📌사이버 시큐리티와 사이버 레질리언스 조합을 통한 효과적인 전략수립
기업이 사이버 공격에 휩쓸렸을 때, 영향을 최소화하고 사업을 계속하기 위해서는 사이버 시큐리티와 사이버 레질리언스가 필수적입니다.
양쪽을 효과적으로 조합하여 추진하는 방법은 무엇일까요?
사이버 시큐리티는 인터넷에 접속한 시스템이나 데이터 센터를 사이버 공격으로부터 보호하기 위한 활동으로, 다양한 구성 요소로 이루어져 있습니다. 전용 서버와 네트워크 기기로 이뤄진 시큐리티 시스템, 악성 소프트웨어에 대항하는 소프트웨어, 위협 분석 소프트웨어, 경계 방어 시스템, 사이버 공격 관리 훈련을 받은 직원, 상급 관리직의 지원, 정기적인 시큐리티 의식 향상 훈련 등이 그 중요한 부분입니다.
사이버 레질리언스는 사이버 시큐리티 사고의 영향으로부터 복구하는 기업의 능력을 나타냅니다. 기업이 통상적인 업무로 신속하게 돌아갈 수 있도록 하는 것이 목표이며, 이는 예기치 못한 상황에 대비하기 위한 계획과 프로세스를 포함합니다.
속성 | 기존 정보 보호 | 사이버 레질리언스 |
목표 | 시스템 정보 보호 | 비즈니스 가치 전달 |
의도 | 실패에 대한 예방 | 실패를 인정하고 극복 |
접근 방법 | 외부에 대한 보안 (Add-on) | 보안의 내재화(Built-in) |
범위 | 단일 조직 또는 시스템 | 상호 연결된 주위환경 (비즈니스, 시스템, 외부환경) |
📌사이버 레질리언스 제품이 충족해야 하는 4가지 목표
‘CERT-RMM(CERT-Resilience Management Model)’은 2015년 5월 카네기멜론대학(CMU)의 소프트웨어공학 연구소에서 발간한 연구 보고서로서 대부분의 사이버 레질리언스 연구의 근간이 되는 문서다.
CERT-RMM은 조직/기업의 자산 및 서비스 가용성을 보장하기 위한 운영상의 탁월성을 강조하면서, 이를 위한 레질리언스의 핵심 개념과 관리모델을 제시하고 있다. 사이버 레질리언스의 목표를 ‘관리역량을 내재화하여 프로세스 기반의 견고한 정보보호 면역체계를 구축하는 것’으로 제시했다.
📌CERT-RMM의 3가지 핵심자산 및 프로세스
위의 그림과 같이 CERT-RMM은 인적자원, 절차 및 기술/도구를 기업의 핵심적 자산으로 정의하고 조직/기업의 가용성을 보장하기 위해 하나의 프로세스로 연결시키는 접근 방법을 통해 개발됐다. 즉 기존의 솔루션 중심에서 벗어나, 핵심인력이 작업 절차에 따라 필요시 기술/도구를 사용하여 업무를 처리할 수 있는 프로세스 중심으로 개발하여, 단순 일회성 활동이 아닌 지속적 활동으로서의 관리 활동을 강조한다. 통합적인 관점에서 핵심자산의 보호와 지속성 보장을 위한 전략을 제시하고 있는 것이다.
제품을 조직의 사이버 레질리언스 전략의 핵심으로 분류한다고 해서 즉시 사이버 레질리언스가 되는 것은 아니다. 조직은 각 소프트웨어 또는 기술이 NIST가 제시한 4가지 사이버 레질리언스 목표를 얼마나 잘 충족하는지 결정해야 한다. 각 소프트웨어 또는 기술이 이러한 목표를 얼마나 잘 충족하는지에 따라 조직이 광범위한 사이버 레질리언스 전략의 전반적인 실행 가능성을 설정하는 데 도움이 된다.
