사이버 보안과
사람:
펜타곤의 교훈
기업들은 대부분 지나치게 많은
사이버 공격에 노출돼 있다.
보안과 관련한 문제를 줄이려면
미국 군대에서 힌트를 얻을 수
있다. 한때 IT 역량 측면에선
덩치만 큰 거인으로 취급받던 이
조직은 이제 철통 같은 보안을
자랑하는 네트워크를 운영하고
있다. 오늘날 미군은 불과 몇
시간, 심지어는 몇 분 만에
외부 침입을 탐지하고 제거할
수 있다. 2014년 9월부터
2015년 6월까지 10개월 동안
3000만 건이 넘는 악성 공격을
퇴치했다. 방어막을 통과한
공격들 중에서도 어떤 식으로든
시스템에 피해를 준 것은
0.1% 미만이었다. 미군의 적들도
상당한 사이버 공격 능력을
갖췄다는 걸 고려할 때 이는
큰 성과라 할 수 있다.
Idea in Brief
문제점 사이버 공격이 급속도로 증가하고 있다. 소니, 타깃, 홈디포, 앤섬, JP모건 체이스 같은 회사들에서 볼 수 있듯이 이 공격들은 성공하고 있다. 대부분의 경우, 원인은 부적절한 보안 기술이 아니라 네트워크 운영자와 이용자의 실수다.
해결책 미군처럼 신뢰도 높은 조직을 만든다. 미군은 시스템 공격을 차단하고 외부의 침입을 신속하게 저지하는 데 큰 성공을 거두었다. 비결은 하이먼 리코버 제독이 미국 원자력 해군에 정착시킨 무결점 문화다.
원칙 직원들의 실수를 뿌리 뽑고 방지하기 위해서 조직은 6가지 원칙을 준수해야 한다. 바로 도덕성, 충분한 지식, 절차 준수, 예비요원 동반 의무, 의문을 제기하는 태도, 정해진 형식에 따른 의사소통이다. |
미군의 사례에서 얻을 수 있는 중요한 교훈이 하나 있다. 사이버 보안에서는 기술 향상도 중요하지만 사람의 실수를 최소화하는 게 무엇보다 중요하다는 사실이다. 성공한 해킹 공격의 대부분은 네트워크 운영자나 이용자가 오래된 시스템의 취약점을 보완하지 않거나, 환경 설정을 잘못하거나, 표준 절차를 위반하는 등 실수를 저질렀기 때문에 생기는 틈을 이용한다.
미군이 인적 차원 측면의 보안에 집중하게 된 것은 ‘원자력 해군의 아버지’ 하이먼 리코버Hyman Rickover제독 때부터다. 리코버가 시작한 핵추진 프로그램은 60년이 넘는 세월 동안 단 한 건의 사고도 일으키지 않았다. 리코버는 인적 요소를 특히 중시했다. 원자력 잠수함의 핵추진 설비 운영자들을 엄격하게 훈련시켜 업무상 실수를 미연에 방지하고, 이상 징후를 신속하게 탐지해 즉시 조치를 취함으로써 심각한 고장으로 이어지지 않도록 했다. 미국 국방부는 IT 시스템을 공격하는 적들과의 전투에서 리코버의 프로토콜과 유사한 프로토콜을 꾸준히 채택했다. 이 아티클의 두 저자 위너펠드와 커코프는 국방부의 이런 노력에 깊이 관여했다. 이 아티클의 목적은 비즈니스 리더들이 미국 국방부가 사용한 방식을 기업에 적용할 수 있도록 하는 것이다.
미국 국방부처럼 기업들도 외국 정부, 범죄 조직, 사이버 테러리스트, 파렴치한 경쟁자가 고용한 침입자, 불만을 품은 내부자 등 다양한 적들로부터 끊임없이 공격 당한다. 소니, 타깃, 홈디포, 니먼 마커스Neiman Marcus, JP모건 체이스, 앤섬Anthem은 사이버 공격을 받아 수십만 고객의 개인정보와 신용카드를 도난 당하거나 훼손당했다. 사이버 도둑들은 에너지 기업이 석유와 가스 매장지 지질 조사를 끝내기 무섭게 정보를 훔치기도 했다. 이들은 기업의 내부 네트워크에 침입해 사업 준비단계부터 중요한 거래에 이르기까지 협상전략을 훔치고, 방위 산업체에서 무기 시스템 데이터를 도둑질했다. 지난 3년 동안 화학, 전기, 수자원, 운송 부문 운영 시스템 등 미국의 주요 기간시설이 해킹 당한 사례가 17배 증가했다. 이런 상황에서 미국 정부가 공공 부문과 개인 부문의 사이버 보안 개선을 국가적 우선순위로 삼은 것은 당연하다. 하지만 최근 연방정부 인사관리처가 해킹 당한 사건에서 알 수 있듯이 이런 작업은 여전히 엄청나게 어렵다.
군대의 사이버 행군
2009년, 미국 국방부는 오늘날 많은 기업처럼 방대한 양의 IT 시스템과 보안 방식에 짓눌려 있었다. 육해공 3군과 4개 보조부대(해병대, 해안경비대, 공중보건군단, 국립해양대기청군단), 9개 합동전투사령부는 오랫동안 독자적으로 재정 집행을 해왔으며 IT 투자에 실질적인 재량권이 있었다. 국방부에는 1만5000개의 네트워크에 총 700만 개의 장치가 작동하고 있었고, 이 네트워크들을 각기 다른 시스템 관리자가 운영하고 있었다. 이 관리자들은 자신이 관리하는 네트워크를 각기 다른 표준으로 구성했는데, 이는 보안이나 효율성에 전혀 도움이 되지 않았다.
당시 국방부 장관 로버트 게이츠Robert Gates는 이 많은 네트워크에 일관성을 부여해 위험을 줄일 필요를 느끼고 미국 사이버 사령부를 창설했다. 이로써 .mil 도메인 전체를 4성 장군 1명의 지휘 아래 관리할 수 있게 됐다. 또 여기저기 흩어져 있는 네트워크를 통합해 1만5000개의 시스템을 합동 정보 환경Joint Information Environment이라는 하나의 통일된 구조로 통합했다. 쉽지 않은 작업이었지만 덕분에 이제 곧 선박, 잠수함, 위성, 우주선, 비행기, 차량, 무기 시스템, 그리고 모든 단위의 부대들이 공통의 지휘통제 체계 안에 연결될 것이며 통신장비도 모두 여기에 포함될 것이다. 그 동안 각기 다른 지휘 체계와 표준, 프로토콜에 따라 움직이던 10만 명 이상의 네트워크 관리자들이 이제 엄격하게 운영되는 정예 네트워크 보안 핵심 그룹으로 진화하고 있다.
이와 동시에 미국 사이버 사령부는 군대의 테크놀로지를 업그레이드해왔다. 정교한 센서와 분석도구, 그리고 통합적으로 설계된 ‘보안 스택security stacks’[1]이 네트워크 관리자들에게 어느 때보다 넓은 시야를 제공하고 있다. 이로써 네트워크 관리자들은 이상 징후를 신속하게 판단하고, 이에 따라 네트워크 구성을 바꿀 수 있게 됐다.
[1]빅데이터 분석을 포함한 다양한 기능을 수행하는 일련의 장비 - 역주
아티클을 끝까지 보시려면
유료 멤버십에 가입하세요.
첫 달은 무료입니다!