경영진은 위험에 직면한 상황을 안다. 그러나 어떤 위험이 진짜 위험인지, 위험에 노출됐을 때 기업에 어떤 영향이 미치는 지 알지 못하는 경우가 많다.
보안 위험 관리는 이런 추측을 없애고, 기업들이 더 현명한 결정을 하도록 만드는데 목표를 두고 있다.
SIRA(Society of Information Risk Analysts) 부대표 제이 제이콥스는 "보안 위험 관리는 간단히 말해 기업의 의사결정 지원 시스템이다. 기업의사 결정을 위한 정보 제공에 존재가치가 있다"고 말했다.
제이콥스는 그러나 불행히도 많은 전문가들은 기업들이 이를 정확히 인식하지 못하고 있으며, 이와 관련한 노력 또한 부족하다고 지적했다. 또한 위험을 높일 수도 있는 나쁜 행동이 포함되어 있다고 강조했다.
SIRA 대표 제프 로우더는 "보안 전문가가 위험 관리 전문가라고 생각하는데 이는 잘못됐다. 또한 많은 보안 전문가들이 자신이 위험 관리 전문가라고 주장하지만 이는 사실이 아닌 경우가 많다.
전혀 다른 분야다. 이상적으로 말한다면 보안 위험 관리를 책임지고 있는 사람 가운데 두 가지 모두에 대한 지식이 있을 수는 있다"고 말했다.
본지는 많은 기업들이 실수를 범하는 분야를 파악하기 위해 몇몇 전문가에게 보안 위험관리에서 어떤 실수를 저지르는지 물었다.
제이콥스는 "많은 기업들을 관찰한 바에 따르면, 이들이 보유한 내부 보안 위험 관리 프레임워크에 기대하느니 차라리 동전을 던져 의사결정을 내리는 것이 나을 때가 있다. 동전을 던지면 최소한 50%의 확률은 있기 때문"이라고 말했다.
다음은 가장 많이 저지르는 실수와 의도는 좋은 위험 관리 계획이지만 잘못된 생각에 토대를 두고 있는 것들이다.
1. 제로 상태에서 시작한다.
많은 보안 전문가들이 보안 관리 위험 원칙을 재창조하려는 시도를 한다.
다행히 전문가 의견을 요청해 활용하는 방법, 위험 모델에서의 불확실성 규명 방법 등 위험 분석 작업에 적용할 수 있는 방법들이 있다.
그러나 제이콥스와 로우더는 대부분의 사람들이 이를 정확히 수행하는 방법을 모른다고 지적했다. 그리고 결과적으로 동일한 모델과 동일한 단점을 재창출하게 된다.
제이콥스는 "가장 많이 쓰는 모델은 중요한 것으로 보이는 위험 요소를 고르고, 여기에 점수를 부여한 후, 기본적인 계산을 하거나 매트릭스에 대입하는 것이다. 그러나 그 결과는 바람직하지 않다"고 설명했다. 아이러니하게도, 경험많은 경영자들이 이런 기본적인 방법으로 도출한 결과를 신뢰하지 않는 경우가 있는데, 덕분에 이런 독자적인 프레임워크에 의존하는 기업들이 위기에서 벗어나곤 한다.
2. 감사 부서의 기능을 모방한다.
대형 금융 서비스 업체에서 위험 및 거버넌스를 책임졌으며, IANS의 교수진인 알렉스 후톤은 보안 위험 관리가 감사 부서의 기능을 그대로 복제하는 바람에 제대로 된 보안 위험 관리 프로그램을 구축하지 못하는 경우가 많다고 지적했다.
후톤은 "두 부서간에 유사성이 있긴 하지만, 역할은 크게 다르다"고 강조했다. 감사 부서는 보안 관리 내역을 분석해 어디가 잘못됐는지 파악하는 활동에 중점을 둔다. 그러나 위험 관리 부서는 IT 위험의 발생 빈도와 영향을 예측하는데 중점을 둔다.
또한 감사 부서는 기업이 관리 방법을 이해하도록 지원하는 기능을 수행한다. 반면 위험 관리 부서는 보안 관리 및 관련 프로세스에 대한 투자에서 최선의 결과를 도출하는 방법을 판단하는 기능을 수행한다.
위험 관리 프로그램이 결국 실패로 끝나는 대부분의 기업들을 관찰하면, 어떤 부분을 관리해야 하는지 어떤 부분이 말이 안 되는지 컨설팅을 제공하기보다는 정책을 집행하는 데만 초점을 맞추는 곳이 많다.
그러나 감사 부서는 위험 그 자체를 신경 쓰지 않아도 된다. 또 위험과 자산, 관리, 영향의 전체적인 그림을 바탕으로 위험에 대한 포괄적인 개념을 알리는 기능도 중시하지 않는다. 그러나 보안 위험 관리 부서는 이런 기능들을 중시해야만 한다.
3. 정밀함과 정확성을 융합해 버린다.
많은 보안 전문가는 IT 보안 위험과 취약성을 단순한 숫자로 줄이는데 불안감을 느낀다.
로우더는 "'아마 관련 통계가 없다', '가치를 부여할만한 수치를 계산할 이벤트 관련 데이터가 충분하지 않다'는 말을 많이 들어봤을 것이다. 정밀한 추정치를 제시하는 것과 아주 정확한 수치 범위를 제시하는 것을 혼동하고 있는 것"이라고 말했다.
보안 위험 관리 담당자들은 실천으로 옮길 수 있는 정보를 제공하려면 결과가 좋을지 나쁠지 정확한 확률을 보여주는 수치를 제시해서는 안 된다.