✅사이버 레질리언스 목표 #1: 예측(Anticipate)
DCIG는 모든 조직이 어느 시점에서 랜섬웨어 공격을 경험할 것이라는 통계적 확신을 발견했다. 이러한 공격 가능성은 사이버 레질리언스 소프트웨어 및 기술이 필요하다는 것을 의미한다. 공격에 대비해 이러한 제품은 지속적으로 조직을 방어하기 위한 조치를 취해야 한다.
이에 대한 준비는 다양한 방식으로 나타날 수 있으며, 여기에는 다음과 같은 일들이 포함된다.
• 제3자 사이버 보안 제공자를 활용하여 지역, 국가 또는 전 세계적으로 발생하는 랜섬웨어 공격을 모니터링하고 경고한다.
• 비정상적이거나 의심스러운 활동에 대해 하드웨어 및 네트워크 리소스를 모니터링한다.
• 랜섬웨어에 대해 관리 중인 데이터를 스캔하고 분석하기 위한 조치를 취한다.
요컨대, 제품 및 솔루션의 상태와 작동 환경을 지속적으로 모니터링해야 한다.
✅ 사이버 레질리언스 목표 #2: 견뎌내다(Withstand)
조직은 랜섬웨어 공격을 받을 것이라는 가정하에 운영해야 한다. 또한 공격이 몇 시간, 며칠, 몇 주 또는 몇 달에 걸쳐 탐지되지 않고 발생할 수 있다고 가정해야 한다. 노골적인 랜섬웨어 공격과 은밀한 랜섬웨어 공격을 모두 견딜 수 있는 소프트웨어와 기술을 구현해야 한다는 의미이다.
명백한 랜섬웨어 공격은 파괴적이지만 은밀한 공격에 비해 한 가지 다른 점이 있다. 이러한 공격은 즉시 IT 및 비즈니스 운영을 방해할 수 있다. 사이버 레질리언스 전략의 핵심인 소프트웨어 및 기술은 이 기간 동안 생존하고 운영 상태를 유지하기만 하면 된다. 조직은 시스템을 오프라인으로 전환하거나 보안을 위해 인터넷으로부터 완전히 차단하는 에어갭(Air-Gap)을 원할 수도 있다.
은밀한 공격은 조직에서 적시에 인식하지 못할 수 있다. 따라서 조직은 사이버 레질리언스 소프트웨어와 기술이 지속적으로 스스로를 보호할 수 있도록 해야 한다. 이러한 제품은 은밀한 공격을 견딜 수 있도록 모든 활동을 보호하고 모니터링해야 한다. 그렇지 않으면 은밀한 공격이 노골적으로 드러날 경우 조직에서 사이버 레질리언스 솔루션이 회복할 수 없을 정도로 손상될 수 있다.
✅ 사이버 레질리언스 목표 #3: 복구(Recover)
사이버 레질리언스 소프트웨어 및 기술을 준비하고 보호하기 위한 위의 두 가지 목표를 달성한다고 해서 랜섬웨어 공격을 막았다고 할 수 있는 것은 아니다. 랜섬웨어는 여전히 사이버 보안 솔루션을 우회하고 운영환경의 일부 또는 전체를 암호화할 수 있다.
위의 두 가지 사이버 레질리언스 목표를 달성하면 조직은 복구 절차를 진행할 수 있다. 그러나 복구의 속도, 완전성을 보장하기는 쉽지 않다.
예를 들어 한 조직이 운영 시스템을 손상시킨 랜섬웨어 공격을 알고 있다고 가정하면, 조직은 애플리케이션과 데이터를 복원하기 전에 먼저 운영 하드웨어와 소프트웨어를 교체해야 한다.
또 다른 예로 조직이 보유한 유일하고도 '양호한' 또는 깨끗한 백업본은 테이프에 있었다. 안타깝게도 이러한 테이프 백업은 복구에 적합하지 않았다. 복원을 완료하는 데 시간이 너무 오래 걸린다. 데이터 또한 복구 목적으로는 사용하기에는 오래된 데이터다.
