[아이티데일리] 2022년도 어느새 끝자락에 접어들면서 ‘뉴 노멀(new normal)’이라는 용어도 더 이상 새로운 표현이 아닌 것처럼 익숙하게 자리잡았다.

특히 COVID-19가 제시한 많은 도전 과제는 끝날 수 있지만 대유행(팬데믹)에 대응하는 자세에 대한 고민은 아직 끝나지 않았다. 다음 대유행이 언제 닥칠지는 아무도 모르지만 필연적으로 기업은 물론, 사회적, 정치적 영향을 미칠 수 밖에 없을 것이다. 이러한 상황들은 비즈니스 성장의 장애물로서 프로세스, 생산, 협업의 어려움으로 이어져 궁극적으로 수익에 악영향을 미칠 것이다.

디지털 트랜스포메이션은 더 이상 있으면 좋은 것이 아니라 필수다. 당신은 조직의 CIO, CISO, 보안 담당자로서 팬데믹으로 인한 다음 단계의 위험에 대비하고 있는가? 이제 팬데믹이 발생했을 때 대응하는 것에서 나아가 팬데믹 관리 방식(pandemic management modality)으로 전환해야 한다.

기존에 IT 인프라 관리는 표준 운영 절차에 맞춰 안정적으로 운영되는 것이 중요했다면, 이제는 매순간 변화하는 상황들을 정확히 파악해 신속하게 대응하는 것이 CIO와 CISO가 해결해야 할 최우선 과제가 되고 있다. 특히 오늘날 사이버 보안이 주요 기업의 이사회 의제인 점을 감안할 때, CIO와 CISO는 비즈니스가 어떻게 보호되고 있으며 비즈니스 가속화를 위해 무엇을 하고 있는지 발표해야만 할 것으로 예상된다.

특히 조직이 새로운 하이브리드 업무 환경을 운영하면서 엔드포인트 기기를 통한 보안 위협이 크게 증가하고 있고, 기존의 악성 URL 링크 분석 엔진을 우회하는 ‘HEAT(회피성이 뛰어난 지능형 위협, Highly Evasive Adaptive Threats)’가 크게 증가함에 따라 공격이 발생하기 전에 차단할 수 있도록 강력한 보안 환경 구축을 위해 재검토에 나서나야 할 시점이다.

무엇보다 오늘날의 정교한 사이버 위협 환경에서 성공하기 위해 보안 리더들은 위협을 탐지 및 치료하는 사후적 접근 방식의 정책에서 벗어나, 비즈니스 전략 구조에 보안을 포함하는 방식으로 전환해야 한다.

보안을 비즈니스 혁신 동력으로 활용하기 위해, 모든 비즈니스 설계 첫 단계부터 고려해야

이처럼 사이버 보안을 비즈니스 혁신 동력으로 활용하기 위해서는 모든 비즈니스 설계 첫 단계부터 보안을 고려하는 ‘보안 내재화(Security by Design)’가 필수적이다. 실제로 많은 보안 조직이 보안 인프라에 대한 투자 수익률(ROI) 관리에 대한 논의에서 벗어나 보안 이니셔티브를 신제품의 시장 출시 계획에 매핑하는 전략적 로드맵을 만드는 방향으로 전환하고 있다. 보안 내재화의 핵심은 민첩하고 실행하며 작게 시작해야 한다. 이를 통해 그룹 내에서 모멘텀을 창출하고 CIO가 가능한 사항을 구체화할 수 있다.

‘팬데믹’은 조직의 빠른 변화와 혁신을 이끌었다는 점을 부정할 수 없다.

전염병이 최고조에 달했을 때, 중환자실 병상은 매우 부족한 상황에 있었다. 이에 일부 병원에서는 인공호흡기를 사용하는 환자 중에 그나마 안정된 환자를 인공호흡기를 가지고 집에서 요양하도록 퇴원시켰다.

비침습적 인공호흡기의 데이터는 HL7 프로토콜(의료 데이터 표준전송프로토콜로서, 병원시스템 간 인터페이스 역할을 담당)을 통해 병원의 EMR 시스템으로 전송됐다. 그런 다음 HIS(병원 정보 시스템, Hospital Information Systems)을 확인한 호흡기내과 의료진이 이러한 환자의 상태를 모니터링하고 상태가 악화되면 병원으로 다시 환자를 이송할 수 있도록 시스템을 마련했다. 이러한 변화는 병원에 새로운 수입원으로 창출돼 700개 병상이 있는 병원을 2,000개 병상이 있는 병원으로 효과적으로 변모시켰다. 이러한 변화는 호흡기 치료 방식을 바꾸고, 환자의 복지를 크게 개선했다.