로우더는 "정보를 바탕으로 의사결정을 내릴 수 있도록 정밀한 수치를 제시하기만 하면 된다. 예를 들어 60~90%의 확률이 있음을 보여주는 것만으로도 충분히 자신의 주장을 뒷받침할 수 있다"고 말했다.
4. 위험 등록부를 지나치게 강조한다.
후톤은 많은 기업이 자사가 직면한 위험을 평가할 때 리스트와 순위를 중시하고 있다고 지적했다. 다름아닌 위험 등록부(Risk register)다. 그런데 이것이 잘못된 방향으로 나아갈 수 있다.
위험 등록부를 만들면서 수반되는 문제는 사람들이 언제 이를 중단해야 할지 모른다는 것이다. 예를 들어, 계속해서 위험을 등록하기만 한다. 심지어는 정말 발생 확률이 낮은 위험까지 일일이 등록한다. 상상할 수 있는 모든 동기의 사이버 공격, 심한 경우 데이터센터 지붕에 제트 엔진이 추락할 확률까지 기록을 하는 것이다.
후톤은 "이들은 위험 등록부를 비법같이 유지를 한다. 그러나 정말 발생 확률이 낮은 사건들이고, 이를 줄이기 위해서는 많은 비용을 투자해야 하는 위험들"이라고 말했다.
후톤은 이런 위험 등록부보다는 현실적이 위험을 더 잘 반영하는 위험 노출 등록부를 만들어, 기업이 가장 확률이 높은 위험부터 먼저 경감할 수 있도록 해야 한다고 강조했다.
5. 규정되지 않은 위험 개념을 사용한다.
보안 담당자들은 통상 '저', '중', '고'로 위험과 취약성의 순위를 매기는 방법을 가장 많이 사용한다. 불행히도 이는 문제를 초래할 뿐이다.
도대체 '고', '중', '저'의 의미가 무엇인가? 로우더는 "정량화된 무언가로 보이지만 그렇지 않다"고 단언했다.
예를 들어, 사람들이 사건 발생 빈도나 확률을 정할 때 이를 '고', '중', '저'로 규정해 달라고 요청을 해보기 바란다. 누구도 정확한 의미를 알지 못할 것이다. 결국 제대로 소통을 하지 못하는 문제가 발생한다. 이는 주장을 뒷받침하기 위해 정밀함을 더하려는 것보다도 더 위험한 방법이다.
예를 들어, 위험 발생 확률이 '저'라고 말했다고 가정해보자. 어떤 경영진은 10%의 확률이라고 생각하겠지만, 또 다른 경영진은 33%의 확률이라고 생각할 수도 있다.
로우더는 "아무런 생각없이 숫자를 사용해서는 안 된다. 물론 더 명확한 소통을 위해 수치를 규정하기 원할 것"이라고 말했다.
6. 위험 인텔리전스 프로그램이 없다.
후톤은 "위험 인텔리전스 프로그램이 없다는 것은 아주 큰 실수"라고 말했다.
IT 보안 위험은 위협, 관리, 자산, 영향 등의 네 가지 영역으로 세분화할 수 있다. 그리고 이 가운데 한 가지 조건만 바뀌어도 위험 상태에 영향이 미친다.
불행히도, 현재 보편적인 위험 관리 기준들은 위험 인텔리전스 프로그램 이행 방법을 제대로 설명하지 않고 있다. 또한 이 기능을 크게 중시하지도 않는다. 게다가 제대로 된 인텔리전스 소스를 어떻게 구현해야 하는지, 기업의 위험 상태를 바꿀 수 있는 새 정보를 어떤 방법으로 다뤄야 하는지 설명하지 않는다.
인텔리전스 기능 도입은 생각보다 어렵지 않다. 위험에 영향을 미칠 수 있는 변화를 감시하기만 하면 된다.
후톤은 "예를 들어, 기업에 발생한 변화를 감시하면 된다. 침입 감지/예방 전문가가 퇴사를 했는지, 이 자리를 충원할 인력이 있는지 살피는 것이다. 이는 새 OSX 멜웨어를 발견했을 때와 마찬가지로 위험을 높이는 변화"라고 설명했다. 이런 변화를 조사하지 않고 있다면, 위험을 제대로 관리하지 않고 있는 것이다.
7. 척도에만 치중한다.
로우더는 "척도에만 치중하는 것은 가장 피해야만 하는 실수"라고 강조했다.
보트 경주에서 A, B, C라는 보트가 각각 1, 2, 3 등을 했다고 가정하자. 이 정보만 가지고는 3대의 보트가 레이스를 마치는데 걸린 평균 시간을 계산할 수 없다. 우리는 A보트가 B보트에, B보트가 C보트에 앞섰다는 사실만 알 수 있다.
로우더는 "1, 2, 3등, '고', '중', '저' 등 척도만 파악하거나, 척도 평균만 구했을 때의 치명적인 약점을 금새 알 수 있을 것"이라고 말했다. 척도는 특정 값의 순서만을 규정할 뿐이다. 가치를 정량적으로 말해주지 못한다.
로우더는 "척도 값의 중간 값이 아무런 의미가 없는 이유가 여기에 있다. 마찬가지로, '고', '중', '저'로 위험 관리 요소를 규정해 평균값을 계산하는 것 또한 아무런 의미가 없다"고 지적했다.
위험을 관리하기란 어렵다. 그러나 위험을 잘못 관리하는 것은 안 하느니만 못하다는 사실에 유념해야 한다. 제이콥스는 "잘못된 정보, 프로세스, 계산을 바탕으로 의사결정을 내리게 된다. 이는 상황을 악화시킬 뿐"이라고 강조했다.