사이버 리스크 노출: 경영진이 CISO에게 묻는 주요 질문
이 글은 CISO를 대상으로 선제적 커뮤니케이션 전략에 관한 지침을 제시하기 위한 시리즈 4부작 중 1부에 해당합니다. 여기에서는 경영진이 쉽게 이해할 수 있는 방식으로 주요 정보를 전달하고 업무 행동을 표현하는 방법을 알려드립니다. 따라서 실무자는 인시던트, 이벤트와 위협에 동등하게 대응하여 기업에 미치는 영향을 완화하는 중요한 업무에 집중할 수 있습니다
침해 사건이 발생했거나 치명적인 익스플로잇에 취약한 것으로 밝혀지면(예:Log4j 취약점실행),일련의 활동이 이어서 발생하여 보안팀과 관련된 거의 모든 관계자가 관련 업무에 매달려야 하는 경우가 많습니다. CISO는 위협을 완전히 평가하여 억제 및 완화하고 궁극적으로 제거할 때까지 잠을 편히 이루지 못하는 것은 물론, 적어도 운영을 “정상” 상태로 회복시키고 나서야 마음을 놓을 수 있습니다.
하지만 취약점이나 공격의 파급 효과를 제대로 알고 최소화하고자 하는 사람은 CISO만이 아닙니다. 팀에 속한 다른 임원도 진행 상황에 관한 최신 소식에 관심이 많습니다.
우선, 첫 번째 질문에 답할 대비를 갖추는 방법부터 알아보겠습니다. “우리 회사는 어떤 리스크에 노출되어 있고, 이번 일로 어떤 영향을 받았나요?”
이때 고려해야 할 잠재적 질문은 다음과 같습니다.
- 비즈니스 크리티컬 시스템과 데이터에 영향이 있었나요? 이번 일이 비즈니스에 어떤 영향을 미치게 되나요?
- 노출을 제한하기 위해 어떤 조처를 취했으며, 앞으로는 어떻게 할 계획인가요?
- 주요 전략적 파트너와 타사 상황은 어떤가요? 이런 외부 요인 때문에 우리가 더 많은 리스크에 노출되는 것은 아닌가요?
사이버 리스크 노출 정량화: 현재 상황이 어느 정도로 심각한가요?
임원과 경영진은 문제가 발생할 가능성은 어느 정도이고, 실제로 문제가 발생하는 경우 어느 정도로 심각한지에 대해 궁금해합니다. 리스크 노출은 가능성 곱하기 영향력으로 쉽게 계산되지만, 경영진은 당연히 공식을 궁금해하는 것은 아닙니다. 경영진이 원하는 것은 이번 사건이 비즈니스 크리티컬 기능에 어떤 영향을 미칠지, 중요한 데이터를 어떻게 보호할 것인지, 고객을 어떻게 만족시켜드릴 것인지, 그리고 마지막으로 앞으로 어떻게 계속 수익을 창출할 것인지입니다.
리스크를 평가하고 보고할 때는 노출 범위가 정확히 어느 정도인지 파악하기 위해 자사에서 보유한 각종 네트워크와 시스템을 전반적으로 분석해야 합니다. 또한 비즈니스 전체를 살펴 리스크 유입 원인이 될 수 있는 타사, 파트너나 공급망 요소가 있는지 알아보아야 합니다. 공급업체와 전략적 파트너가 각자 자신(및 귀사)의 노출 정도를 제한하기 위해 어떻게 조처하고 있는지 알아보려면 다소 인내심이 필요할 수 있습니다. 하지만 상대를 귀찮게 하는 것을 감당하는 것이 소프트웨어나 통합으로 인해 공격 취약성에 노출되어 무방비로 당하는 것보다 훨씬 낫습니다.
이러한 상세 분석은 경영진이 침해로 인해 영향이 미치는 비즈니스 크리티컬 시스템, 데이터와 운영과 더불어, 이것이 비즈니스에 어떤 의미가 있는지 우려를 표할 때 이에 답하는 데 도움이 됩니다. 또한 리스크를 계층화하여 필수로 제기되는 후속 질문, 즉 “우리의 고위험 타사 중에서 이 문제를 잘 통제하고 있는 곳은 어디이고, 가장 우려해야 하는 곳은 어디입니까?” 같은 질문에 답하는 데도 도움이 됩니다.
