2019 11-12월호 사이버 리스크를 제대로 평가하라 잭 J. 도멧(Jack J. Domet)
토머스 J. 패런티(Thomas J. Parenty)

RISK MANAGEMENT

사이버 리스크를 제대로 평가하라

기술 자체보다, 핵심 활동에 관한 리스크를 먼저 따져라.

 

토머스 J. 패런티

아체팩트그룹 공동 설립자

J. 도멧

아체팩트그룹 공동 설립자

 

 

 

 

문제 

사이버 보안에 수십억 달러를 쓰는데도 불구하고 사이버 공격으로 인한 피해는 더 커지고 있다. 기업이 사이버 리스크를 제대로 이해하지 못하고 있기 때문이다.

 

구식 전략

많은 기업이 기술적 취약점에만 집중하는 경우가 너무 많다. IT 담당자만 사이버 보안에 책임을 지고, 사이버 공격 대비의 우선순위가 잘못 나오게 된다. 사이버 리스크를 논의할 때 기술관련 용어만 난무하게 되면서 조직의 리더나 이사회가 실질적으로 논의에 참여할 수 없게 된다.

 

솔루션 개선

보다 효과적인 전략은 핵심 비즈니스 활동과 리스크, 이를 지원하는 시스템, 이 시스템의 취약점, 잠재적 공격자들을 확인하는 것이다. 리더와 직원 모두 이 과정에 참여한다. 고위급 임원과 이사회가 사이버 보안의 책임을 진다.

 

 

 

지난 수십 년간 사이버 침해로 인한 피해와 그로 인해 소모되는 비용규모는 놀라울 정도로 커졌다. 일례로 2017년 워너크라이WannaCry공격으로 인한 재정적, 경제적 피해는 80억 달러에 달한 것으로 추산된다. 2018년 메리어트의 자회사인 스타우드 계열의 예약 프로세스에 사이버 침입이 발생해 5억 명의 개인 정보와 신용카드 정보가 유출됐다. 해커들의 능력은 점점 발전하고 있다. 하지만 전 세계 고객을 상대로 자문한 필자들의 경험으로 보자면 기업이 이토록 해킹에 취약한 이유는 따로 있다. 사이버 리스크를 제대로 이해하지 못하고 있기 때문이다. 기업들은 기술적 취약점에만 과도하게 몰두하고 있다.

 

사이버 보안을 위한 노력이 기술적 문제에만 집중되면 기업의 리더는 정확한 정보를 알 수 없고, 기업 또한 제대로 보호받을 수 없게 된다. 사이버 위협을 논의하는 자리가 있어도 기술 전문용어만 난무하고, 결국 고위급 임원들의 참여가 무의미해지기 때문이다. 리스크를 해결해야 할 책임은 사이버 보안과 IT 직원에게만 떨어지는데, 이들은 회사의 전산시스템 관리에만 집중한다. 그 결과, 내용은 길지만 우선순위는 엉망인 사이버 리스크 완화 업무리스트가 작성된다. 모든 사이버 보안 문제를 해결할 자원을 갖춘 회사는 없다. 그래서 정작 중요한 사이버 위험은 해결이 안 된 채로 남아있게 된다.

 

보다 효과적인 전략은 사이버 보안이 비즈니스 활동에 끼칠 잠재적 피해에 주목하는 새로운 관점을 갖는 것이다. 당신이 어떤 화학회사의 임원이라고 치자. 전산시스템에 어떤 사이버 공격이 들어올지를 묻지 말자. 그 대신 이런 공격이 있으면 공급망에 어떤 차질이 빚어지는지를 따져보라. 아니면 혹시 당신의 영업비밀이 노출되는지, 계약상 의무를 위반하게 되는지, 인류에 위협이 되는지를 물어보라. 이 질문이나 그 질문이나 뭐가 다르냐 싶겠지만 리더들이 중요한 활동을 계획할 때 사이버 방어의 우선순위를 제대로 정할 수 있다.