조직은 복구를 위해 올바른 스토리지 미디어에 올바른 데이터를 배치하도록 사이버 레질리언스 솔루션을 구성해야 한다. 이러한 배치를 통해 필요한 만큼 빨리 복구할 수 있다. 미디어에는 클라우드, 디스크, 플래시, 테이프 또는 이들의 여러 조합이 포함될 수 있다. 은밀한 랜섬웨어 공격에 대응하기 위해 복구 프로세스를 테스트할 필요도 있다.
✅ 사이버 레질리언스 목표 #4: 적응(Adapt)
마지막 목표는 조직이 달성하기 가장 어려운 것이다. 비즈니스, 기술 및 규정 요구 사항에 따라 조직의 IT 환경은 정기적/비정기적으로 변경된다. 상황을 악화시키면서 이러한 변경 사항은 사이버 레질리언스 솔루션에 미치는 영향을 고려하지 않고 거의 예고 없이 발생할 수 있다.
사이버 레질리언스 전략을 실행 가능한 상태로 유지하려면 조직에서 IT 환경의 변경 사항을 모니터링하고 추적하는 방법을 식별해야 한다. 그래야만 사이버 레질리언스 솔루션이 이러한 변화가 발생하는 즉시 적응할 수 있다.
조직은 운영 시스템 변경에 따라 사이버 레질리언스 솔루션이 실시간으로 적응하는 것이 여전히 비현실적이라고 생각할 수 있다. 그러나 운영 환경의 변경 사항을 모니터링하여 사이버 레질리언스 솔루션을 적시에 업데이트할 수 있다.
📌효과적인 전략을 위한 주의사항
사이버 시큐리티 계획 강화
전용 서버 및 네트워크 기기, 악성 소프트웨어 대응, 위협 분석 소프트웨어, 경계 방어 시스템 등의 구성 요소를 강화하고, 직원에 대한 꾸준한 훈련과 시큐리티 의식 향상을 지속적으로 진행해야 합니다.
사이버 레질리언스 계획 수립
통상적인 업무의 정의와 복구 수순을 명확히 정의한 사이버 레질리언스 계획을 수립해야 합니다. 이는 기업이 사이버 공격에 대비하여 신속한 복구를 위한 기반이 됩니다.
BCP 및 DR 계획과의 통합
사이버 시큐리티와 사이버 레질리언스 계획은 기존의 업무 계속성 계획(BCP) 및 재해복구 계획(DR)과 통합되어야 합니다. 클라우드형 복구 서비스, 데이터 백업, 예비 기기의 공급 등을 고려하여 파괴된 IT 자산을 복구하는 계획을 수립해야 합니다.
지속적인 업데이트와 훈련
사이버 시큐리티 및 레질리언스 계획은 지속적으로 검토, 업데이트, 그리고 정기적인 훈련이 필요합니다. 새로운 위협에 대응하기 위해 계획을 최신으로 유지하는 것이 중요합니다.
사이버 시큐리티와 사이버 레질리언스는 기업이 현대의 위협과 공격자로부터 스스로를 보호하고 지속적인 운영을 유지하기 위한 필수적인 수단입니다. 이를 조합하고 강화하여 기업은 안전성과 레질리언스를 동시에 갖출 수 있습니다.
마크애니는 기업, 기관의 기밀문서와 데이터를 보호하기 위해 촘촘한 엔드포인트 문서 보안 솔루션을 보유하고 있습니다. 랜섬웨어 공격으로 문서와 데이터가 유출돼도 인가된 직원이 아니면 함부로 파일을 열어볼 수 없고 사내·외, 원격 환경 지원이 가능해 언제 어디서나 기업 네트워크를 강력하게 보호하죠. 이미 공공, 금융, 제조, 유통 등 국내 600여 곳이 마크애니 솔루션과 함께하고 있답니다.
⭐기업 데이터를 안전하게 보호하기 위한 솔루션이 필요하시다면 마크애니와 함께 해보세요!
