[특별기고] ‘사이버 복원력’을 갖추기 위한 ‘기초 역량’ 확보

전 세계의 기업은 수많은 사이버 공격의 위협에 직면해 있다. 2020년에서 2021년 사이에 사이버 공격이 125% 증가했으며 2021년에는 2억 건 이상의 기록이 침해되었다. 중소기업은 특히 사이버 범죄에 취약하다. 침해로 인해 기업은 평균 $200,000의 비용을 지출하며, 이 중 60%는 사고 발생 후 6개월 이내에 폐업했다.

보안 사고 발생을 대비해 기업 비즈니스 지속 성장을 위한 ‘사이버 복원력’을 확보해야

많은 기업이 시스템을 보호하기 위해 사이버 보안의 기술적 측면에만 집중하는 실수를 범한다. 피해자가 되는 것보다 공격을 예방하는 것이 분명히 바람직하지만 악의적인 행위자가 계속 교묘해지고 있어 모든 공격을 방어하기는 점점 더 어려워지고 있다.

이제는 공격으로 인한 피해를 줄이는 방법을 고민하는 것도 중요하다. 피해를 입었을 때 빠르게 회복할 수 있는 역량을 갖추고 있지 않다면 기업의 미래를 보장받을 수 없다. 공격을 당한 후에도 기업이 계속 운영되도록, 사이버 복원력(사이버 레질리언스, Cyber resilience)을 갖추기 위해서는 이를 위한 강력한 보안 기술뿐만 아니라 기초 역량(소프트 스킬)도 강화해야 한다.

그렇다면, 사이버 보안과 사이버 복원력의 차이점이 무엇이며, 기초 역량(소프트 스킬)의 의미, 조직이 사이버 복원력을 확보하기 위해 필요로 하는 기초 역량이 무엇인지 살펴보자.

사이버 보안 대 사이버 복원력

사이버 보안과 사이버 복원력의 차이점과 공격 완화에서의 역할을 이해하는 것이 중요하다.

사이버 보안이란 무엇인가?

미국 사이버 보안 및 기반 시설 보안 당국(CISA)은 사이버 보안을 "무단 액세스 또는 범죄적 사용으로부터 네트워크, 장치 및 데이터를 보호하는 기술과 정보의 기밀성, 무결성 및 가용성을 보장하는 활동"으로 정의한다. 이것은 공격을 예방하기 위한 기술 적용에 중점을 둔 다소 협소한 정의다. 조직 내에서 이 작업에는 보안 팀과 같은 제한된 사람들의 참여만 포함될 수 있다.

사이버 복원력(cyber resilience)이란 무엇인가?

사이버 복원력은 사이버 위협과 과제를 예방, 탐지, 대응, 복구 및 포렌식 분석 등을 수행하는 역량이다.

이처럼 사이버 보안이 협소하게 초점이 맞춰져 있다면 사이버 복원력은 공격이 전체 조직에 어떤 영향을 미칠 수 있는지에 대한 더 큰 그림을 보고 있다. 사이버 복원력에는 회사 내의 여러 부서가 포함될 수 있으며 종종 다음 요소가 포함된다.

▲BCDR(Business continuity and disaster recovery, 비즈니스 연속성 및 재해 복구): BCDR을 실행하면 사이버 공격 또는 기타 악의적인 이벤트 후에도 회사가 계속 운영되도록 보장하는 조치를 포함하도록 기존의 재해 복구 IT 실행이 확장된다.

▲사고(Incident) 관리: IT 팀이 가동 중단 또는 공격 후 가능한 한 빨리 서비스를 정상 상태로 되돌리기 위해 취하는 단계다.

▲위기(Crisis) 관리: 조직이 비상 상황을 관리하고 이해 관계자와 고객에게 미치는 영향을 관리하는 복원력을 알리는 활동이다.

▲위험(Risk) 관리: 이는 조직에 대한 위험과 위험이 비즈니스에 미칠 수 있는 영향을 최소화하기 위해 위험이 발생할 가능성을 식별하는 활동이다.

기초역량 이란 무엇이며, 사이버 복원력과 어떤 관련이 있는가?