이외에 다음과 같은 측면에 대한 인사이트를 제공해보는 것이 좋습니다.
- 익스플로잇이 침투에 성공하는 경우에 대비한 계획
- 중요한 기능을 계속 제공하기 위해 “지혈”할 방법
- 회복을 위한 비즈니스 계획
여기에는 노출을 제한하고 운영(타사 비즈니스 에코시스템 포함) 회복력을 강화하여 일상적인 수준으로 기능을 계속 유지하기 위해 지금까지 한(그리고 지금 하고 있는) 모든 일에 관한 논의를 포함해야 합니다.
비즈니스에 미치는 영향 지목: 근본적인 원칙 제시
'영향'이라는 측면은 보안팀의 전술적 대응을 한참 벗어납니다. 잠재적인 기술적 영향, 비즈니스 영향을 모두 다루려면 전체론적 사고방식을 취해야 합니다. 예를 들어 다음과 같이 부문별로 평가하고 보고할 수 있습니다.
- 비용: 이 사건에 대응하거나 타격을 입은 애플리케이션, 시스템이나 인프라를 복구, 재건, 교체하거나 변환하는 데 든 비용은 얼마인가? 그 외에 팀원 이탈, 다른 활동에 대한 소홀로 인해 발생한 무형의 결과 등을 수습하는 데 든 비용은 얼마인가?
- 전략에 미치는 의미: 경쟁 우위나 시장 점유율/위치 면에서 손실이 발생했는가?
- 평판 훼손: 고객 만족도나 충실도에 변화가 있었는가? 이 사건으로 투자자 관계나 파트너 에코시스템에 영향이 있었는가?
- 준법 및 규제 기관 규정 준수 관련 사안: 이 사건이 규정 준수 의무에 영향을 미치거나, 법적으로 우려되는 사안을 초래했는가? 예를 들어 투자자/고객의 소송 가능성이 있는가? 벌금이 부과될 가능성이 있는가? 규제 대상 데이터나 기밀 데이터 중 노출된 것이 있는가? 고객 데이터를 보호하기 위해 합당한 단계를 거치고 있는가? 비즈니스에서 이를 보호하기 위해 적절하게 관리하고 있다는 사실을 입증하려면 어떻게 해야 하는가? (최근 FTC에서는 중요하고 알려진 취약점에 노출되지 않도록 고객 데이터를 보호하기 위해 합당한 단계를 거치지 않은회사를 대상으로 법적 수단을 총동원하여 제재하겠다는 의사를 밝힌 경고를 발표했습니다.)
- 운영 중단: 이 사건으로 서비스 또는 공급망에 영향이 미쳤는가? 이러한 업무 활동으로 인해 전략적 이니셔티브가 지연되거나 위기에 처했는가? 향후 영향을 최소화하 위해 고안된 복구 수단은 무엇이 있는가?
회의에 참석할 때 이러한 질문에 답할 준비가 갖춰져 있으면 경영진에게 여러분이 처한 상황과, 리스크 수준을 허용 가능한 수준으로 유지하기 위해 어떤 계획이 있는지 설명하는 데 유리합니다.
이 시리즈의 2부에서는 “상황을 잘 통제했고 적절하게 수습했습니까?”라는 질문에 답하는 방법을 알아봅니다.
다음 동영상을 통해 경영진에게 사이버 리스크 노출 및 기타 중대한 사안에 관해 설명하는 방법을 자세히 알아보세요.
문의
인시던트 대응 서비스가 필요한 경우, 사이버 보험업체에 Unit 42 이름으로 서비스를 요청하세요.
Log4j 취약점이나 다른 중대한 공격의 영향을 받았다고 생각되는 경우,Unit 42에 연락하여 당사 팀원과 상담하시기 바랍니다. Unit 42 인시던트 대응팀은 상시 대기 중입니다.또한 사전 평가를 요청하여 예방 조치를 취할 수 있습니다.