[트렐릭스 임현호 한국지사장] 보안 영역에서 '사전 예방'은 선택이 아닌 필수다. 그렇기에 각 기업의 정보보호책임자(CISO)는 이사회가 사이버 보안의 중요성과 위협 대응 절충안을 이해할 수 있도록 설득해야 한다.

하지만 실제 현장 분위기는 다르다. 트렐릭스가 발표한 'CISO의 마인드: 보안사태의 이면' 보고서에 따르면 사건이 발생해야 보안에 대한 이사회의 인식이 개선되고 있다. 국내 응답자 중 87%는 해를 입은 후 에야 지원이 증가했다고 답했다.

세계 주요 기업(최소 직원 1000명 보유)의 CISO 500여 명을 대상으로 조사한 연구 결과, 지난 5년 내 사이버 보안 사태를 경험한 국내 응답자의 47%는 사건 발생 후 인력·역량·구조에 대한 정기적인 검토 및 지원이 확대되는 경험을 했다.

'사후약방문'(때가 지나고 대책을 세우는 행위)을 취하는 기업들이 늘어난 만큼 ▲인력 ▲기술 ▲프로세스 등 3가지 관점에서 국내 CISO가 겪고 있는 어려움을 되짚어보고, 대안을 마련할 필요가 커진 상황이다.

조사에 따르면 국내 CISO의 90%는 인력 측면에서 보완이 필요하다고 응답했다. 인력의 격차는 리소스 주기로 인해 경보가 누락되거나, 올바른 팀 구성이 이루어지지 않을 때 생겨난다. 실제로 43%의 응답자가 보안 사건 이후 인력 충원을 경험했다. 사이버 공격이 보다 정교하고 다양해지자 보안 관리 또한 까다롭고 복잡해졌다.

CISO는 주요 사이버 보안 사태인 멀웨어(60%), 랜섬웨어(50%), 데이터 탈취(50%), 디도스 공격(47%) 등을 포함, 전방위 적으로 공격을 받고 있다. 하지만, 복잡한 공격에 대처할 IT 역량 부족(60%)과 더불어 SOC 분석가 및 SOC 위협 사냥꾼(Threat Hunter) 또는 사고 대응자 부족(53%) 등 심각한 전문 인력 부족을 겪고 있다. 그들은 이러한 사항이 보안 사태 발생에 큰 영향을 미쳤다고 답변했다.

국제 정보 시스템 보안 인증 컨소시엄(ISC)에 의하면 2023년에 사이버 보안 분야의 인재 격차가 400만 명에 육박할 것으로 예상된다. CISO는 이러한 상황 속에서 새로운 인재 영입, 팀원의 숙련도 향상 등 조직의 역량 강화 방법을 모색해야 한다.

연구에 참여한 모든 CISO는 입을 모아 기술의 향상이 필요하다고 밝혔다. 기술의 격차로 약점이 발생하면, 조직은 사이버 보안 침해에 취약해지며 사이버 범죄자는 이를 악용할 수 있다. 공격 탐지 기술 미비를 사태의 근본 원인 중 하나로 꼽은 CISO가 50%에 달했다.

그들은 보안 역량 및 기술 부족(47%), 제한된 가시성(46%), 연동되지 않은, 혹은 사일로화 된 기술 구축(46%), 부적절한 기술의 적용 및 탐지 방책 비활성화(40%)에 있어서 지원이 필요하다고 강조했다. 그 결과 보안 사태 후 전문 서비스 등과 같은 추가 계약 서비스(60%)를 맺고, 기술 및 툴을 위한 예산 증가(40%)가 이뤄진 것으로 확인됐다.

이러한 기술적 한계 및 공백은 조직을 보호하기 위한 프로세스 준수에도 어려움을 가져온다. 기술이 부족한 경우, 조직을 보호하기 위한 관행 및 절차가 수행될 수 없기 때문이다. 97%의 CISO가 프로세스가 개선되어야 한다고 생각했다. 그리고 대표적인 이유로 담당자의 프로세스 비 준수 또는 인수인계 미흡(57%)과 지나치게 많은 매뉴얼 프로세스로 인한 탐지 및 복구 시간 지연(53%)을 꼽았다. 이로 인해 조직은 보안 사태 이후 사고 대응(Incident Response) 시스템을 도입하고, 새로운 프레임워크 및 표준을 구현(50%)했다고 답했다.

앞서 설명한 인력, 기술 그리고 프로세스의 격차는 상호 연결되어 있으며 서로 긍정적인 또는 부정적인 영향을 미친다. 따라서 CISO는 이러한 격차를 총체적으로 줄이고, 보안 인식 문화 장려, 효과적인 최신 보안 기술 구축, 프로세스를 개선하기 위해 노력해야 한다. 이러한 상황 속에서 '확장형 탐지 및 대응(XDR)' 기술은 CISO에게 적절한 선택지가 될 수 있다.

<임현호 지사장> 트렐릭스 코리아

<기고와 칼럼은 본지 편집방향과 무관합니다.>