 공격은 팬데믹 기간 중 원격 근무의 취약점을 악용하며 가속화되었으며, 러시아 우크라이나 전쟁 시작 이후 이 유형의 전쟁에 대한 우려가 증가했다. 역사적으로 각국 정부들은 정보 수집을 위해 사이버 공격을 시작했다. 최근 이러한 공격은 기업의 서비스와 비즈니스를 방해하는 방식으로 범위를 확장했으며, 경제, 사회를 약화, 혼란시키는 것도 목표로 하는 듯하다.
동시에 전통적인 조직 범죄와 지정학적 범죄의 경계도 모호해지고 있다. 비밀리에 활동하는 개인이 중요한 국가 인프라나 준비가 되지 않은 기업을 마비시킬 수도 있다. 하지만 많은 기업, 조직은 점점 더 적대적이며 비대칭적이고 어둠의 세계에서 자신을 보호하기 위해 준비가 되어 있지 않다. 당신의 회사는 어떻게 준비하고 있는가? 기업, 조직에 미치는 의미는 무엇인가? 사이버 공격이 초래하는 위협의 확대는 역사적으로 지정학적 표적이 되지 않았던 기업을 포함해 이제는 모든 기업에 적어도 세 가지 의미를 갖는다. 첫째, 모든 조직이 노출되어 있다고 봐야 한다. 지역 병원과 같은 소규모 및 중견 기업도 사이버 공격의 피해자가 되고 있다. 해커들은 점점 더 조직의 규모와 관계없이 널리 사용되는 오픈소스 소프트웨어를 감염시키고 있다. 예를 들어, 2021년 12월 컴퓨터 활동을 추적, 모니터링하는 인기 있는 오픈소스 도구인 Log4j에 컴퓨터 버그가 감염되었다. 악의적인 행위자들은 이 도구를 이용해 컴퓨터 시스템을 제어하거나 감염시키는 데 빠르게 활용했다. 미국 사이버 보안 당국 고위 책임자는 이를 “내가 본 가장 심각한 취약점 중 하나”라고 칭했다.
조직은 다양한 동기의 공격에 대비해야한다. 공격의 동기가 지정학적 영역으로 확장되면 준비와 위험 관리가 더욱 복잡해진다. 기업은 이제 (일반 소비자, 이용자인) 시민을 해치거나 불편을 초래하거나 분열을 조장하기 위해 설계된 사이버 공격을 방어해야 한다. 웹사이트 공격, 서비스 중단, 가짜 뉴스의 제작 및 배포 등이 이에 해당된다. 공격 도구들이 점점 더 정교해지고 널리 확산되고 있다. 사이버 공격 무기 경쟁이 치열해지는 상황에서 국가와 비국가 행위자 모두 더 강력한 무기를 개발하고 있으며, 이는 다시 더 강력한 사이버 방어 체계의 개발을 촉진하는 악순환이 반복되고 있다. 이러한 위험한 환경에서 준비는 필수적이다.
리스크와 위기관리 준비상태 Risk and Crisis Management Readiness
사이버 보안을 부차적인 문제나 추가적인 기능으로 여기는 시대는 이미 지났다. 기업은 공격을 막기 위해 다양한 역량을 갖추어야 한다. 여기에는 두 가지 주요 활동이 있는데, 리스크를 식별, 완화하는 것 그리고 해킹이 발생할 경우 조직이 대비되어 있는지 확인하는 것이다.
(1) 리스크 식별 및 완화 Identifying and Mitigating the Risks 기업은 사이버 위험을 존재 자체를 위협하는 비즈니스 위험으로 간주해야 한다. 감시, 준비, 보호 활동이라는 다층적 구조를 마련해야 한다.
먼저 사이버 위험 보고에 최고 경영진을 포함하라. 점점 더 적대적인 세계에서 사이버 보안은 최고 경영진 아젠다가 되어야 한다. 많은 조직이 이 위험 관리의 책임을 IT 부서나 최고정보보호책임자(CISO)에게 단독으로 맡기고 있다. 이 주제가 최고 경영진에 포함되지 않는 한, 사이버 보안은 비즈니스와 전략과 분리되어 존재할 것이다.