먼저 하드 스킬(직무 기술, hard skills)을 정의해보자. 작문이나 소프트웨어 코딩처럼 가르칠 수 있는 기술이다. 반면에 소프트 스킬(기초 역랑, Soft skills)은 삶과 전문적인 경험을 통해 얻을 수 있다. 미국 상공 회의소는 "이러한 특성은 태도, 동기 부여, 적응력 및 전반적인 성격에 의해 정의될 수 있다"라고 기초 역량의 정의를 확장했다.

그렇다면 이러한 기초역량은 사이버 복원력과 어떤 관련이 있는가? 상당한 다운타임을 초래하는 보안 침해와 같은 예기치 않은 이벤트를 예를 들면, 이 상황에서 사용되는 어려운 기술은 소프트웨어 엔지니어링, 코딩 및 문제 해결을 위한 시스템 조사 등이다. 여기서 ‘기초 역량’은 고객, 공급업체 및 기타 이해 관계자에게 발생한 일을 효과적으로 전달하고 향후 유사한 일이 발생하지 않도록 예방하는 방법에 대해 생각하는 능력이라고 할 수 있다.

사이버 복원력을 갖추기 위한 기초 역량 강화 방안

사이버 회복력이 뛰어난 조직으로 거듭나 경쟁력을 확보하기 위해 기초 역량을 강화하기 위한 방법들은 다음과 같다.

다양한 관계자들의 의견을 ‘경청’

팀 내에서만 작업하는 데 익숙한 사이버 보안 전문가는 더 넓은 범위의 조직이나 고객에게 침해 또는 악의적인 사고가 미치는 더 큰 영향을 이해하지 못할 수 있다. 그러나 그들은 조직 전체에 사고가 발생한 경우 누구와 협력해야 하는지 모른다. 그들은 적극적인 경청을 통해 이러한 지식을 얻을 수 있다. 이것은 말하는 사람에게 주의를 기울인 다음 그들이 말한 것을 정확하게 반영할 수 있음을 의미한다.

정보 공유

기업은 공통의 목표를 달성하기 위해 노력하는 많은 개인으로 구성된다. 그러나 모든 사람이 직무를 올바르게 수행할 수 있는 정보가 없으면 이 목표를 달성할 수 없다. 지식 공유는 개인 또는 개인의 지식을 조직의 지식으로 결합하는 것이다. 이것이 반드시 모든 직원과 구두 대화를 나누는 것을 의미하지는 않지만 탄력적인 조직에는 중요한 정보를 공유할 수 있는 전체 커뮤니케이션 툴이나 중앙 저장소 등이 있다. 특정 관련 지식 제공이 가능한 사람이라면 자신의 전문 분야 내에서 이러한 문서를 검토하고 추가하도록 노력해야 한다.

정확하고 쉬운 말로 관계들과 소통하기

말하는 것이 중요한게 아니라 어떻게 말하느냐가 중요하다. 사이버 보안 사고에 발생했을 때, 기술 팀 구성원은 기술 팀 구성원이 아닌 구성원에게 발생한 일과 이에 대해 수행 중인 작업을 모두가 잘 아는 쉬운 말로 전달할 수 있어야 한다. 비기술 팀은 이를 이해하고 해당 정보를 일반 대중에게 전달할 수 있어야 한다. 의사 소통 기술을 구축하려면 다양한 분야의 팀 구성원이 주도적으로 동료가 수행하는 작업에 대해 더 많이 이해해야 한다.

협상과 설득

협상은 처음에 당신의 의견에 동의하지 않는 사람들과 이해 정도를 공유하고, 합의에 도달해야 하는 것을 의미한다. 설득은 다른 사람들이 주제에 대한 자신의 의견을 바꾸도록 설득하는 기술이다. 협상과 설득의 기술은 침해를 완화하고 이해 관계자에게 상황을 전달하는 방법에 대해 다양한 의견이 있을 수 있으므로 사이버 복원력을 갖추기 위해 매우 중요하다. 모든 사람이 옳지는 않겠지만 숙련된 협상가는 자신의 생각에 대한 정당성을 제시하며 자신의 관점에 대해 명확하게 전달할 수 있어야 한다.