 

리처드 랭카스터Richard Lancaster는 아시아에서 세 번째로 큰 전력공급회사인 CLP CEO. 그는 이런 관점의 변화를 다음과 같이 설명했다. “처음에는 사이버 리스크를 IT 이슈로 생각했습니다. 시간이 지나면서 전력망과 발전설비의 취약성이 문제라는 것이 보이더군요. 이제는 사이버 위험이 실제로 비즈니스 리스크임을 알고 있어요. CEO로서 제 일은 비즈니스 리스크를 통제하는 겁니다.” 이런 관점에 따르면 책임이 IT담당자에서 고위임원과 이사회로 이동한다. 고위임원과 이사회가 적극적으로 역할을 수행하고 사이버 보안 팀이 실질적 위협에 대비하도록 만들어야 한다.

 

 

사이버 공격의 내러티브를 구축하라

 

사이버 리스크를 확인하고 바로잡는 것은 집단적 프로세스다. 가장 중요한 리스크가 무엇인지 정확하게 평가하려면 다양한 직원의 관점과 의견을 고려해야 한다. 다양한 직원이 참여하면 초기에 중요한 팩트와 세부사항에 대한 공통의 이해를 구축하게 되고, 나중에 리스크를 관리할 필요가 있을 때 합의에 이르기가 쉬워진다.

 

회사가 다양한 직원과 관련 정보를 구성하고 공유할 수 있도록 우리는사이버 위협 내러티브(시나리오)’라는 툴을 개발했다. 이 도구는 잠재적 사이버 공격이 일어나는 가상의 시나리오에서 다음 네 가지 부분을 다룬다. (1)주요 비즈니스 활동과 여기에 가해지는 리스크, (2)해당 활동을 지원하는 시스템, (3)잠재적 공격유형과 그에 따라 발생할 수 있는 결과, (4)공격을 취할 가능성이 가장 높은 적 등이다. 네 가지 모두에 대한 세부사항을 확인하면 회사가 위험을 인식하고 리스크의 우선순위를 정하며 해결방안을 준비하는 데 도움이 될 것이다.

 

각 기관의 사이버 보안 담당자들은 사이버 보안의 내러티브를 개발할 책임이 있다. 하지만 다른 사람들도 일정 부분 책임을 져야 한다.

 

리더그룹. CEO, 경영진, 기타 고위경영진. 경영진과의 회의는 중요하긴 하나 시간을 많이 들일 필요는 없다. 인터뷰와 토론 내용을 자세하게 기록해 두면 효율적이고 쉽게 문서화할 수 있다.

 

운영팀.일상적으로 핵심 비즈니스 활동에 관여하는 사람들

 

IT 시스템.비즈니스 활동을 지원하는 전산책임자

 

•관련 전문가. 당신이 파악한 특정 사이버 리스크의 유형, 결과와 관련해 전문성을 갖춘 직원들을 말한다. 법무, 홍보, 인사, 물리적 보안 담당 직원 등이다. 예를 들어, 개인정보 유출에 대한 얘기를 하는 중이라면, 관련법과 규제 위반 가능성도 있으므로 법무팀을 개입시키는 것이 좋을 것이다.

 

사이버 위협 내러티브의 각 요소, 개발방법, 참여대상을 살펴보자.

 

 

핵심 비즈니스 활동과 리스크

 

핵심 비즈니스 활동과 리스크를 확인하기 위해 사이버 보안 팀은 회사의 리더와 인터뷰를 실시해야 한다. 연례보고서 작성과 비슷하게 위험감수 정도에 대한 서면진술을 검토하고, 수익목표나 새로운 시장에서의 성장 같은 회사의 타깃을 고려해야 한다. 예를 들어, 수익목표는 신제품 개발이나 서비스 제공 확대 여부에 따라 달라진다. 고객층을 늘리려면 새로운 국가에 진출하는 과정이 필수다. 핵심적 활동이 조직 외부에 있거나, 내부 운영과 관련되거나, 회사의 전략적 미래와 관련돼 있을 수 있다. 예컨대, 화학회사의 경우 중요한 비즈니스 활동은 수요가 많은 특수제품인 폴리에스테르 수지의 제조가 될 것이다.

