하버드비즈니스리뷰

사이버 보안과

사람:

펜타곤의 교훈

기업들은 대부분 지나치게 많은

사이버 공격에 노출돼 있다.

보안과 관련한 문제를 줄이려면

미국 군대에서 힌트를 얻을 수

있다. 한때 IT 역량 측면에선

덩치만 큰 거인으로 취급받던 이

조직은 이제 철통 같은 보안을

자랑하는 네트워크를 운영하고

있다. 오늘날 미군은 불과 몇

시간, 심지어는 몇 분 만에

외부 침입을 탐지하고 제거할

수 있다. 2014년 9월부터

2015년 6월까지 10개월 동안

3000만 건이 넘는 악성 공격을

퇴치했다. 방어막을 통과한

공격들 중에서도 어떤 식으로든

시스템에 피해를 준 것은

0.1% 미만이었다. 미군의 적들도

상당한 사이버 공격 능력을

갖췄다는 걸 고려할 때 이는

큰 성과라 할 수 있다.

미군의 사례에서 얻을 수 있는 중요한 교훈이 하나 있다. 사이버 보안에서는 기술 향상도 중요하지만 사람의 실수를 최소화하는 게 무엇보다 중요하다는 사실이다. 성공한 해킹 공격의 대부분은 네트워크 운영자나 이용자가 오래된 시스템의 취약점을 보완하지 않거나, 환경 설정을 잘못하거나, 표준 절차를 위반하는 등 실수를 저질렀기 때문에 생기는 틈을 이용한다.

미군이 인적 차원 측면의 보안에 집중하게 된 것은 ‘원자력 해군의 아버지’ 하이먼 리코버^{Hyman Rickover}제독 때부터다. 리코버가 시작한 핵추진 프로그램은 60년이 넘는 세월 동안 단 한 건의 사고도 일으키지 않았다. 리코버는 인적 요소를 특히 중시했다. 원자력 잠수함의 핵추진 설비 운영자들을 엄격하게 훈련시켜 업무상 실수를 미연에 방지하고, 이상 징후를 신속하게 탐지해 즉시 조치를 취함으로써 심각한 고장으로 이어지지 않도록 했다. 미국 국방부는 IT 시스템을 공격하는 적들과의 전투에서 리코버의 프로토콜과 유사한 프로토콜을 꾸준히 채택했다. 이 아티클의 두 저자 위너펠드와 커코프는 국방부의 이런 노력에 깊이 관여했다. 이 아티클의 목적은 비즈니스 리더들이 미국 국방부가 사용한 방식을 기업에 적용할 수 있도록 하는 것이다.

미국 국방부처럼 기업들도 외국 정부, 범죄 조직, 사이버 테러리스트, 파렴치한 경쟁자가 고용한 침입자, 불만을 품은 내부자 등 다양한 적들로부터 끊임없이 공격 당한다. 소니, 타깃, 홈디포, 니먼 마커스^{Neiman Marcus}, JP모건 체이스, 앤섬^Anthem은 사이버 공격을 받아 수십만 고객의 개인정보와 신용카드를 도난 당하거나 훼손당했다. 사이버 도둑들은 에너지 기업이 석유와 가스 매장지 지질 조사를 끝내기 무섭게 정보를 훔치기도 했다. 이들은 기업의 내부 네트워크에 침입해 사업 준비단계부터 중요한 거래에 이르기까지 협상전략을 훔치고, 방위 산업체에서 무기 시스템 데이터를 도둑질했다. 지난 3년 동안 화학, 전기, 수자원, 운송 부문 운영 시스템 등 미국의 주요 기간시설이 해킹 당한 사례가 17배 증가했다. 이런 상황에서 미국 정부가 공공 부문과 개인 부문의 사이버 보안 개선을 국가적 우선순위로 삼은 것은 당연하다. 하지만 최근 연방정부 인사관리처가 해킹 당한 사건에서 알 수 있듯이 이런 작업은 여전히 엄청나게 어렵다.

군대의 사이버 행군

2009년, 미국 국방부는 오늘날 많은 기업처럼 방대한 양의 IT 시스템과 보안 방식에 짓눌려 있었다. 육해공 3군과 4개 보조부대(해병대, 해안경비대, 공중보건군단, 국립해양대기청군단), 9개 합동전투사령부는 오랫동안 독자적으로 재정 집행을 해왔으며 IT 투자에 실질적인 재량권이 있었다. 국방부에는 1만5000개의 네트워크에 총 700만 개의 장치가 작동하고 있었고, 이 네트워크들을 각기 다른 시스템 관리자가 운영하고 있었다. 이 관리자들은 자신이 관리하는 네트워크를 각기 다른 표준으로 구성했는데, 이는 보안이나 효율성에 전혀 도움이 되지 않았다.

당시 국방부 장관 로버트 게이츠^{Robert Gates}는 이 많은 네트워크에 일관성을 부여해 위험을 줄일 필요를 느끼고 미국 사이버 사령부를 창설했다. 이로써 .mil 도메인 전체를 4성 장군 1명의 지휘 아래 관리할 수 있게 됐다. 또 여기저기 흩어져 있는 네트워크를 통합해 1만5000개의 시스템을 합동 정보 환경^{Joint Information Environment}이라는 하나의 통일된 구조로 통합했다. 쉽지 않은 작업이었지만 덕분에 이제 곧 선박, 잠수함, 위성, 우주선, 비행기, 차량, 무기 시스템, 그리고 모든 단위의 부대들이 공통의 지휘통제 체계 안에 연결될 것이며 통신장비도 모두 여기에 포함될 것이다. 그 동안 각기 다른 지휘 체계와 표준, 프로토콜에 따라 움직이던 10만 명 이상의 네트워크 관리자들이 이제 엄격하게 운영되는 정예 네트워크 보안 핵심 그룹으로 진화하고 있다.

이와 동시에 미국 사이버 사령부는 군대의 테크놀로지를 업그레이드해왔다. 정교한 센서와 분석도구, 그리고 통합적으로 설계된 ‘보안 스택^{security stacks’[1]}이 네트워크 관리자들에게 어느 때보다 넓은 시야를 제공하고 있다. 이로써 네트워크 관리자들은 이상 징후를 신속하게 판단하고, 이에 따라 네트워크 구성을 바꿀 수 있게 됐다.

[1]빅데이터 분석을 포함한 다양한 기능을 수행하는 일련의 장비 - 역주