- These smart glasses beat the Meta Ray-Bans in key ways, and they're $180 ahead Amazon's Spring Sale
- Amazon's Spring Sale starts soon. Here's everything you need to know: Dates, deals, and more
- Goodbye legacy networks, hello “cafe-like” branch
- I switched to Mac Studio M4 for two weeks - a Windows PC user's buying advice
- This mini PC is a powerful alternative to the Mac Mini - and it's on sale
CISO가 ‘사고로 인한 피해'를 잘 보고하는 방법
2017년 신용평가기관인 에퀴팩스(Equifax)는 대규모 데이터 유출 사고를 겪었다. 그 결과 14억 달러가 넘는 법적 합의금, 규제 기관의 벌금, 사이버 보안 비용이 발생했다. 같은 해, 해운 대기업인 머스크(Maersk)는 낫페트야(NotPetya) 랜섬웨어 공격의 희생양이 되었고, 이로 인해 전 세계적으로 약 100억 달러의 피해가 발생했다. 머스크 자체적으로도 시스템 복구, 업무 중단, 매출 손실로 인해 3억 달러 이상의 손실을 입었다.
IBM의 최근 데이터 유출 비용 보고서에 따르면, 2023년 3월부터 2024년 2월까지 전 세계 데이터 유출 평균 비용이 488만 달러로 사상 최고치를 기록했다. 이전 기간에 비해 10% 증가한 수치다.
사이버 사고에 따른 영향이 파괴적이고 재정적 피해가 증가하고 있기에 CISO로서는 경영진과 이사회와 사이버 사고로 인한 재정적 비용에 대해 효과적으로 소통해야 한다는 압박을 받고 있다. 이러한 소통은 현실적인 예측과 최악의 시나리오 사이의 미세한 경계를 오가야 하는 경우가 많다. 비용에 대한 과소평가는 기업에게 부정적인 영향을 미칠 뿐 아니라 CISO의 자리까지 위협할 수 있다.
몇몇 전문가들은 많은 CISO가 사이버 사고의 재정적 영향을 명확하게 표현하는 데 어려움을 겪고 있다고 전했다. 리버티 뮤추얼 보험의 수석 사이버 보안 컨설턴트인 아만다 드레거는 CSO와의 인터뷰에서 “CISO는 기술 분야와 경영 분야 모두에 발을 걸쳐야 한다는 흥미롭고 독특하게 도전적인 역할을 맡고 있다. 그리고 그것은 어려운 도전이다. 그 둘을 조화시킬 수 있는 사람을 찾는 것은 유니콘을 찾는 것과 같다”라고 말했다.
전문가들에 따르면 CISO가 의사 결정진에게 침해로 인해 발생할 수 있는 잠재적 비용을 전달하는 가장 효과적인 방법은 가능한 한 정확한 추정치를 마련하는 것이다. 그리고 이러한 추정치를 개발하는 가장 좋은 방법은 사고 대응 계획을 수립하고 실행하며 모의 훈련을 실시하는 것이라고 전문가들은 입을 모은다.
마지막으로, 그들은 CISO가 사고가 발생하기 전에 잠재적 비용에 대한 논의에 적극적으로 참여하여 조직이 사이버 공격의 재정적 현실에 대비할 수 있도록 하는 것이 좋다고 권고한다.
사이버 사고의 비용 계산하기
사고 비용의 두 가지 큰 범주는 직접 비용과 간접 비용이다. “직접 사고 비용은 조직이 해당 사고에서 즉시 벗어나는 데 필요한 작업에 사용되는 것들이다. 누출을 멈추기 위한 활동, 즉각적인 서버 패치, 오프라인 전환, 재구축 등과 같은 일들이다. 전문가를 고용할 수도 있으며, 사고 대응 전문 회사를 고용할 수도 있다”라고 드레거는 올해 슈무콘(Shmoocon) 강연에서 설명했다.