 

해당 활동이 얼마나 중요한지는 산업과 회사에 따라 다르다. 고객지원 부문은 소비자용 소프트웨어나 할인소매점과 같은 일부 산업에서는 리스크가 낮다. 그러나 다른 산업, 즉 카지노업계 같은 곳은 고객관계만큼 중요한 것이 없다. 예를 들어 마카오의 카지노는 도박으로 벌어들이는 매출의 54% 이상이 소수의 고객에서 비롯된다. 고객관계 관리 리스크는 카지노의 매출에 위협이 될 수 있다. 따라서 회사의 핵심 비즈니스 활동의 수와 회사가 구축해야 하는 사이버 위협의 내러티브 수는 회사마다 다를 수밖에 없다.

 

조직의 리스크를 재단하려면, 각 핵심활동이 실패해 회사에 손해를 끼치는 경우를 가정해봐야 한다. 예컨대, 화학제조업체라면, 공장 운영에 차질이 빚어질 경우 레진 생산이 막히고, 그러면 매출이 줄어들 수 있다. 고객이나 다른 관계자에게 미칠 부수적인 손실도 검토해 보라. 유독 화학물을 유출하거나 고객의 기밀정보, 즉 패스워드나 신용카드 데이터가 유출된 경우 등을 말이다. 어떤 기업에 심각한 리스크가 되는 일이 다른 기업에는 그렇지 않다는 걸 명심해야 한다. 레진 생산이 지연되면 어떤 화학기업은 손실을 입겠지만, 레진 상품의 수요가 크지도 않고 매출도 무시할 수 있는 수준이거나, 아니면 다른 공장에서 생산할 수 있는 화학기업은 손실이 크지 않을 것이다.

 

 

지원 시스템

 

회사가 무엇을 보호해야 하는지 모른다면 효과적인 사이버 방어를 구축할 수 없다. 그러니 회사의 전산시스템을 정리해 목록을 만들고, 각 핵심활동에 이 시스템이 제공하는 서비스와 기능도 정리한다. 이 프로세스는 각 활동의 운영담당 직원이 시작해야 한다. 사용되는 소프트웨어와 프로그램이 오작동하는 경우 어떤 결과가 빚어지는지 가장 잘 알기 때문이다. 전산시스템을 유지 관리하는 직원들도 참여해야 하는데, 이 소프트웨어를 지원하는 기술에 대한 빅 픽처를 갖고 있기 때문이다. 범용 컴퓨터라면 일반적으로 IT 직원이 필요하고, 산업용 제어시스템이라면 엔지니어가 개입돼야 한다. 목록을 만들 때는 시스템의 실제 위치를 기록해야 한다. 사이버 사고 대응직원이 공격 발생시 문제를 해결하기 위해 어디로 가야 하는지 알 수 있게 하기 위해서다.

 

비즈니스 활동을 기준으로 자산을 분류함으로써 회사는 효과적으로 전산 취약점 해결과 보호 강화의 우선순위를 정할 수 있다. 컴퓨터와 소프트웨어 목록 자동화를 통해 IT 부서를 지원하는 보안제품들이 있지만, 이런 제품도 회사마다 어떤 자산이 가장 중요한지는 구분하지 못한다.

 

 

사이버 공격의 유형과 피해

 

다음으로 해당 팀은 각 핵심 활동을 방해할 수 있는 모든 유형의 공격을 구분해, 공격하는 데 무엇이 필요한지, 또 그 잠재적 피해는 어떤 것인지 설명할 수 있어야 한다.

 

기초적인 수준의 사이버 공격은 컴퓨터 시스템의 취약점을 악용한다. 예를 들면 맬웨어 공격은 악성 소프트웨어를 사용해 응용프로그램의 프로그래밍 실수를 악용한다. 워너크라이 사건에서 사용된 해킹기술이 이런 것이다. 회사의 사이버 보안 담당직원은 컴퓨터 시스템의 취약점을 노릴 수 있는 테크닉의 유형을 파악할 수 있으며, 반드시 파악해야 한다.

