기술과 인식
변화를 이끄는 보안 전문가들의 7가지 전략
보안은 현실적인 변화를 이끌어내야 하는 분야에요. 하지만 이러한 변화를 유도하는 과정은 종종 번거로운 일들로 가득 차 있어요. 각 보안 책임자는 이러한 귀찮은 일들을 하나하나 처리해나가야 하는 무거운 책임을 지고 있죠. 그렇다면, 어떻게하면 조직 내 임직원들을 이러한 변화에 참여시킬 수 있을까요?
미국에서 10월은 '보안 인식 제고의 달'로 지정되어 있다고해요. 많은 기업들이 이 기회를 활용하여 보안 교육을 실시하거나, 비밀번호를 전면적으로 갱신하도록 하거나, 보안 규정을 재앙기획하거나, 모의 훈련을 진행해요. 이러한 노력들은 처음에는 신선하게 느껴질 수 있었지만, 반복됨에 따라 기계적으로 이어지는 경향이 있죠. 사이버 보안 위협은 끊임없이 진화하는데, 우리가 이를 인식하는 방식은 고정되어 있다는 문제가 있어요. 그렇다면, 더 나은 접근법은 없을까요? 여러 CISO들과의 대화에서 얻은 정보를 공유해보도록 할게요.
1. 보안 강화를 위한 기술적 접근: 스나이더 CEO의 전망
씨슬테크놀로지스의 CEO인 윈도 스나이더는 보안 교육이나 엄격한 규정만으로는 직원들의 행동 패턴을 안전하게 바꿀 수 없다고 주장했어요. 그 대신, 직원들이 일반적으로 범하는 실수를 자동으로 방지하거나 해결해주는 기술적인 플랫폼을 구축하는 것이 더 효과적이라고 강조하고 있죠. 특히 애플리케이션 개발자들을 위해 코드 내 버그를 최소화하는 개발 플랫폼을 도입하는 것을 제안하며, 교육은 중요하지만 오직 교육에만 의존하지 말아야 한다고 말했어요.
스나이더는 20년 동안 모질라, 애플, 마이크로소프트, 인텔 등에서 안전한 제품을 개발하기 위해 노력해온 전문가로서, 사용자가 결정하는 클릭의 효과성에 의문을 제기하고, 사용자들이 과도한 권한을 가지고 있다면 작은 실수도 심각한 결과를 초래할 수 있다고 지적했어요. 그러므로 권한을 효과적으로 제한하는 노력이 필요하다고 강조하며, iOS와 크로미움과 같은 소프트웨어들이 이미 사용자 권한을 충분히 제한하여 보안을 강화하고 있다고 언급했죠.
2. 업무 환경에서 보안 인식 강화를 위한 '챔피언' 프로그램 도입
엑스피디아그룹의 CISO인 커트 존은 조직 내에서 사이버 보안 문화를 촉진하기 위해 '보안 챔피언'을 뽑는 것을 권고했어요. 이 챔피언은 자원하는 자만이 아닌, 안전한 행동을 보여주며 조직 내 보안 인식을 높이는 역할을 맡았어요. 존은 여러 부서에서 다양한 사람들을 선발하고, 이를 통해 다양한 관점에서 보안을 이해하고 협력할 수 있도록 하는 것이 중요하다고 강조하며, 지원자 부족 시 보안 부서 담당자를 파견하여 챔피언 역할을 수행하도록 하는 등의 제안을 내놓고 있다고 해요. 이러한 활동은 이론적인 개념에서 실질적인 업무에 보안을 통합시키고자 하는 목적을 가지고 있어요.
3. 보안 전문가 브루스 슈나이어: 보안 조언은 현실성과 실천 가능성을 갖춰야 한다
브루스 슈나이어는 일반적인 보안 조언들이 현실적이지 않다고 지적하며, 특히 링크를 클릭하지 말라는 조언이 URL 자체의 존재 이유와 상충된다고 비판했어요. 그 대신, 사용자가 이해하고 적용하기 쉬운 조언들을 개발하는 것이 보안 담당자의 역할이라 주장하며, 보안 캠페인을 예로 들어 간단하면서도 실천 가능한 조언이 효과적이라고 설명했죠. 슈나이어는 보안이 현대 소프트웨어와 IT 인프라의 초기 설계 과정에서 고려되지 않았다며, 개발자들이 태도를 바꾸지 않은 채 제품을 출시하면 사용자가 태도를 변경해야 하는 어려운 상황이라고 지적하며, 보안 조언이 실질적인 변화를 가져오지 못하는 이유를 분석했어요.