그녀는 이어 “이 밖에 몸값 지불과 그에 따른 수수료, 그리고 암호화폐 전환 수수료가 있을 수 있다. 또 전문 협상가와 함께 하는 것이 좋다. 홀로 대처하는 방안은 권장되지 않는다. 그들이 많은 돈을 절약해줄 수 있다. 또한, 네트워크 자산 손실을 고려해야 한다. 때로는 피해가 너무 커서 복구할 수 없을 때가 있기 때문이다”라고 말했다.
아울러 CISO는 사건에 따라 수반되는 일부 규정 준수 비용을 추가로 고려해야 한다. “예를 들어 민감한 개인 정보가 유출된 경우, 규제 기관에 통보해야 할 수 있다. 영향을 받은 개인에게 고지해야 할 수도 있다”라고 드레거는 말했다.
간접 비용은 사건 발생 직후에는 측정하기 어렵다. 또 규제 기관의 벌금, 보험료 인상, 평판 손상, 시장 점유율 감소 등 범위가 폭넓을 수 있다. 그 중 큰 비용 부담이 들면서도 추정하기 어려운 비용 항목은 비즈니스 중단이다.
드레거는 “이와 관련한 관건은 비즈니스 중단이 얼마나 오래 지속되는지 파악하는 것이다. 짧은 랜섬웨어 사건은 약 3주 정도 걸릴 수 있다. 복구에는 몇 달 이상 소요될 수 있다. 최근 몇몇 라이브러리의 경우, 모든 서비스를 다시 가동하는 데 1년 이상 걸리기도 했다”라고 말했다.
이러한 항목의 대부분은 보험으로 보장되지만, 사고 발생 후 조직 시스템을 개선하는 데 드는 상당한 비용은 보험으로 보장되지 않는다. “여러분 스스로 해결해야 한다. 이를 위해 조직의 자금을 투자해야 할 것이다”라고 그녀는 덧붙였다.
비용 추정을 위해서도 연습이 중요
사고에 대비한 연습은 비용을 미리 정량화하는 크게 도움이 될 수 있다. 가이드포인트 시큐리티의 개리 브릭하우스 CISO는 “내 생각에 이 모든 것을 해결하는 가장 좋은 방법은 정기적인 사고 대응 연습이다. 사람들은 자신의 역할을 이해할 수 있기에 실제로 그런 일이 발생했을 때 준비 태세가 마련된다”라고 말했다.
또한 사고 대응(IR) 계획을 개발하고 이를 자주 실행하는 것도 비용 추정에 도움이 된다. “사고 대응 계획을 종이에 작성해 두는 것을 적극 권장한다. 말 그대로 종이 위에다. 네트워크 전체가 폭발적일지라도 전화번호와 연락처 목록이 있으면 시작할 수 있기 때문이다”라고 말했다.
사고 대응 계획은 비용 추정을 개선할 뿐만 아니라 네트워크 기능을 더 빨리 복구할 수 있도록 해준다. 드레거는 “연습, 연습, 연습이다. 사건 대응 계획의 모든 단계와 중요한 프로세스를 반드시 연습하라. 수동으로 실행할 수 있어야 한다. 종이 문서 형태로 실행할 수 있어야 한다. 양식을 인쇄해야 하는 경우, 양식을 어딘가에 비치하는 것이 바람직하다. 네트워크를 복구할 때까지 네트워크 없이 실행해야 하는 모든 작업을 수행할 수 있도록, 시스템을 마련해야 한다”라고 말했다.
비츠사이트(Bitsight)의 설립자이자 최고 혁신 책임자인 스티븐 보이어는 CSO와의 인터뷰에서 CISO를 곤란하게 하는 현실 중 하나가 사고 비용을 계산하는 공통된 방법이 없다는 점이라고 지적했다. 페어 인스티튜트(Fair Institute) 방법론이나 몬테 카를로 시뮬레이션(Monte Carlo Simulation) 등 자주 사용되는 두 가지 방법과 함께 침해 비용을 구성하는 일부 변수의 예상 비용을 계산하도록 돕는 다양한 위험 관리 모델들이 있기는 하다.