 

여기서 공격이 항상 정교하거나 기술적으로 복잡한 것만은 아니라는 점을 알아 둘 필요가 있다. 모든 컴퓨터 시스템에 공통적인 취약점 중 하나는 관리자가 정보와 이에 대한 응용프로그램에 거의 전적인 통제권을 갖는다는 점이다. 이런 통제권은 적절한 운영과 관리에 필요하긴 하나, 어떤 관리자든 그 통제권을 남용할 수 있다는 점도 주의해야 한다.

 

사이버 공격은 셀 수 없이 많은 방법으로 실행될 수 있으며, 그 모두를 열거하는 것은 실용적이지도 유용하지도 않다. 맬웨어를 설치하는 외부 해킹이나 컴퓨터 권한을 오용하는 직원 등과 같은 기본 공격유형을 구분할 수 있다면 충분하다.

 

공격의 필수요건. 공격자가 사이버 공격을 감행하는 데 무엇이 필요할지를 이해하는 것은 사이버 방어에 필수적이다. 사이버 보안 담당자들과 핵심 활동 담당직원들이 구체적 공격요건을 구분할 수 있다. 대부분 다음 세 가지 유형 중 하나에 해당된다.

 

1. 지식.적이 알아야 할 정보. 예를 들면 악성 소프트웨어를 어떻게 프로그래밍 하는가 혹은 수력발전 댐은 어떻게 작동하는가 등이다.

 

2. 도구와 설비.적이 갖춰야 할 장치. 암호 크래커와 네트워크 분석기와 같은 해킹 보조도구뿐 아니라 랩톱, 무선 송신기와 같은 하드웨어도 포함된다.

 

3.위치. 적이 어디에 있어야 하는가.예를 들어, 옆 건물에 있어야 하는가 아니면 조직 내 직원이나 하청업체여야 하는가?

 

우리와 함께 일한 동남아시아 은행 중 하나는 이전에 사이버 공격을 받아 대규모의 직불카드 사고가 발생했다. 조사에 따르면 해커는 비자와 마스터카드 인증코드의 형식과 신용카드 단말기 구성방법을 알아야 했다. 필요한 도구는 여러 대의 단말기와 직불카드 계좌번호 데이터베이스였다. 또 사기에 공모한 업체들과 협조하기 위해 회사 인근에 있어야 했다. 하지만 은행에서 일하거나 은행 건물에 실제로 들어갈 필요는 없었다.

 

공격의 결과. 경영진과 고위관리자들은 핵심 비즈니스 활동에 차질이 빚어지는 피해상황을 확인할 수 있는 위치에 있으므로, 사이버 보안 그룹이 이 작업을 수행할 수 있도록 지침을 제공해야 한다. 운영과 시스템 담당직원뿐 아니라 법무, 재무, 준법감시 전문가들이 부수적인 피해를 확인할 수도 있다. “이러면 어떨까?”란 간단한 질문은 이런 모든 참여자 간 대화에서 좋은 결과를 거둘 수 있다. 예를 들어, 랜섬웨어 공격으로 인해 병원의 환자기록에 더는 접근이 안 되면 치료는 어떻게 제공하나? 워너크라이의 여파로 영국국립보건국은 수천 개의 진료예약과 진료계획이 모두 취소돼 버렸다.

 

어떨 때는 공격으로 인한 피해가 직접비용을 넘어설 수도 있다. 2017년 낫페트야NotPetya사이버 공격은 전 세계 수많은 대기업의 운영을 중단시켰고, AP 몰러머스크Moller–Maersk에는 3억 달러, 페덱스에는 4억 달러 규모의 손실을 입혔다. 제약업계의 거물 머크는 낫페트야 공격으로 인한 손실을 직접비용과 매출상의 손실을 합쳐 88000만 달러로 추산했다. 게다가 시스템 마비로 특정 유형의 암을 예방하는 머크의 백신 재고가 아예 비어버렸다.