4. 비밀번호의 한계를 넘어, '패스키'로 나아가는 보안 혁신
글로벌클라우드의 CISO인 필 베너블즈는 비밀번호를 보안의 가장 큰 적으로 규정하며, 사용자들에게는 안전성을 유발하지만 공격자에게는 거의 효과가 없다고 주장했어요. 비밀번호로 인한 보안 사고가 많이 발생하고 있다는 점을 강조하며, 비밀번호의 취약점은 약한 설정, 미연기적인 변경, 다중 서비스에 동일한 비밀번호 적용 등이 있다고 설명했어요.
베너블즈는 비밀번호를 대체할 가능성이 있는 '패스키'를 언급하며, 이를 통해 강력하면서도 편리한 보안을 제공할 수 있다고 주장하고 있어요. 피싱 공격에 대한 저항력도 높다고 강조하며, 비밀번호를 완전히 제거해야 패스키의 효과를 볼 수 있다고 설명했어요. 그러나 아직 패스키 기술이 완벽하지 않다고 언급하며, 비밀번호를 패스키로 대체하려면 시간이 더 필요하다고 언급했어요.
많은 기업들이 이미 패스키의 도입을 추진하고 있다고 언급하며, 보안 담당자들은 서서히 비밀번호를 패스키로 전환해 나가야 한다고 조언했어요. 이 과도기에 참여하는 것이 미래를 대비하는 중요한 단계라고 강조했어요.
5. 시스코 CISO의 조언: 보안 채무를 갚아 해커들의 도전에 맞서라
네트워크 업체 시스코의 CISO인 데이브 루이스는 기업과 개인이 보안을 다르게 인식하고 이해해야 한다고 강조했어요. 그는 보안 채무를 해결하고 취약점을 보완하는 데 중점을 두라고 권고하며, 이를 위해 개인과 기업이 함께 노력해야 한다고 강조해요. 루이스는 개인이 기업의 핵심 구성원임을 강조하며, 재택 근무가 증가한 현재 상황에서도 보안 채무를 소홀히하지 말아야 한다고 경고했죠.
그는 보안 채무를 이행함으로써 해커들에게 어렵게 만들어야 한다고 말하며, 최신 소프트웨어를 유지하고 보안을 강화하는 등의 노력이 필요하다고 강조했어요. 결국, 보안 채무의 이행은 해커들의 도전에 효과적으로 대처하는 일이라고 설명했어요.
6. 게임을 통한 보안 훈련: 더 흥미롭고 효과적인 보안 습관 들이기
데브리의 CISO인 프레드 퀑은 일반적인 강의형 보안 교육이 조직 내 보안 문화를 변화시키기에 충분하지 않다고 강조했어요. 그는 보안 교육을 더 효과적으로 만들기 위해 다양한 방법을 고려해야 한다고 말하며, 조직 내 구성원들이 참여하고 창의성을 발휘할 수 있는 문화적 변화가 필요하다고 설명했죠. 특히, 게임화된 교육 방법을 도입하여 가상 시나리오를 활용하거나 보안과 관련된 퍼즐을 해결하도록 하는 등의 방법을 소개했어요. 이러한 게임적인 요소를 통해 보다 흥미로운 보안 교육을 제공하고 효과적인 학습 경험을 창출할 수 있다고 강조하며, 효과가 좋은 방법은 보안 전문가들 간에 공유되어야 한다고 제안 했어요.
7. JP모건체이스 CISO의 전략: 보안 교육에 책임을 물어 현실적 변화 이끌기
JP모건체이스의 CISO인 팻 오펫은 재미있는 교육과 훈련만으로는 부족하며, 채찍과 당근을 병행하여 실질적인 변화를 이끌어내야 한다고 주장했어요. 교육과 훈련에 책임론을 첨가하지 않으면 참여율이 높아지더라도 실질적인 효과가 없을 수 있다고 말하며, 최근 JP모건체이스가 수행한 리스크 파악과 보안 교육에 대한 경험을 언급했어요. 큰 기업이 작은 파트너사에게도 책임을 강조하는 것은 전반적인 안전을 위한 필수적인 조치라고 강조하며, 각 구성원의 안전한 행동이 전체 조직의 안전에 기여하게 만들어야 한다고 강조했어요.
보안의 미래를 준비하기 위한 다양한 전문가들의 의견과 전략을 살펴보았어요.
이제 우리는 보다 효과적이고 현실적인 방식으로 보안 인식을 높이고, 안전한 행동을 촉진하여 보안 문화를 정착시키는 노력을 지속해 나갈 필요가 있어요. 모두가 함께 노력함으로써 조직 전체의 안전을 높이는 길을 찾아 나갈 수 있을 것 이라고 생각해요.