둘째, 사이버 위험 노출을 정량화하라. 사이버 위험은 본질적으로 예측 불가능하고 불균일하지만 불확실한 것은 아니다. 너무 작거나 또는 운이 좋은 기업을 제외하고는 대부분의 기업은 공격을 받을 가능성이 있다고 봐야 한다. 다른 위험들과 마찬가지로, 기업은 사이버 공격에 대한 노출을 정량화하고 이를 방어하기 위해 필요한 비용과 자원을 산정해야 한다. 이 정량화는 시간이 지나면서 변화하기 때문에 지속적으로 업데이트되어야 한다.
셋째, 다양한 위협에 대한 시나리오 플래닝을 수행하라. 위험 평가 과정에서 기업은 공격자가 국가 주체이거나 해킹이 지정학적 동기로 이루어진 시나리오도 평가해야 한다. 이러한 시나리오 역시 사이버 보안 투자에 대한 최종 결정에 반영되어야 한다. 2020년 솔라윈즈(SolarWinds) 해킹 사건은 지정학적 이유로 자행된 것으로 널리 알려진 공격으로, 위협 시나리오를 평가하는 데 좋은 참고 사례가 될 수 있다.
사이버 위협에 초점을 맞춘 시나리오 플래닝 훈련은 다음 네 가지 질문에 대한 답변을 탐구해야 한다.
· WHO 누가 공격할 수 있을까?
· WHY 공격자의 동기는 무엇일까?
· WHERE 어디를 공격할까?
· HOW 해킹은 어떻게 수행될까(공격의 잠재적 형태)?
이제 특정 정부(국가)가 'WHO'이고 지정학적 동기가 'WHY'일 수 있기 때문에 모든 기업의 위험은 더 높아졌다. 앞으로는 이러한 확장된 시나리오를 무시하는 대신 대응할 수 있는 사이버 보안 완화 조치에 투자해야 한다. (아래 그림 Exhibit 1 참조)
지정학적 공격에서 공격자들은 종종 가장 취약한 목표를 찾아내기 위해 환경을 탐색한다. 파괴를 목적으로 할 경우, 공격자들은 공격 대상이 되는 조직의 정체성에 덜 신경 쓸 수 있다. 다른 기업보다 더 강력한 사이버 보안 및 복원력 역량을 갖춘 기업은, 비록 최고 수준은 아니더라도, 해킹이나 침해로부터 벗어날 수 있다. 조직은 지속적으로 역량을 업그레이드하여 경쟁사보다 앞서 나가야 한다.
한편, 공급망(supply chain)은 지리적 전략적 공격의 주요 표적이 된다. 성공적인 해킹은 전체 산업을 거의 마비시킬 수 있기 때문이다. 전통적으로 공급망 사이버 공격의 목적은 기업의 정보탈취(espionage) 활동이나 혼란 유발이었다. 이러한 공격은 일반적으로 고도로 정교하고 공격 자원이 풍부하다. 공급망에 대한 사이버 공격의 위험은 다양하지만 다음과 같은 중단 유형으로 구분할 수 있다.
