훌륭한 사이버 위협 분석가는 BLUF의 타이밍을 간파한다
사이버 보안 팀과 비즈니스 리더는 위협 관리와 완화에 대한 우선 순위를 두고 충돌하곤 합니다. 이런 경우에는 의사소통의 격차를 줄이는 것이 도움이 될 수 있습니다.
사이버 보안의 세계에서는 말하는 방식이 말하는 내용만큼, 어쩌면 그 이상으로 중요합니다.
이 요점을 설명하는 사고 실험:
여러분은 국내 최대 연료 파이프라인의 CEO로서, 분석가가 조직에 타격을 줄 수 있는 심각한 사이버 위협 을 발견하면서 위협 인텔리전스 브리핑에 소집되었습니다.
이 두 가지 위협 중 무엇에 우선적으로 대응하시나요?
위협 1: "랜섬웨어 갱단이 다른 에너지 기업들을 표적으로 삼아, 회사가 몸값을 지불할 때까지 중요한 데이터를 잠그고 있습니다. 우리 네트워크가 이 랜섬웨어에 손상되면 최대 100기가의 데이터가 암호화될 수 있을 것으로 추정합니다."
위협 2: "파괴력이 매우 강한 멀웨어가 지난 몇 달 동안 중요 인프라 시스템 다수를 공격하여 핵심 서비스를 오프라인으로 전환했습니다. 이 멀웨어가 우리 네트워크에 침투하면 일주일 동안 파이프라인 전체를 마비시킬 것으로 추정됩니다."
이 질문은 속임수입니다. 두 위협 모두 미국 역사상 석유 인프라에 대한 최대 규모의 사이버 공격이었던 2021년 콜로니얼 파이프라인 랜섬웨어 공격이라는 동일한 사건을 설명합니다. 악의적인 해커들은 동부 해안 연료의 45%를 운반하는 파이프라인을 폐쇄하고 피해자들에게 440만 달러의 몸값을 지불하도록 강요했습니다. (법무부는 결국 그 몸값을 일부 회수했습니다.)
같은 공격에 대해 설명하는데도 긴급한 정도는 똑같게 느껴지지 않습니다. 위협 1은 나빠 보이는 정도이고, 위협 2는 즉시 총체적으로 대응해야 할 것 같습니다.
위협 2는 기술적인 내용보다 공격이 사업에 미치는 영향을 강조했기 때문에 훨씬 더 시급하게 느껴집니다. 안타깝게도 위협 분석가들이 이를 거꾸로 적용하는 바람에 사이버 보안과 비즈니스 간의 의사소통에 심각한 틈이 생기곤 합니다.
이 격차는 단순한 불편에 그치지 않고 조직을 갖은 공격에 노출시킬 수도 있습니다.
업계 뉴스레터
전문가의 인사이트를 바탕으로 한 최신 기술 뉴스
Think 뉴스레터를 통해 AI, 자동화, 데이터 등 가장 중요하고 흥미로운 업계 동향에 대한 최신 소식을 받아보세요. IBM 개인정보 보호정책을 참조하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책을 참조하세요.
모두가요.
한편, 우리 사이버 보안 전문가가 항상 비즈니스 용어로 인사이트를 제시하는 것은 아닙니다. 우리는 기술적인 방식으로 접근해서 위협 행위자와 멀웨어 변종의 이름, IOC와 CVE, CVSS 점수를 늘어놓으며 거대한 전문 용어의 벽을 세우고 우리들만의 세계를 강조하곤 합니다.
이는 실무자에게 큰 의미가 있지만 우리가 교육하려는 비즈니스 리더들에게는 크게 와닿지 않습니다.
다른 한편으로, 예의 비즈니스 리더들은 사이버 보안의 역할과 진정한 가치를 부정확하게 이해하고 있을 수 있습니다. 사이버 보안은 벌금을 피하거나 인증을 얻기 위해 일부 규칙을 준수하는 관습적인 업무로 취급되곤 합니다.
이러한 사고방식을 가지면 비용을 절감하고 경쟁 우위까지 가져다줄 수 있는 가치가 아니라 예산 추가 항목, 원가 중심점으로서 보안을 바라보게 됩니다.
그 결과 우리는 같은 회의실에 둘러앉아 있으면서도 결국 서로 다른 이야기만 합니다. 여기에는 중대한 결과가 따릅니다. 보안상의 위협을 경영진이 이해하는 언어로 전달하지 못하면 이들은 위험을 과소평가하거나 "그만한 가치가 없어 보인다"며 특정 보안 투자를 거부할 수 있습니다.
그러다가 재난이 닥칩니다.
"내가 뭐랬니"라는 말을 듣고 좋아할 사람은 없습니다. 그런 말로 최고 경영진을 우리의 편으로 만들 수는 없습니다.
