"임원이 '임시직원'의 줄임말이라고들 하지만, 특히 최고보안책임자(CSO)의 수명은 가장 불안정하고 짧습니다. 보안침해 사고가 발생하면 그날로 끝이죠. 그게 몇 개월이 될지 몇 년이 될지 아무도 알 수 없습니다. 더 큰 문제는 그렇게 누군가 책임을 지더라도 기업의 보안 환경은 개선되지 않는다는 것입니다."
최근 만난 한 보안전문 임원은 이처럼 말하며 국내 보안산업의 실태를 지적했다. 랜섬웨어, 디도스 등 사이버 위협이 급증하고 있지만 상당수 기업은 보안 침해로 인한 책임을 회피하는 것에 급급한 수준이라고 평가했다. 이 과정에서 보안 전문가인 CSO는 기업에 대한 부정적인 이미지와 사업주(오너)의 처벌을 방지하기 위한 방패막이 역할에 머무르는 경우가 상당수라는 비판이 나온다.
17일 업계에 따르면 최근 국내에서 보안 사고로 CSO가 해고되는 사례가 빈번해지고 있는 것으로 알려졌다. 국내 일부 전문가들은 기업과 고객사를 보호하기 위해 제로트러스트의 본격화와 함께 보안에 대한 인식과 사업 구조를 개편해야 한다고 목소리를 높였다.
앞서 해외에서도 보안 사고의 책임을 물어 임원을 해고하는 사례는 있었다. 캐피탈원은 2019년 1억 명이 넘는 고객 개인 정보를 탈취당하는 사고로 인해 당시 최고정보보안책임자(CISIO)였던 마이클 존슨을 해고하고 마이크 이슨 CIO로 교체했다. 유통기업 타겟은 2013년 크리스마스 기간 보안이 취약했던 결제시스템을 통해 침투한 해커들로 인해 약 4천만 명의 고객 결제 정보를 탈취당했다. 이로 인해 최고정보책임자(CIO)인 베스 제이콥이 자리에서 물러났다.
하지만 해외는 2021년 이후 보안 사고로 인해 임원의 책임을 물어 사직하는 비율이 줄어드는 추세다. 카스퍼스키 보고서에 따르면 2021년에는 보안 사고로 인해 IT 및 보안 임원을 해고하는 기업 비율은 약 4%로, 7%를 기록한 2018년 대비 40% 이상 줄었다.
이는 기업들이 누군가에게 책임을 묻기 보다 내부 전문성을 유지하고 강화하는 방식으로 보안 사고에 대응하는 방식에 변화가 생겼기 때문이다.
보안 업계에서는 국내에서도 보안 사고 대응방식에 변화가 필요하다고 강조하고 있다. 더불어 이러한 변화의 계기로 제로트러스트를 지목하고 있다.
제로트러스트는 시스템이 이미 침해된 것으로 간주하고 정보 시스템 등에 대한 모든 접속 요청을 신뢰하지 않고 계속 인증하는 보안개념이다.
최근 사이버보안 환경은 금전적 이득이나 정치적 목적 등으로 기업이나 조직을 노리는 공격 사례가 급증하고 있다. 더불어 인공지능(AI)을 이용한 자동화 도구와 기업 침투를 위한 자격증명 등을 판매하는 인포스틸러의 등장으로 침투는 더욱 쉬워지고 위험성은 높아지는 상황이다.
제로트러스트는 침투 기술의 급격한 발전뿐 아니라 사이버범죄 조직의 증가와 더불어 복잡해진 업무 프로세스로 인한 휴먼에러 등으로 침투 자체를 외부에서 모두 막는 것이 불가능하다는 것을 인정한다. 대신 내부에서 추가적인 확산을 막고 시스템을 장악하거나 중요 데이터를 유출하기 전에 감지하고 대응하는 전략이다.
보안기업들은 백신, 방화벽 등을 비롯해 엔드포인트 감지 및 응답(EDR), 침해평가(CA) 등의 추가 보안 시스템을 마련하고 있다.
이와 함께 업계에서는 보안에 대안 기업의 인식을 개선해야 한다고 주장하고 있다. 모든 사이버공격을 막아내는 것이 현실적으로 불가능한 상황인 만큼 더 이상 보안 담당자나 기업에 침해 자체에 책임을 묻는 것으론 해결이 불가능하다는 지적이다.
대신 조직에 침투하는 위협을 빠르게 감지하고 실시간으로 대응해 피해를 최소화하는 것에 대한 보상을 제공하는 것이 필요하다는 주장이다.
한 보안기업 대표는 "제로트러스트에서 가장 중요한 것은 침해를 전제로 한다는 것"이라며 "침해 자체에 대한 책임을 보안 담당자에게 묻는 것은 불가능한 일을 해내라는 말과 동일하다"고 말했다.
이어 "마이크로소프트나 구글 등 대규모 보안 조직을 갖춘 글로벌 빅테크도 보안 사고가 발생하고 있다"며 "이제는 보안 담당자에게 책임을 묻는 것이 아니라 심각한 보안 문제를 해결한 담당자나 조직이 보상을 받을 수 있는 구조를 만들어야 한다"고 강조했다.
실제로 마이크로소프트나 구글 등 빅테크 기업은 자체적으로 대규모 보안 조직을 갖췄음에도 서비스 보안 취약점을 찾는 외부 보안 전문가에게 상금을 제공하는 버그바운티 프로그램을 운영 중이다.
또 서비스의 보안 취약점을 사이버범죄자가 악용하지 못하도록 지속적인 보안 업데이트와 함께 이를 공식 홈페이지와 커뮤니티를 통해 적극적으로 알리고 있다.
다른 보안기업 임원은 "시스템이 복잡해진데다 규모가 커지고 끊임없이 업데이트 하는 과정에서 보안 취약점은 자연스럽게 발생할 수밖에 없다"며 "해외 기업들은 이를 적극적으로 알리고 연구하면서 침해사고에 대한 역량을 확보하고 취약점을 최소화 하고 있다"고 설명했다.
그러면서 "반면 국내에서는 보안 취약점이 발생하면 기술력이 부족하거나 보안에 대한 충분한 대처를 못했다는 인식이 있다"며 "우리도 고객사의 보안 문제를 해결했지만 이 과정에서 취약점을 발견했다는 이유로 보상을 제대로 못 받은 적이 있다"고 국내 보안 업계의 어려움을 토로했다.
관련기사
- "도쿄보다 10배 더"...파리 올림픽, 사이버 범죄 '초긴장'2024.07.13
- 마이크로소프트 계정, 해커에 탈탈 털렸다…배후는?2024.07.01
- 美 자동차 판매 마비시킨 해킹단체, 정체는?2024.06.25
- "보안은 AWS 최우선 순위"2024.06.16
더불어 보안 업계에서는 보안에 대한 인식이 바뀌기 위해서는 보안 위협과 대응 상황을 직관적으로 확인할 수 있는 시각화 기반이 마련돼야 한다고 강조했다. 기업을 운영하는 모든 임원들이 기업이 처한 환경을 이해할 수 있어야 보안의 중요성을 인지할 수 있기 때문이다.
또 다른 보안 전문가는 "모순되게도 게임이나 금융 분야에서 침해 사고가 많이 언급되는 것은 오히려 해당 산업에서 보안에 관심을 가지고 검사를 진행해 사례를 찾아내기 때문"이라며 "보안 시스템이 잘 구축돼 있지 않고 검사를 실시하지 않는 산업의 실제 피해는 어느 정도 수준일지 예측하기도 어려운 상황"이라고 말했다.