 

 

사이버 공간의 적

 

당신의 적은 누구인가? 잠재적 침입자의 정체, 이들의 동기와 역량 등을 파악하면 공격 가능성을 예측하고 이들의 공격을 막는 데 필요한 조치를 마련하는 데 도움이 될 것이다. 당신의 적은 국가, 범죄조직, 경쟁자, 불만을 품은 직원, 테러리스트, 열성 단체일 수 있다. 이들의 기술력을 과소평가해서는 안 된다. 많은 사람들이 첨단 해킹도구를 쉽게 구할 수 있다.

 

핵심 비즈니스 활동에 참여하는 기업의 리더와 운영직원은 잠재적 적을 파악할 수 있는 최적의 위치에 있다. 공격자의 동기와 공격을 통해 얻는 이득을 가장 잘 알기 때문이다. 질문의 출발점은 회사 자산 등 다른 사람에게도 돈벌이가 될 만한 것이 무엇인지를 파악하는 것이다. 예를 들어, 어떤 경쟁업체는 R&D와 영업비밀에 관심이 있고, 어떤 범죄조직은 고객의 금융기록을 훔쳐 암시장에서 파는 데 더 관심이 있을 것이다.

 

기업은 또 잠재적 적의 더 광범위한 상업적 콘텍스트를 생각해야 한다. 마카오의 카지노 관리자들은 VIP 클라이언트 데이터를 중앙운영센터로 전송하는 데 사용하는 네트워크 연결을 암호화하지 않기로 했다. 그럴 필요가 없어 보였다. 하지만 카지노 관리자들에게 공격을 통해 이득을 얻는 자가 누구일지 생각해보라고 요청하자, 네트워크 자체가 대기업 소유의 통신 네트워크이며, 이 대기업은 해당 카지노의 최대 경쟁사도 운영하고 있다는 점을 깨달았다.

 

고객조차도 사이버 적이 될 수 있다. 풍력터빈 제어용 소프트웨어 개발사인 AMSC의 경영진은 최대 고객사인 시노벨Sinovel이 현재와 이후 계약에 대한 모든 대금 납부를 갑자기 취소했을 때 큰 충격을 받았다. 총 금액이 8억 달러에 달하는 규모였다. 조사 결과 시노벨은 AMSC의 소프트웨어를 훔쳐내 1000개가 넘는 새 터빈 운영에 사용하고 있었다. 이런 지식재산권 절도의 결과로 AMSC 2010 18600만 달러 이상의 손실을 기록했다. 절도로 인한 총 손실은 55000만 달러로 그중 극히 일부만 회수했다. 이 사건으로 AMSC의 주주들은 10억 달러의 지분 손실을 입었고, 회사는 전 세계 직원의 절반인 700명을 해고해야 했다. 이 회사는 아직도 수익성을 회복하지 못하고 있다.

 

때로는 산업의 유형 또는 회사가 비즈니스를 영위하는 방식이 공격을 도발하기도 한다. 환경단체는 환경오염 문제로 악명이 높은 회사를 타깃으로 삼을 수 있다. 미 국가안보국 계약직원이던 에드워드 스노든Edward Snowden은 안보국의 정보를 몰래 빼내 사찰 프로그램을 폭로했고, 국가안보국은 이를 부인했다. 정리해고나 공장폐쇄 때문에 직원이 컴퓨터 권한을 악용해 보복할 수도 있다. 또 개인적으로 추구하는 신념이 있거나 평판을 목적으로 행동하는 개인도 있을 수 있다.