다시 말하지만, 이러한 격차의 책임이 전적으로 사이버 보안 전문가에게 있는 것은 아닙니다. 그러나 우리는 이 격자를 좁힐 수 있는 특별한 위치에 있습니다.
비즈니스 리더가 중요하게 생각하는 용어를 구사하면 조직 전체가 위협 관리 우선 순위와 보안 제어를 더 잘 조율하게 할 수 있습니다.
이러한 조정을 통해 보안 팀은 권장 사항에 대한 지원을 더 쉽게 얻을 수 있습니다. 시간이 흐르면서 이러한 보안 투자가 성과를 거두면 경영진은 보안을 진정한 가치 창출 영역으로 보기 시작합니다.
사이버 보안 팀이 의사소통의 격차를 해소하기 위해 시도할 수 있는 4가지 방법:
1. 가능성이 아닌 사실에 집중
현실화될 수 있는 공격, 취약할 수 있는 시스템, 발생할 수 있는 위협 행위자 등 실제로 일어날 수도 있는 일에는 더 쉽게 주목할 수 있습니다.
비즈니스 리더는 우리가 공격을 예방하고 취약점을 해결한 사례 등 이미 일어난 일에 관심을 보이곤 합니다.
이는 긍정적인 현상이라고도 볼 수 있습니다. 첫째, 보안 팀에 대한 신뢰의 표시입니다. 비즈니스 리더가 모든 가능성에 대해 알 필요는 없습니다. 그들은 우리가 전부는 아니라도 대부분의 가능성을 예방할 수 있다고 믿기 때문입니다.
이를 통해 우리는 사이버 보안의 승리를 더 적극적으로 선전하고, 우리가 조직을 위험으로부터 보호했음을 보고함으로써 스스로의 가치를 증명할 수 있습니다.
다시 말해 우리에겐 실을 꿰기 위한 바늘이 있습니다. 실제를 강조하고 싶지만 가능성을 완전히 버릴 수는 없습니다. 결국, 우리에겐 새로운 사이버 위협을 파악하고 이를 막기 위한 적절한 보안 조치를 취할 임무가 있습니다.
이 요소들의 균형을 맞추기 위해 취할 수 있는 한 가지 접근 방식은 다음과 같습니다.
새로운 사이버 위협이 나타나면 발생 가능성과 잠재적 영향을 파악합니다. 그런 다음 권한이나 새 리소스 없이 위협을 해결할 수 있는 조치를 파악해서 실행합니다. 이 조치가 위협 가능성과 영향을 얼마나 줄여주는지 평가해서 위협의 전반적인 위험 정도를 판단합니다.
고위험 위협에는 리소스가 더 많이 요구될 수 있어 비즈니스 리더의 관심이 필요합니다. 위험도가 낮은 위협은 소중한 회의 시간을 할애하지 않고, 보충 목록에 작성하거나 지나가면서 언급하는 정도로 해결할 수 있습니다.
2. 구체적인 영향에 초점
위협 영향에 대해 말하자면, 영향 보고서와 추정치는 정확한 숫자와 구체적인 비즈니스 결과에 기반하는 것이 가장 좋습니다.
보안 실무자들은 취약점이라는 자체만으로 이를 나쁘다고 가정하는 경우가 있습니다. 시스템 결함을 결함이라는 이유만으로 수정하려고 합니다.
그러나 보안 외에 취약점의 존재만으로는 충분한 동기가 되지 않을 수 있습니다.
그 이유 중 하나는, 우리가 취약점을 추상적인 용어로 논의하는 경우가 많기 때문입니다. "우리 시스템은 기존 제어 기능을 우회하는 새로운 랜섬웨어 변종에 취약합니다. 20만 달러를 들여서 새로운 랜섬웨어 보호 기능을 구현할 것을 제안합니다."
합리적인 추천이지만 20만 달러는 어마어마한 가격표입니다. 의사 결정권자는 특히 '랜섬웨어 중지' 같은 구체적이지 않은 말이 유일한 사유라면 투자를 주저할 수 있습니다.
대신 이런 프레임을 생각해 봅시다. "우리 시스템은 새로운 종류의 랜섬웨어에 취약합니다. 유사한 조직의 인시던트를 분석한 결과, 이러한 랜섬웨어 공격은 비즈니스 손실과 문제 해결 비용이 복합적으로 작용하여 하루 평균 2백만 달러라는 비용이 발생시킵니다. 그래서 20만 달러를 들여서 새로운 랜섬웨어 보호 기능을 구현할 것을 제안합니다."
이제 우리는 랜섬웨어를 막기 위해가 아니라, 조직이 하루에 2백만 달러를 잃는 사태를 막기 위해 20만 달러를 지출하자는 이야기를 하고 있습니다. 좋은 거래인 것 같습니다.