의료 IoT, EMR, HIS 및 임상 운영의 이러한 융합은 진정한 혁신 사례로서, 사이버 보안 기술 스택을 높이고 보안 운영 센터(SOC)를 재구성해야만 가능하다.

하지만 디지털 혁신을 기반으로 비즈니스를 확장하면서 보안 운영 센터(SOC)를 어떻게 혁신하고 있는가?

현재 클라우드에서 주로 작업하는 시간과 장소에 구애받지 않는 인력의 요구를 충족할 수 있나? 구글 스위트(Google Suite), 박스(Box) 및 줌(Zoom)과 같은 애플리케이션과 함께 클라우드에 워크플로우가 존재하는 새로운 ‘데이터 경제’에서 안전하게 사용할 수 있는 보안 솔루션을 갖추고 있는가?

인프라, 작업 공간 또는 인력을 보호하는 것만으로는 더 이상 충분하지 않다.

이 새로운 ‘데이터 경제’에서 직원의 워크플로우와 애플리케이션을 보호해야 한다. 위협 벡터의 수가 기하급수적으로 증가하는 ‘뉴 노멀’이 일상화되고 있는 상황에서, 위협 탐지 및 수정을 강조하는 기존의 사이버 보안 방식은 클라우드 및 에지 컴퓨팅 시대에는 제대로 작동되지 않고 있다.

지금까지 보안 담당자가 위협 탐지와 오탐지 관리에 얼마나 많은 시간을 허비했는지 생각해 보자. 이에 맞춰 보안 운영 센터(SOC)의 인원을 계속 늘리는 것은 HEAT(Highly Evasive Adaptive Threat)와 같은 위협 벡터가 증가하기 때문에 실행 가능하고 지속 가능한 옵션이 아니다. HEAT 공격과 같은 위협은 보안 웹 게이트웨이, 안티바이러스 엔진 및 샌드박스와 같은 기존의 웹 보안 수단을 쉽게 우회한다.

이제 조직의 모든 내부 트래픽을 격리하는 방향으로 전환해 보안 운영 센터(SOC)를 재구성해야 한다.

웹 격리 기술로 제로 트러스트 전략 실현

보안에 대한 격리 기반 접근 방식을 취하는 것이 진정한 제로 트러스트 방법론 구현의 시작이다. 격리 기술을 활용하면 모든 인터넷 콘텐츠와 웹사이트가 악의적이라고 가정해 보안상 안전한 곳이 없다는 정책 기반 제로 트러스트 인터넷(Zero Trust Internet) 환경 구축이 가능하다.

이를 통해 보안 분석 인력을 재배치하고 보다 의미 있는 업무를 담당할 수 있도록 할 수 있다. 이는 또한 보안 위협 요인 들에 대한 평균 탐지 시간(MTTD)과 평균 복구 시간(MTTR)을 줄여 SOC 운영의 효율성을 높일 수 있다.

코로나-19 대유행으로 촉발된 디지털 혁신 이니셔티브가 빠르게 가속화되면서 공격 표면이 기하급수적으로 증가했다. 이를 위협 행위자가 빠르게 포착하여 랜섬웨어 공격이 급증했다. 이러한 공격은 일반적으로 피해자들의 약점을 이용해 금품을 갈취하는 ‘엑스토션웨어(Extortionware)’ 또는 랜섬웨어에서 발생하는 엔드포인트 기기를 공격의 시작점으로 사용하고 있다.

코로나-19는 환자수 0명에서 시작됐다. 아이러니하게도 랜섬웨어가 필요로 하는 모든 것은 조직이 대혼란을 일으키기 전에 감염시킬 수 있는 ‘환자 제로(일명 사용자)’ 상태다.

필연적으로 조직이 새로운 하이브리드 업무 환경을 운영해야 하는 상황에서 엔드포인트 기기를 통한 공격이 발생하기 전에 차단할 수 있도록 강력한 보안 환경 구축을 구축해야 한다.

조직의 비즈니스 혁신 엔진인 사이버 보안을 가장 이상적인 상태로 유지하기 위해, 강력한 탐지 및 교정 솔루션을 도입하고 강화된 보안 전략을 실행해야 할 시점이다.