리더십과 코칭

사이버 보안 사고를 관리하는 사람들의 범위는 고위 경영진에서 일반 직원에 이르기까지 매우 폭넓다. 아래 직원이 사고를 완화하는 데 도움이 될 수 있는 중요한 정보를 가지고 있는 경우 해당 직원에게 발언 권한이 부여되어야 한다. 이때 직원에게 권한을 부여하는 것은 고위 관계자들의 책임이다. 고위 관계자들에게 이러한 권한 설정에 대한 판단을 돕도록 정기적인 코칭 세션을 통해 수행할 수 있다.

비판적 사고와 창의성

악의적인 행위자의 전술이 변경됨에 따라 조직이 사이버 공격에 대처하는 방식도 변경되어야 한다. 몇 년 전에 성공적이었던 위기 관리 솔루션이 오늘날에는 동일한 결과를 얻지 못할 수 있다. 새로운 것을 시도하고 실패해도 두려워하지 않는 열린 마음이 필요하다. 이 기초 역량을 개발하려면 개인이 해당 업계의 최신 뉴스를 항상 확인하고 이 지식을 업무에 적용하는 방법을 이해해야 한다.

빠르게 판단을 바꿀 수 있는 ‘유연성’

이것은 협상과 설득의 기초 역량과 관련이 있다. 설득하는 것만큼 다른 사람이 옳을 수도 있다는 것을 기꺼이 받아들이고 마음을 바꾸는 것이 중요하다. 초기 계획이 효과가 없을 경우 빠르게 진행 방식을 변경할 수 있는 것도 중요하다.

관계자 모두와 긴밀한 협업 및 팀워크

앞서 언급했듯이 사이버 복원력은 전체 조직의 작업과 관련이 있다. 모든 개인은 사고를 해결하기 위해 조직의 다른 누구와도 기꺼이 협력해야 한다.

결론

사이버 공격이 과거보다 더 많은 피해를 입힐 가능성과 함께 더욱 정교해짐에 따라 조직은 이러한 사건이 비즈니스에 미치는 영향을 최소화하기 위해 할 수 있는 모든 조치를 취하는 것이 중요하다. 사이버 보안의 기술적 측면을 생각하고 사이버 복원력을 갖춘 공고한 시스템으로 전환하면 미래에 발생할지도 모를 만일의 사고에 완벽하게 대비하는 데 도움이 될 것이다.

Acronis Cyber Protect Cloud는 MSP와 기업이 사이버 복원력을 확보할 수 있도록 지원한다. 엔드포인트, 시스템 및 데이터를 보호하기 위해 기본적으로 사이버 보안, 데이터 보호 및 관리를 모두 제공하는 업계 유일의 통합 사이버 보호 솔루션이다. MSP(매니지드서비스프로바이더)는 Acronis Cyber Protect Cloud를 통해 비용을 낮추는 하나의 통합 솔루션으로 고객을 더 잘 보호할 수 있다.

[글. 아크로니스 코리아 고목동 지사장]

[G-PRIVACY 2022 개최-보안교육7시간 이수]

◇행사명: 2022 공·공 금·융 기업 개인정보보호&정보보안 컨퍼런스(G-PRIVACY 2022 )

◇대상: 정부∙공공∙지자체∙교육기관∙금융기관∙의료기관∙일반기업 개인정보보호/정보보안 실무자(※학생, 프리랜서 그리고 현업 보안실무자가 아닌 분들은 참석대상이 아님을 미리 공지합니다.)

◇일시: 2022년 3월 29일 화요일 오전9시~오후5시

◇장소: 더케이호텔서울 2층 가야금홀

◇참가비: 무료

◇점심식사: 제공하지 않습니다.

◇주차: 1일 무료 주차권 지급

◇발표자료: 등록사이트에서 다운로드(3월 28일 오후 4시부터)

◇7시간 교육이수: 공무원·일반기업 보안교육 7시간(CPPG, CISSP 등 자격증도 7시간 인정)※참석 후 설문을 제출해 주신 분에 한해 이수증을 보내드립니다.

◇등록마감: 2022년 3월 28일 오후 5시까지