3. 위험 허용 범위에 맞춰 조정
우리 사이버 보안 전문가들은 지나칠 정도로 신중한 경향이 있습니다. 그러나 많은 기업에서 최적의 위험 수준은 0이 아닙니다.
CIA의 대표적인 정보 보안 3가지를 생각해 보세요. 보안이 철저한 정보 시스템에는 기밀성, 무결성, 가용성이 필요하다고 명시되어 있습니다.
즉, 민감한 데이터와 시스템을 보호하면서도 직원이 사용할 수 있게 해야 합니다. 이 균형을 맞추기는 어렵습니다. 보호에 심혈을 기울이면 시스템을 안전하게 유지할 수 있지만 생산성이 받는 타격을 생각하면 항상 그만한 가치가 있는 것은 아닙니다.
예를 들어 우리가 미디어 회사에서 근무하는데, 이 회사는 기술 직원의 사용 유형에 대해 상당히 느슨한 제한을 두는 것을 선호한다고 합시다. 덕분에 관리되지 않는 섀도우 IT와 위험한 브라우징에 대한 여지가 생기지만, 한편으로 직원들은 개발 중인 매장을 빠르게 동적으로 조사할 수 있습니다. 이 활동이 비즈니스 모델의 핵심이었기 때문에 조직은 그에 따르는 위험을 기꺼이 감수했습니다.
사이버 보안 팀은 위험의 의미에 대한 공동의 이해를 바탕으로, 사업 운영을 중단하지 않고도 보안 요건을 충족하는 전술과 도구를 추구할 수 있습니다.
위험 허용 범위를 조율한다고 해서 사이버 보안이 항상 경영진을 묵인하는 것은 아닙니다. 사이버 보안 팀은 전문 지식을 활용하여 경영진이 위험을 이해하도록 영향을 미칠 수 있고, 그래야 합니다.
어떤 위협 인텔리전스 브리핑에 참여한 적이 있다고 생각해 봅시다. 이 브리핑에서 위험도가 낮은 것으로 확인된 공격이 있었는데 한 임원이 여기에 반박했습니다. 조직이 이런 종류의 침해를 겪은 적이 있으니 위험 수준을 높아야 할 것 같다는 것이었습니다.
위협 인텔리전스 팀은 그 이후로 환경이 바뀌었다고 지적했습니다. 이 조직은 이러한 공격의 발생 가능성과 심각성을 줄이는 보호 장치를 마련했습니다. 또한 이 위협은 최근에 이 기업과 같은 종류의 조직을 표적으로 삼지 않았습니다.
경영진은 사례를 듣고 위험도가 낮다는 평가에 동의했습니다. 우리가 위험을 조율하는 데 시간을 할애하지 않았다면,해를 끼칠 가능성이 미미한 위협에 시간과 자원을 소비했을지도 모르는 일입니다.
4. BLUF
이 마지막 요점은 가장 간단하지만 가장 영향력이 있습니다. 우리에게 필요한 건 사고방식의 전환이나 전략적 전환이 아닙니다. 그보다는 보고서 작성 체계에 작은 변화를 줄 수 있습니다.
우리에게 중요한 건 BLUF, 즉 '최종선을 최우선으로 생각하는 것'입니다.
특히 위협 인텔리전스 분야에는 모든 새로운 정보를 심층적으로 분석해서 20쪽, 더러는 30쪽 분량의 길고 상세한 보고서를 작성하는 습관이 있습니다.
우리에겐 이 모든 것이 흥미로워 보일 수 있지만 경영진은 그 보고서를 보고 너무 길어서 못 읽겠다고 고개를 내젓기 쉽습니다.
BLUF는 결론부터 시작합니다. 무슨 일이 일어났고, 무엇을 걱정해야 하며, 우리는 그 상황을 어떻게 평가하고 무슨 조치를 취해야 한다고 생각하는지 이야기하는 것입니다.
심층 분석을 원하는 독자들은 보고서의 나머지 부분을 읽어볼 수도 있지만 적절하고 구체적인 세부 정보에 기반해 부담 없는 분량으로 작성한 요약본만 있어도 비즈니스 리더가 정보에 입각한 결정을 내릴 수 있는 많습니다.
사이버 보안에 관한 의사소통의 격차를 해소하기 위해 우리가 궁극적으로 해야 할 일은, 우리가 쓰는 기술 용어를 비즈니스 리더가 공감할 만한 긴급하고 영향력 있는 언어로 번역하는 것입니다.
우리의 의사소통 방식에 변화를 주면 보안에 대한 경영진의 인식을 바꿀 수 있습니다. 일반적인 예산 항목이 아니라, 조직의 운영, 혁신, 번영에 도움이 되는 중요한 투자라는 인식을 주는 것입니다.