헤더 바로가기 메뉴 바로가기 푸터 바로가기
운영관리 & 전략

인터넷은 불안하다

앤디 보흐만(Andy Bochman)
매거진
2018. 9-10월(합본호)

인터넷은

불안하다

아무리 많은 돈을 들여 방어한다 해도 회사를 해커로부터 완벽히 보호할 수는 없다. 이제 새로운 접근법이 필요하다.

앤디 보흐만

 

먼저 잔인한 진실부터 짚고 가자. 당신의 조직이 최신 사이버 보안 하드웨어와 소프트웨어를 갖추고, 사이버 보안 훈련을 실시하고, 전문인력을 배치하는 데 얼마나 많은 돈을 쓰는지는 상관없다. 조직의 가장 중요한 시스템을 다른 시스템과 분리했는지 아닌지도 상관없다. 업무를 수행하는 데 없어서는 안 될 핵심요소, 미션 크리티컬mission-critical 시스템이 디지털화했고 어떤 식으로든 인터넷에 연결돼 있다면(인터넷에 연결돼 있지 않은 듯한 시스템도 자세히 보면 연결돼 있을 가능성이 크다), 시스템은 절대 완벽하게 안전할 수 없다.

 

 

이 점이 매우 중요하다. 인터넷에 연결된 디지털 시스템이 사실상 미국 경제 전 분야에 퍼져 있고, 특히 민족국가, 범죄조직, 테러조직의 기술적 정교함과 적대행위가 최근 몇 년 사이 상당히 증가했기 때문이다. 미국에서는 애틀랜타 시 정부를 대상으로 한 공격과, 천연가스 파이프라인 회사 4곳이 공유하는 데이터망을 노린 공격이 있었다. 신용평가사 에퀴팍스Equifax에서는 데이터 유출 사건이 발생했다. 악성코드 워너크라이WannaCry와 낫페트야NotPetya가 전 세계적으로 피해를 입혔다. 최근 일어난 가장 악명 높은 사건의 피해 기업 다수는 자사의 사이버 방어 역량을 철석같이 믿고 있었다.

 

나는 아이다호국립연구소Idaho National Lab·INL산하의 한 연구팀에 속해 있다. 우리 팀은 미국 경제와 국가 안보에 매우 중요한 조직들이 사이버 공격을 막아낼 수 있는 최선의 방법을 연구해 왔다. 이를테면 전기 유틸리티와 정유공장의 열과 압력을 조절하는 시스템 등 산업제어 시스템에 의존하는 조직을 집중 연구해서, 기존의 관습적인 해결책에 정면으로 도전하는 솔루션을 찾아냈다. 즉 고장이 날 경우 조직이 위태로워질 수 있는 기능을 파악해서 되도록 인터넷에서 격리시키는 한편 디지털 기술 의존도를 최소한으로 낮추고, 모니터링 및 제어작업을 아날로그 장치와 믿을 만한 인력으로 보강하는 방법이다. 아직 시범단계지만 이 방식을 구성하는 수많은 요소는 지금 당장 어느 조직에나 적용 가능하다.

 

물론 이 전략은 순전한 정보기반 사업에는 적용할 수 없다. 어떤 경우, 운영비가 증가하고 효율성이 낮아질 수도 있다. 하지만 미션 크리티컬 시스템을 디지털 수단의 공격으로부터 확실히 방어할 수 있는 길은 이것뿐이다. 나는 이 아티클에서 INL의 방법론을 통해 미션 크리티컬 시스템을 파악하는 방법을 소개하려 한다. 이 방법을 적용하면, 경영진이 지금까지 그 중요성을 깨닫지 못했지만 손상될 경우 기업의 존폐를 위협할 수도 있는 취약한 기능이나 프로세스를 알게 될 것이다. 우리는 지난 몇 년간 이 방법론의 여러 요소를 기업과 미군에 적용했다. 또 미국의 거대 전기 유틸리티 기업 중 하나인 플로리다 파워 앤드 라이트Florida Power & Light에 이 방법을 1년 동안 시범 적용해 큰 성공을 거뒀다. 현재는 미군 조직 한 곳에서 2차 시범 적용을 하고 있다. INL은 이 프로세스를 널리 보급하는 방안도 모색 중이다. 몇몇 엔지니어링 서비스 기업을 파트너로 선정해, 이 방법론을 적용할 수 있도록 라이선스와 교육·훈련을 제공하는 방안이 가장 유력하다.

 

아티클을 끝까지 보시려면
유료 멤버십에 가입하세요.
첫 달은 무료입니다!

(03187) 서울시 종로구 청계천로 1 동아일보사빌딩 9층 (주)동아일보사
대표자: 김재호 | 등록번호: 종로라00434 | 등록일자: 2014.01.16 | 사업자 등록번호: 102-81-03525
(03737) 서울시 서대문구 충정로 29 동아일보사빌딩 8층 (주)디유넷(온라인비즈니스)
대표이사: 김승환, 김평국 | 통신판매신고번호: 제 서대문 1,096호 | 사업자 등록번호: 110-81-47558