*참고자료
「Cybersecurity vs. cyber resilience: What's the difference?」, TechTarget, 23-10-18
아이티데일리 | http://www.itdaily.kr/news/articleView.html?idxno=208463
마크애니 박춘식 고문은 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology 에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임하였다. 현재는 아주대학교 사이버보안학과 교수로 재직중이다
📌사이버 시큐리티와 사이버 레질리언스 조합을 통한 효과적인 전략수립
기업이 사이버 공격에 휩쓸렸을 때, 영향을 최소화하고 사업을 계속하기 위해서는 사이버 시큐리티와 사이버 레질리언스가 필수적입니다.
양쪽을 효과적으로 조합하여 추진하는 방법은 무엇일까요?
사이버 시큐리티는 인터넷에 접속한 시스템이나 데이터 센터를 사이버 공격으로부터 보호하기 위한 활동으로, 다양한 구성 요소로 이루어져 있습니다. 전용 서버와 네트워크 기기로 이뤄진 시큐리티 시스템, 악성 소프트웨어에 대항하는 소프트웨어, 위협 분석 소프트웨어, 경계 방어 시스템, 사이버 공격 관리 훈련을 받은 직원, 상급 관리직의 지원, 정기적인 시큐리티 의식 향상 훈련 등이 그 중요한 부분입니다.
사이버 레질리언스는 사이버 시큐리티 사고의 영향으로부터 복구하는 기업의 능력을 나타냅니다. 기업이 통상적인 업무로 신속하게 돌아갈 수 있도록 하는 것이 목표이며, 이는 예기치 못한 상황에 대비하기 위한 계획과 프로세스를 포함합니다.
(비즈니스, 시스템, 외부환경)
📌사이버 레질리언스 제품이 충족해야 하는 4가지 목표
‘CERT-RMM(CERT-Resilience Management Model)’은 2015년 5월 카네기멜론대학(CMU)의 소프트웨어공학 연구소에서 발간한 연구 보고서로서 대부분의 사이버 레질리언스 연구의 근간이 되는 문서다.
CERT-RMM은 조직/기업의 자산 및 서비스 가용성을 보장하기 위한 운영상의 탁월성을 강조하면서, 이를 위한 레질리언스의 핵심 개념과 관리모델을 제시하고 있다. 사이버 레질리언스의 목표를 ‘관리역량을 내재화하여 프로세스 기반의 견고한 정보보호 면역체계를 구축하는 것’으로 제시했다.
📌CERT-RMM의 3가지 핵심자산 및 프로세스
위의 그림과 같이 CERT-RMM은 인적자원, 절차 및 기술/도구를 기업의 핵심적 자산으로 정의하고 조직/기업의 가용성을 보장하기 위해 하나의 프로세스로 연결시키는 접근 방법을 통해 개발됐다. 즉 기존의 솔루션 중심에서 벗어나, 핵심인력이 작업 절차에 따라 필요시 기술/도구를 사용하여 업무를 처리할 수 있는 프로세스 중심으로 개발하여, 단순 일회성 활동이 아닌 지속적 활동으로서의 관리 활동을 강조한다. 통합적인 관점에서 핵심자산의 보호와 지속성 보장을 위한 전략을 제시하고 있는 것이다.
제품을 조직의 사이버 레질리언스 전략의 핵심으로 분류한다고 해서 즉시 사이버 레질리언스가 되는 것은 아니다. 조직은 각 소프트웨어 또는 기술이 NIST가 제시한 4가지 사이버 레질리언스 목표를 얼마나 잘 충족하는지 결정해야 한다. 각 소프트웨어 또는 기술이 이러한 목표를 얼마나 잘 충족하는지에 따라 조직이 광범위한 사이버 레질리언스 전략의 전반적인 실행 가능성을 설정하는 데 도움이 된다.
✅사이버 레질리언스 목표 #1: 예측(Anticipate)
DCIG는 모든 조직이 어느 시점에서 랜섬웨어 공격을 경험할 것이라는 통계적 확신을 발견했다. 이러한 공격 가능성은 사이버 레질리언스 소프트웨어 및 기술이 필요하다는 것을 의미한다. 공격에 대비해 이러한 제품은 지속적으로 조직을 방어하기 위한 조치를 취해야 한다.