 

회사가 직접적 타깃이 아니라 하더라도 사이버 공격으로 인한 피해를 겪을 수 있다. 특히 인프라 산업이 사이버 공격의 대상이 되는 사건이 늘고 있다. 2015년 이바노프란키브스크Ivano–Frankivsk의 전력인프라 공격사건을 생각해보자. 의심되는 것처럼 러시아가 사건의 배후라면, 공격의 동기가 전력회사나 이 사건으로 전력공급 중단을 겪었던 고객과는 무관할 것이다. 이 회사가 타깃이 된 것은 러시아와 적대적 관계에 있었던 우크라이나에 위치하기 때문일 것이다. 시스템을 망치고 싶은 자가 누구일지 생각할 때는 회사 밖의 더 광범위한 상업적, 정치적 콘텍스트를 생각해야 한다.

 

 

막을 수 있었던 위기

 

이제 사이버 공격 사례 하나를 자세히 살펴보면서, 사이버 위협 내러티브의 네 가지 요소가 관련정보를 포착할 수 있는 방식을 따라가보자.

 

마루치 셔[1]shire of Maroochy는 호주 브리즈번에서 북쪽으로 수백 km 떨어진 관광지다. 이 지역은 자연풍광이 뛰어나고 생태계적으로도 중요한 곳으로, 긴 백사장과 아열대성 우림, 개울과 폭포가 어우러져 있다.

 

2000년대로 접어들 무렵 마루치 셔의 물과 하수 시스템은 마루치수자원서비스가 관리해 매일 3500L의 하수를 모아 처리하고 배출했다. 2000 1월 이 폐수펌핑장을 관리하던 시스템에서 펌프를 제어하지 못하기 시작하면서 경보가 잘못 나갔다. 관련업체에서 시스템이 공격을 받았다는 결론을 내렸을 때는 이미 처리되지 않은 하수가 펌핑장에서 배출돼 마루치 셔를 관통해 흐르고 있었다. 이전에 5성급 하얏트리젠시리조트였던 PGA 챔피언십 골프코스로도 흘러 들어갔다. 동네 공원에서는 수로에서 악취가 나면서 검게 변했고, 해양생물들이 죽었다. 악취는 지독했다. 공격은 3개월간 지속됐고 마침내 경찰이 펌핑장 근처에서 자동차 추격전 끝에 공격자를 체포했다.

 

사정을 다 알고 나면 무엇이 잘못된 것인지 알기 쉽다. 마루치 셔의 사이버 공격 내러티브를 재구성해 보자.(‘마루치 사이버 공격의 내러티브참조)

 

 

이 기관은 폐수 처리가 핵심 비즈니스 활동이다. 마루치의 시스템에서는 142개의 펌핑장이 하수를 처리시설로 펌프해 보낸다. 마루치 셔의 언덕지형 때문에, 펌프가 오작동하면 폐수가 지역의 깨끗한 공원지대와 관광지역으로 되돌아갈 위험이 상당히 있었다.

 

펌프 지원 컴퓨팅시스템은 중앙 운영관리시스템과 펌핌장 내부의 제어장비로 구성된다. 중앙시스템에서 작업자가 개별 펌핑장 설비를 켜거나 끄고, 펌핑 속도도 바꿀 수 있다. 중앙시스템을 조작할 수 있는 장비를 사용하면 펌핑장을 별도로 관리할 수도 있다.

 

이러한 지원시스템에는 두 가지 사이버 보안 취약점이 있었다. 첫 번째는 누구나 장비에 네트워크 연결을 설정할 수 있다는 점이었고, 두 번째는 한 번 연결되면 비밀번호를 입력하지 않아도 된다는 것이었다.

 

공격이 성공하려면 공격자가 장비의 작동방식을 이해해야 한다. 이는 경험을 통해서 혹은 매뉴얼을 읽으면 알 수 있다. 또 장비와 통신하는 데 사용되는 무선 주파수를 알아야 하는데 이는 회사문서에서 쉽게 찾을 수 있다. 공격자는 여러 대의 컴퓨터(펌핑장에서 사용되는 컴퓨터와 동일한 기종), 네트워크 케이블, 양방향 무선 장비가 있어야 한다. 또 개별 펌핑장의 제어시스템에 연결하려면 무선 범위 내로 들어와 있어야 하지만, 펌핑장에 물리적으로 침입할 필요는 없다.

