사이버 리스크 완화: 경영진이 CISO에게 묻는 주요 질문
이 글은 CISO를 대상으로 선제적 커뮤니케이션 전략에 관한 지침을 제시하기 위한 시리즈 4부작 중 2부에 해당합니다. 여기에서는 경영진이 쉽게 이해할 수 있는 방식으로 주요 정보를 전달하고 업무 행동을 표현하는 방법을 알려드립니다. 따라서 실무자는 인시던트, 이벤트와 위협에 동등하게 대응하여 기업에 미치는 영향을 완화하는 중요한 업무에 집중할 수 있습니다.
사이버 보안 인시던트가 발생하면 경영진은 이에 대한 계획이 있는지 추궁해 옵니다. 즉, 우리 조직이 인시던트에 빠르고 효율적이면서 철저하게 대처하여 비즈니스에 미치는 영향을 최소화할 준비가 되어 있는지 확신을 갖고 싶어 합니다. 따라서 사이버 리스크 노출에 관한 정보를 전달한 이후에 답해야 할 시급한 문제는 아마 사이버 리스크 완화 계획 위주일 가능성이 큽니다. 예를 들어 “ 상황을 잘 통제했고 적절하게 수습을 마쳤습니까?”라는 질문에 답할 준비가 되어 있어야 합니다.
이때 고려해야 할 잠재적 질문은 다음과 같습니다.
- 우리 회사의 대응 계획은 무엇이었는가?
- 인력과 리소스 할당에 우선순위를 어떻게 부여했는가?
- 남은 할 일은 무엇인가?
- 의외의 사실 및/또는 이번 사건으로 얻은 교훈이 있는가?
사이버 리스크 완화: 이걸로 끝일까요?
임원과 이사회에서 정말 궁금해하는 것은 상황이 제대로 통제되었는지, 리스크를 적절히 처리하기 위해 어떤 면에서 확신을 심어줄 수 있는지입니다.
경영진(또는 나중에 실사 위원회)의 이런 질문에 답해야 하는 방어적인 입장에 처하게 되면 CISO에게는 무엇보다도 문서가 필요합니다! 인시던트 대응, 패치 관리와 제로데이 취약점 계획 등에 각종 프로세스, 전달 사항, 문제를 해결하기 위해 취한 조치, 리스크를 완화했다고 입증하기 위해 수행한 단계 등을 모두 기재해야 할 가능성이 큽니다.
이러한 문서에는 액션 플랜뿐만 아니라 다음과 같은 항목을 포함하여 종합적인 내용을 담아야 합니다.
- 실행한 비상 변경 프로세스
- 관여한 인물
- 패칭 및 세그먼테이션 상세 정보(시스템에 우선순위를 부여하고 패치 적용/세그먼테이션한 방법과 시기 등)
- 시스템과 중요 프로세스와의 관련성
- 프로세스 계층화 방식
- 적용 규칙을 변경, 배포한 과정
그 목적은 정확히 무슨 일을 언제 어떻게 했는지 보여주어 적절한 관리가 이루어졌음을 입증하고 경영진은 물론 규제 기관과 감사 기관에서 파악하고자 하는 요소를 보고할 수 있어야 한다는 것입니다.
경영진에게 최신 정보 보고: 복구는 순간이 아닌 하나의 과정
경영진에서 “그럼 이제 끝난 건가요? 통제됐어요? 다 마무리되었나요?”라고 묻는다면, 복구란 특정 시점에 제한되는 경험이 아니라 하나의 과정으로 구성하는 것이 중요합니다. 복구는 계속 진행되는 프로세스이며, 전보다 강하고 빨라진 모습으로 돌아오는 것이 관건입니다.
다시 말해 CISO는 경영진과 본격적으로 일정을 잡고 검토 회의를 진행하여 이번 사건을 통해 배운 교훈을 전하고, 시간을 절약할 수 있었던 부분을 알아내거나 실제 이행한 것과는 다르거나 더 나은 방법이 있었는지 논의해야 합니다. 매우 급박한 상황의 경우 이러한 문서는 아무것도 놓치지 않고 사소한 것이라도 간과하지 않으며 한 단계도 빼놓지 않고 만전을 기할 수 있도록 하는 데 큰 역할을 합니다. 하지만 업무 효율성 면에서 큰 차이를 일으킬 수 있는 사소한 부분을 파악하고 이를 관리하는 것도 그만큼 중요합니다.
예를 들어 특정 상황이나 비즈니스 영향 보고서에서 따르기 쉬운 콜 트리(Call Tree)를 정해 주요 자산의 위치를 신속하게 알아낼 수 있다면, 인생에서 가장 스트레스가 많은 힘든 하루를 보내는 와중에 많은 시간과 노력을 절약할 수 있습니다. 무슨 일이든 지나고 나서 보면 사실관계가 명확하게 보이는 법입니다. 그러므로 충분히 시간을 들여 어떤 방법이 유용했을지 생각해 보고, 전보다 강력하게 복구하기 위해 어떤 조치를 취하고 있는지 경영진에게 설명해야 합니다.
경영진의 질문에 대한 답변을 하나의 과정으로 구성하여 전달하면 보안이란 결코 끝이 없고 완벽할 수도 없지만 점점 강력해지고 효과적일 수 있다는 점을 경영진에게 일깨울 수 있습니다. "춤을 선보여야 하는 당일에 안무를 외워서는 안 된다”는 점을 명심해야 합니다. 즉, 매사를 완벽하게 문서화하는 작업 외에도 리허설과 연습을 끊임없이 반복해야 합니다. 기회가 있을 때마다 역량을 갖추고 기존 역량을 강화하기 위해 어떤 조치를 취하고 있는지, (모두 아시다시피, ‘다음번’이 있게 마련이므로) 다음에는 더 나은 성과를 보이기 위해 어떤 노력을 하고 있는지 경영진에게 전달하세요.
이 시리즈 3부에서는 “우리 회사에서는 어떤 사이버 보안 실사와 보증 업무를 실시했나요?”라는 물음에 답변하는 방법을 알아봅니다.
다음 동영상을 통해 경영진에게 사이버 리스크 완화에 관해 설명하는 방법을 자세히 알아보세요.
문의
인시던트 대응 서비스가가 필요한 경우, 사이버 보험업체에 Unit 42 이름으로 서비스를 요청하세요.
Log4j 취약점이나 다른 중대한 공격의 영향을 받았다고 생각되는 경우, Unit 42에 연락하여 당사 팀원과 상담하시기 바랍니다. Unit 42 인시던트 대응팀은 상시 대기 중입니다. 또한 사전 평가를 요청하여 예방 조치를 취할 수 있습니다..