이에 대한 준비는 다양한 방식으로 나타날 수 있으며, 여기에는 다음과 같은 일들이 포함된다.
• 제3자 사이버 보안 제공자를 활용하여 지역, 국가 또는 전 세계적으로 발생하는 랜섬웨어 공격을 모니터링하고 경고한다.
• 비정상적이거나 의심스러운 활동에 대해 하드웨어 및 네트워크 리소스를 모니터링한다.
• 랜섬웨어에 대해 관리 중인 데이터를 스캔하고 분석하기 위한 조치를 취한다.
요컨대, 제품 및 솔루션의 상태와 작동 환경을 지속적으로 모니터링해야 한다.
✅ 사이버 레질리언스 목표 #2: 견뎌내다(Withstand)
조직은 랜섬웨어 공격을 받을 것이라는 가정하에 운영해야 한다. 또한 공격이 몇 시간, 며칠, 몇 주 또는 몇 달에 걸쳐 탐지되지 않고 발생할 수 있다고 가정해야 한다. 노골적인 랜섬웨어 공격과 은밀한 랜섬웨어 공격을 모두 견딜 수 있는 소프트웨어와 기술을 구현해야 한다는 의미이다.
명백한 랜섬웨어 공격은 파괴적이지만 은밀한 공격에 비해 한 가지 다른 점이 있다. 이러한 공격은 즉시 IT 및 비즈니스 운영을 방해할 수 있다. 사이버 레질리언스 전략의 핵심인 소프트웨어 및 기술은 이 기간 동안 생존하고 운영 상태를 유지하기만 하면 된다. 조직은 시스템을 오프라인으로 전환하거나 보안을 위해 인터넷으로부터 완전히 차단하는 에어갭(Air-Gap)을 원할 수도 있다.
은밀한 공격은 조직에서 적시에 인식하지 못할 수 있다. 따라서 조직은 사이버 레질리언스 소프트웨어와 기술이 지속적으로 스스로를 보호할 수 있도록 해야 한다. 이러한 제품은 은밀한 공격을 견딜 수 있도록 모든 활동을 보호하고 모니터링해야 한다. 그렇지 않으면 은밀한 공격이 노골적으로 드러날 경우 조직에서 사이버 레질리언스 솔루션이 회복할 수 없을 정도로 손상될 수 있다.
✅ 사이버 레질리언스 목표 #3: 복구(Recover)
사이버 레질리언스 소프트웨어 및 기술을 준비하고 보호하기 위한 위의 두 가지 목표를 달성한다고 해서 랜섬웨어 공격을 막았다고 할 수 있는 것은 아니다. 랜섬웨어는 여전히 사이버 보안 솔루션을 우회하고 운영환경의 일부 또는 전체를 암호화할 수 있다.
위의 두 가지 사이버 레질리언스 목표를 달성하면 조직은 복구 절차를 진행할 수 있다. 그러나 복구의 속도, 완전성을 보장하기는 쉽지 않다.
예를 들어 한 조직이 운영 시스템을 손상시킨 랜섬웨어 공격을 알고 있다고 가정하면, 조직은 애플리케이션과 데이터를 복원하기 전에 먼저 운영 하드웨어와 소프트웨어를 교체해야 한다.
또 다른 예로 조직이 보유한 유일하고도 '양호한' 또는 깨끗한 백업본은 테이프에 있었다. 안타깝게도 이러한 테이프 백업은 복구에 적합하지 않았다. 복원을 완료하는 데 시간이 너무 오래 걸린다. 데이터 또한 복구 목적으로는 사용하기에는 오래된 데이터다.
조직은 복구를 위해 올바른 스토리지 미디어에 올바른 데이터를 배치하도록 사이버 레질리언스 솔루션을 구성해야 한다. 이러한 배치를 통해 필요한 만큼 빨리 복구할 수 있다. 미디어에는 클라우드, 디스크, 플래시, 테이프 또는 이들의 여러 조합이 포함될 수 있다. 은밀한 랜섬웨어 공격에 대응하기 위해 복구 프로세스를 테스트할 필요도 있다.