 

이 사건에서 사이버 테러범은 펌핑장 제어장비를 제공했던 공급업체의 전 직원이었다. 이 직원은 업체와 갈등 끝에 퇴사하고, 마루치수자원서비스에 두 번이나 응시했지만 채용되지 않았다. 마침내 불만을 품은 그는 분노에 못 이겨 두 회사 모두에 보복하고자 했다. 그는 펌핑장 컴퓨터 중 하나를 훔쳤다. 제어시스템의 작동방식을 알고 있었기 때문에 그는 컴퓨터를 제어하고 무선 장비를 사용해 개별 펌핑장과 통신할 수 있었다. 그렇게 컴퓨터와 통신을 조작해 중앙 운영관리시스템을 장악하고 대혼란을 초래했던 것이다.

 

마루치수자원서비스의 경영진이 직원과 협력해 폐수 처리에 대한 내러티브를 구축했다면, 그들이 직면한 중대한 위험을 발견하고 파악했을 것이다. 이들이 폐수 처리가 중요한 활동이라는 것은 알고 있었기 때문에 내러티브를 만드는 데 관련된 조사와 분석만 실시했다면, IT 관리자로 하여금 사이버 공격이 지원용 컴퓨터 시스템을 훼손하고 펌프와 다른 폐수처리 시설의 오작동을 유발할 수 있다는 점을 분명하게 인식시킬 수 있었을 것이다. 또 사이버 공격이 성공하는 데 무엇이 필요한지, 누가 배후인지도 사전에 알 수 있었다.

 

더 나아가 마루치수자원서비스는 위험을 완화하기 위한 기반을 다질 수 있었다. 이 회사의 IT 보안직원은 폐수사고를 방지하기 위해 해결해야 할 두 가지 취약점을 알고, 이사회에 전문용어를 쓰지 않고 단 한 문장으로 솔루션을 설명할 수 있었다. “펌핑장에 사이버 공격을 막으려면 사용자들이 스테이션 컴퓨터에 로그온하도록 요구하고, 네트워크에 연결할 수 있는 사람을 제한해야 합니다.”

 

사이버 리스크의 확인 절차는 쉼 없이 진행된다. 비즈니스가 발전하고 그 기반이 되는 컴퓨팅시스템도 변화함에 따라 새로운 취약점이 계속해서 등장하기 때문이다. 이를 찾아내려면 회사는 사이버 리스크를 평가하는 변화관리 프로세스 내에 점검항목들을 명확하게 정의해 둬야 한다.

 

회사의 가장 중요한 사이버 취약점을 확인하는 것은 첫 번째 단계일 뿐이다. 위험이 무엇인지 알고 나면 잠재적 공격의 우선순위를 정하고, 공격을 예방하는 통제장치를 확인하며, 필요한 경우 실질적인 대응계획을 수립, 실행해야 한다. 사이버 리스크와 관련된 모든 대화의 중심에 비즈니스 리스크를 두고, 리더들 역시 그 중심에 있어야만 훌륭한 디지털 리더십이 가능해질 것이다.

 

번역 송채영 에디팅 배미정

 

[1]한국의 군()에 해당

 

 

토머스 J. 패런티(Thomas J. Parenty)는 국제 사이버 보안 전문가로서 미국 국가안보국(NSA)에서 근무했으며 전 세계의 여러 조직에 자문을 제공한다.

 

J. 도멧(Jack J. Domet)은 다국적기업이 기술, 세계화, 소비자중심주의에 적응하도록 지원하는 경영전문가다. 두 사람은 사이버 보안 기업 아체팩트 그룹Archefact Group의 공동 창립자이자 <  A Leader’s Guide to Cybersecurity  >(HBR Press, 2019)의 공저자다. 이 아티클은 앞의 책에서 발췌했다.

페이스북 트위터

2019 11-12월호 다른 아티클 보기

목록보기

무료 열람 가능 아티클 수 0/1 회원가입 | 서비스상품안내