그러나 손실을 측정하고 예측하는 데 있어 보편적으로 인정되는 표준은 없다. 그럼에도 불구하고 비용을 잘못 계산하면 CISO의 평판이 크게 손상되거나 심지어 실직으로 이어질 수 있다. 보이어는 “만약 어떤 일이 발생해서 연간 예상 손실이 5,000만 달러라고 가정해 본다. 5,400만 달러일 수도 있고, 4,800만 달러일 수도 있다. 그러나 이후 다시 어떤 일이 발생해서 6,000만 달러의 손실이 발생한다면 ‘이봐, 스티븐, 넌 바보야’라고 말하는 것과 마찬가지 형국이 펼쳐진다”라고 말했다
드레거는 “CISO의 평균 재직 기간은 약 18~24개월이다. 경영진 중에서도 짧은 편이다. 사실 나는 CISO가 희생양으로 이용되는 상황을 자주 보았다. 이러한 현실은 기업들이 보안 리더를 잘 활용하는 방법을 근본적으로 이해하지 못함을 시사한다”라고 말했다.
사고 비용에 대해 앞서서 의사소통
침해 비용 추정치를 구체화했다면 CISO는 이를 이사회와 다른 리더들에게 가능한 한 빨리, 이상적으로는 사건이 발생하기 전에 전달함으로써 여러 이점을 누릴 수 있다. 보이어는 “반응적이기보다는 능동적이어야 바람직하다”라며 다음과 같이 설명했다.
“랜섬웨어 공격에 당한 적이 없다고 가정해본다. 기업에 비즈니스 이메일 침해 사건이 없었을지라도 이런 사고가 시간문제라는 것을 알고 있을 것이다. 이 모든 것을 미리 개발해서 이사회나 경영진에게 전달해야 할까? 아니면 기다렸다가 사고 발생 시 준비된 것을 제공해야 할까? 미리 적극적으로 나서야 하는 것이 맞을까? 나는 거의 항상 적극적으로 나서야 한다고 생각한다.”
이사회와 경영진에게 적극적으로 정보를 제공한다면 위험을 분산하는 데 도움이 된다. “보험과 같은 위험 이전 방안을 원하는 경우에도 이러한 과정을 거쳐야 한다. 그래야 어느 정도의 보장될 수 있는지 결정할 수 있기 때문이다”라고 보이어는 덧붙였다.
브릭하우스의 권고는 CISO가 사고 발생에 앞서 최고 경영진 및 이사회와 ‘주기적 소통’을 확립하라는 것이다. 그는 또 CISO가 주목할 만한 사이버 보안 사고가 발생한 시기를 활용해야 한다며, 다음과 같이 설명했다.
“업계의 헤드라인을 활용할 만하다. 좋은 위기를 낭비하지 않아야 한다. 즉 다른 조직에서 데이터 유출이 발생했을 때 [이사회에] ’이 회사는 400만 달러의 피해를 입었습니다’라고 전달하라. 이사회에 가서 현재 업계에서 일어나고 있는 일에 대해 이야기할 수 있는 좋은 기회다. 방금 어떤 사고 사례가 벌어졌는데, 우리도 아마 같은 업계에 있다면 이런 문제가 발생했을 것이고, 이런 일이 발생했고, 비용이 얼마였을 것이라고 말할 수 있다. 이런 일이 여기에서 발생한다면, 우리는 아마 이렇게 움직일 것이다라고 알려줄 수 있다.”
즉 브릭하우스의 결론은 다음과 같다. “이사회와의 관계를 구축하고, 사건이 발행하기에 앞서 실제적인 맥락으로 논의하는 것에는 확실히 가치가 있다.”
dl-ciokorea@foundryco.com