✅ 사이버 레질리언스 목표 #4: 적응(Adapt)
마지막 목표는 조직이 달성하기 가장 어려운 것이다. 비즈니스, 기술 및 규정 요구 사항에 따라 조직의 IT 환경은 정기적/비정기적으로 변경된다. 상황을 악화시키면서 이러한 변경 사항은 사이버 레질리언스 솔루션에 미치는 영향을 고려하지 않고 거의 예고 없이 발생할 수 있다.
사이버 레질리언스 전략을 실행 가능한 상태로 유지하려면 조직에서 IT 환경의 변경 사항을 모니터링하고 추적하는 방법을 식별해야 한다. 그래야만 사이버 레질리언스 솔루션이 이러한 변화가 발생하는 즉시 적응할 수 있다.
조직은 운영 시스템 변경에 따라 사이버 레질리언스 솔루션이 실시간으로 적응하는 것이 여전히 비현실적이라고 생각할 수 있다. 그러나 운영 환경의 변경 사항을 모니터링하여 사이버 레질리언스 솔루션을 적시에 업데이트할 수 있다.
📌효과적인 전략을 위한 주의사항
사이버 시큐리티 계획 강화
전용 서버 및 네트워크 기기, 악성 소프트웨어 대응, 위협 분석 소프트웨어, 경계 방어 시스템 등의 구성 요소를 강화하고, 직원에 대한 꾸준한 훈련과 시큐리티 의식 향상을 지속적으로 진행해야 합니다.
사이버 레질리언스 계획 수립
통상적인 업무의 정의와 복구 수순을 명확히 정의한 사이버 레질리언스 계획을 수립해야 합니다. 이는 기업이 사이버 공격에 대비하여 신속한 복구를 위한 기반이 됩니다.
BCP 및 DR 계획과의 통합
사이버 시큐리티와 사이버 레질리언스 계획은 기존의 업무 계속성 계획(BCP) 및 재해복구 계획(DR)과 통합되어야 합니다. 클라우드형 복구 서비스, 데이터 백업, 예비 기기의 공급 등을 고려하여 파괴된 IT 자산을 복구하는 계획을 수립해야 합니다.
지속적인 업데이트와 훈련
사이버 시큐리티 및 레질리언스 계획은 지속적으로 검토, 업데이트, 그리고 정기적인 훈련이 필요합니다. 새로운 위협에 대응하기 위해 계획을 최신으로 유지하는 것이 중요합니다.
사이버 시큐리티와 사이버 레질리언스는 기업이 현대의 위협과 공격자로부터 스스로를 보호하고 지속적인 운영을 유지하기 위한 필수적인 수단입니다. 이를 조합하고 강화하여 기업은 안전성과 레질리언스를 동시에 갖출 수 있습니다.
마크애니는 기업, 기관의 기밀문서와 데이터를 보호하기 위해 촘촘한 엔드포인트 문서 보안 솔루션을 보유하고 있습니다. 랜섬웨어 공격으로 문서와 데이터가 유출돼도 인가된 직원이 아니면 함부로 파일을 열어볼 수 없고 사내·외, 원격 환경 지원이 가능해 언제 어디서나 기업 네트워크를 강력하게 보호하죠. 이미 공공, 금융, 제조, 유통 등 국내 600여 곳이 마크애니 솔루션과 함께하고 있답니다.
⭐기업 데이터를 안전하게 보호하기 위한 솔루션이 필요하시다면 마크애니와 함께 해보세요!
*참고자료
「Cybersecurity vs. cyber resilience: What's the difference?」, TechTarget, 23-10-18
아이티데일리 | http://www.itdaily.kr/news/articleView.html?idxno=208463
마크애니 박춘식 고문은 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology 에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임하였다. 현재는 아주대학교 사이버보안학과 교수로 재직중이다