(1) 기술 공급업체가 해킹당하는 경우
(2) 공급업체가 사이버 공격으로 인해 서비스 중단을 겪는 경우
(3) 공급업체로부터 구매한 소프트웨어에 랜섬웨어나 백도어가 삽입되는 경우
(4) 데이터 처리, 분석 서비스 제공업체가 공격을 당한 후 데이터 유출이 발생하는 경우
2020년과 2021년, 언론사 및 기업들은 이러한 공격 사례를 다수 신고했다. 파일 공유 및 협업 업체인 엑셀리온(Accellion)은 공격자들이 클라우드에 저장된 고객 데이터에 접근할 수 있도록 하는 파일 전송 소프트웨어의 취약점을 악용했다고 보고했다. 원격 IT 모니터링 및 관리 소프트웨어 제공업체인 카세야(Kaseya)는 2021년 7월에 보안 침해사고를 겪었다. 공격자들은 Kaseya의 고객 네트워크에 원격으로 랜섬웨어를 배포했다. 이로 인해 스웨덴 소매업체 Coop은 최소 800개 매장을 하루 동안 폐쇄해야 했다. 이러한 공격의 배후에는 특정 국가의 지원이나 대규모 자금력을 갖춘 사이버 범죄 단체의 지원을 받는 지속적이고 고도로 숙련된 공격자들이 점점 더 많이 등장하고 있다. 2020년1월부터 2021년7월까지 보고된 24건 이상의 고영향 글로벌 공급망 사이버 공격 중 절반 이상이 특정 국가나 정부의 지원을 받는 것으로 추정되는 ‘고급 지속 위협 공격(APT, advanced persistent-threat)’ 그룹에 의해 수행되었다.
오늘날 위험한 세상에서 예방은 항상 가능하지 않으며 많은 기업은 공격에 노출될 수 밖에 없다. 결국 대응이 얼마나 효과성을 가지고 있느냐는 실용성(pragmatism), 준비상태(preparedness), 그리고 복원력(resilience)에 달려있다. 실무적으로 기업은 공격에 대응하기 위한 네 가지 유형의 계획을 수립해야 한다. (그림 2 Exhibit 2 참조)
(1) 사고 대응 Incident Response. 공격을 대비하고, 탐지하고, 차단하며, 복구하는 단계
(2) 비즈니스 연속성 Business Continuity 공격으로부터 복구하는 동안 조직이 운영을 유지하기 위한 계획
(3) 재해복구 Disaster Recovery 공격을 받기 전 (정상) 상태로 다시 복구하기 위한 단계별 계획
(4) 위기관리 Crisis Management 위기 상황을 관리하기 위해 필요한 법적, 규제, 재무, 커뮤니케이션 활동 및 의사 결정 권한을 아우르는 포괄적인 체계
또한 기업은 협업이 가능한 비즈니스를 하는 주요 국가 기관 및 정부당국과 지속적인 소통과 협력을 구축해야 한다. 해킹이 지정학적 배경에 뿌리를 두고 있을 경우, 규제 당국 및 기타 공공 기관은 필수적인 역할을 할 수 있다. 협업도 조직의 대비 태세의 일부다. 한 기업이 해킹을 당하고 공격이 확산되고 있다면, 침입의 증거와 같은 침해 지표를 업계에서 공유함으로써 다른 기업들의 노출을 최소화하는 데 도움을 줄 수 있다.
무엇보다도 대비의 가장 좋은 방법 중 하나는 훈련이다. 비상사태에 대비해 기업은 정기적으로 화재 대피 훈련을 실시한다. 사이버 공격 대응도 역시 유사한 테이블톱(도상) 훈련을 진행해 이사회, 최고 경영진, 직원들이 사이버 해킹, 정보 유출 시 발생할 수 있는 상황과 취해야 할 조치를 이해하도록 해야 한다. 계획이 포괄적이고 검증될수록 조직의 사고 대응 능력은 향상된다.
이러한 훈련은 현실에서 큰 효과를 발휘하는데, 실제 화재가 발생했을 때 출구를 찾는 데 시간을 낭비하고 싶지 않을 것이다. 2016년부터 NATO는 사이버 공간을 회원국 방어에 있어 육지, 바다, 공중과 마찬가지로 중요한 전장으로 인정해 왔다. 2021년 브뤼셀 정상회담에서 NATO 회원국들은 사이버 위협 대응을 위한 집단 방어, 위기관리, 협력의 필요성을 인정하는 새로운 정책을 채택했다. 최근 역사에서 보듯이, 이러한 공격은 종종 민간 기업과 민간 운영의 기반 시설을 표적으로 삼는다. 모든 기업은 NATO와 마찬가지로 이러한 위협을 심각하게 받아들여야 할 때다.
출처 : 보스턴컨설팅그룹(BCG) 보고서 전문 번역 A Geopolitical Lens for Cyber Resilience