3min. read

사이버공격이 발생하면 이사회에서는 CISO로부터 의문점에 대한 답변과 통찰력 있는 견해를 얻고자 합니다. 외로운 자리일 수 있지만, 완전히 독립적인 부서는 아닙니다. 사실, 업계 모범 사례로 뒷받침한 계획과 행동을 보여주고 관련 지침과 요구 사항을 모두 따르면 걱정할 필요가 없습니다. 또한 타사 전문가를 통해 자신이 담당하고 있는 업무를 잘 처리하고 있고 비즈니스 보호에 필요한 작업을 차질 없이 진행해왔음을 검증받아 이해관계자를 안심시킬 수 있습니다.

경영진이 사이버 리스크 노출과 사이버 리스크 완화에 대해 잘 알고 있는 경우 다음과 같이 질문할 가능성이 큽니다. “혹시 우리 회사에서는 어떤 사이버 보안 실사와 보증 업무를 실시했나요?"

이때 고려해야 할 잠재적 질문은 다음과 같습니다

  • 업무 내용을 독립적으로 검증받은 적이 있는가?
  • 이 서비스는 누가 제공했으며, 검증의 성격과 범위는 무엇이었나(예: 위협 헌팅, 침해 평가 등)?
  • 이 업무를 사내에서 처리했다면, 우리 접근 방식이 건실했는지 어떻게 확인했는가?

사이버 보안 실사: 업무를 올바로 진행했는지 알아보는 방법

여기서 중요한 것은 경영진과 다른 주요 이해관계자에게 이전에 실시한 분석이 객관적이었다는 확신을 심어주는 것입니다. 이 분석을 통해 취약점이나 공격을 완화했을 뿐만 아니라 현재의 운영 환경이 외부에서 발생한 후속 익스플로잇에 무방비로 노출되어 있지 않다는 점을 입증해야 합니다.

오픈 소스 소프트웨어를 자주 활용하고 지리적 경계를 넘나드는 기업은 규제 기관의 면밀한 감시 대상입니다(예: CCPA, GDPR 등). 이러한 기업에서는 객관적인 2차 소견을 활용하여 리스크가 완화되었고 사내 환경이 후속 공격을 당할 가능성이 없다는 사실을 확인하는 것이 좋습니다.

기업에서 익스플로잇을 재현하여 자사 환경이 특정 취약점에 노출되어 있지 않다는 점을 검증할 수 있는 도구와 서비스에는 여러 가지가 있습니다(예: 침해 시뮬레이션 플랫폼, 독립적으로 활동하는 전문가 등). 이러한 도구를 사용하면 경영진에 추가로 실사를 진행했음을 입증하고 일종의 “건강 증명서”를 검증하여 설득력을 더할 수 있습니다.

리스크 평가 데이터 관리: 방대한 내용을 제공해야 한다는 부담

건실한 데이터 소스와 인사이트를 바탕으로 답변을 제공할 수 있으면 업무를 제대로 진행해왔음을 입증하는 데 도움이 될 수 있습니다. 이것은 정말 중요한 일이지만 쉽지는 않습니다. 침해 평가처럼 단순한 것부터 생각해 보겠습니다. 엔터프라이즈에서 적절한 범위를 택해 이를 대상으로 침해 평가를 수행했다는 사실을 어떻게 입증할 수 있을까요? 자산에 우선순위를 지정한 방식을 설명해야 할 수 있습니다. 예를 들어 특정 중요도(criticality level)에 따라 우선순위를 부여했고, 그 중요도는 강력한 비즈니스 영향 분석과 데이터 분류 방식을 기반으로 했다고 설명하다 보면 어느 순간 자신도 모르게 복잡한 내용을 장황하게 늘어놓게 됩니다.

중요한 것은 자신이 따른 의사결정 계층 구조와 명확하게 연계하여 실사 과정을 보여주고, 왜 특정 보안 로드맵 경로를 따르기로 선택했는지에 대한 증거를 제시할 수 있어야 한다는 것입니다. 예를 들어 범위 내 태스크를 특정 방식으로 진행한 이유를 설명하고 실제로 완료된 업무를 보여줄 수 있어야 합니다.

이 시리즈의 4부에서는 “규제 기관이나 다른 규정 준수 관련 질문에 어떻게 답해야 할까?”라는 질문에 답변하는 방법을 다룰 예정이므로 참조하시기 바랍니다.

다음 동영상을 통해 경영진에게 사이버 보안 실사에 관해 설명하는 방법을 자세히 알아보세요.

Get in Touch

인시던트 대응 서비스가가 필요한 경우, 사이버 보험업체에 Unit 42 이름으로 서비스를 요청하세요.

Log4j 취약점이나 다른 중대한 공격의 영향을 받았다고 생각되는 경우, Unit 42에 연락하여 당사 팀원과 상담하시기 바랍니다. Unit 42 인시던트 대응팀은 상시 대기 중입니다. 또한 사전 평가를 요청하여 예방 조치를 취할 수 있습니다..