지난 7월, 크라우드스트라이크(CrowdStrike)의 결함 있는 소프트웨어 업데이트로 인해 전 세계적으로 IT 시스템이 중단된 사건은 사고 대응 및 비즈니스 연속성 계획의 중요성을 일깨웠다.

이 업데이트로 인해 800만 대 이상의 윈도우 기기가 충돌했고 항공 예약 시스템, 병원 및 정부 서비스, 금융 및 은행 애플리케이션 등 다양한 산업 부문의 시스템이 다운됐다. 이 사건은 전 세계 주요 조직조차 사이버 회복탄력성이 부족하다는 점을 드러냈다.

미국 의회의 일부 의원은 크라우드스트라이크에 보낸 서한에서 이번 사건이 “네트워크 의존성과 관련된 국가 안보 위험에 대한 경고”로 작용했다고 언급했다.

영국의 금융 서비스 규제기관인 금융행위감독청(Financial Conduct Authority, FCA)은 운영 회복력에 투자한 기업이 다른 곳보다 영향을 덜 받았다고 분석했다. FCA는 2024년 10월 사고 분석 보고서에서 “중요한 비즈니스 서비스와 이런 서비스를 제공하는 데 필요한 리소스를 사전에 매핑한 기업은 핵심 서비스를 우선 복구해 전체적인 운영 영향을 줄일 수 있었다. 여러 중요한 비즈니스 서비스가 동시에 영향을 받을 수 있는 시나리오를 테스트한 기업은 더 큰 이점을 얻었다”라고 강조했다.

이와 같은 재난을 방지하기 위해 기업이 실행해야 할 4가지 주요 전략은 다음과 같다.

부서 간 협업 우선

부서 간 협업은 사이버 회복탄력성의 핵심이다. IT, 보안, 운영, 비즈니스 부서가 협력해 위협을 효과적으로 식별, 완화 및 대응할 수 있도록 보장하기 때문이다. 부서 간 협업을 통해 다양한 전문성과 기술을 활용하고 커뮤니케이션을 개선하며, 전략을 조정할 수 있다.

사이버보안 업체 앱솔루트 시큐리티(Absolute Security) CEO 크리스티 와이엇은 “운영 회복탄력성은 팀 스포츠이며, 사이버 회복탄력성도 다르지 않다. 조직 전체에서 사이버 리스크를 논의하고 비즈니스 연속성과 규정을 준수하기 위해 팀 간 파트너십을 형성하는 것이 첫 번째 단계”라고 말했다.

보안 인식 교육 플랫폼 노우비포(KnowBe4)의 보안 인식 전문가 제임스 맥퀴건은 사이버 회복탄력성을 위한 운영 위원회를 설립할 것을 권했다. 운영 위원회에는 사이버보안, 비즈니스 연속성, 위기 관리, 법무팀 등 모든 이해관계자 그룹의 대표를 포함해야 한다. 맥퀴건은 “정기 회의를 통해 재난 복구/비즈니스 연속성, 위기 관리, 리더십, 법무팀의 목표와 새로운 리스크를 논의할 수 있다”라고 설명했다.

맞춤형 사이버 회복탄력성 플레이북

사이버 플레이북은 랜섬웨어 공격, 데이터 유출, 내부자 위협, 피싱 캠페인 등 다양한 사이버 사고에 대응하기 위한 단계별 지침을 제공한다. 이런 지침은 대응 노력을 표준화하고 위기 시 혼란과 중복 작업을 최소화하는 데 도움을 준다.

와이엇은 각 이해관계자 그룹에 맞춘 플레이북 개발을 제안했다. 위험 감지, 주요 제어 기능 배포, 규정 준수, 복구 및 비즈니스 연속성 유지 등 사고 대응에 있어 각 팀이 각기 다른 역할을 수행하고 각 이해관계자 그룹마다 충족해야 할 고유한 요구 사항과 KPI가 있기 때문이다. 예를 들어 와이엇은 “보안팀은 IT 운영팀과 다른 우려 사항을 가지고 있을 수 있다. 따라서 각 그룹에 대해 매우 구체적인 지침과 ROI 혜택을 제공하는 사이버 회복탄력성 플레이북 초안을 작성해야 한다”라고 말했다.

리스크 완화 이후의 복구에 초점 맞추기

보안 사고를 예방, 탐지, 완화하는 것만큼이나 복구하는 능력도 사이버 회복탄력성에서 매우 중요하다. 이를 위해 공식적인 재난 복구 계획을 수립하고 모든 중요한 시스템을 정기적으로 오프사이트에 백업하며, 계획 및 복구 과정을 주기적으로 테스트해야 한다.

비포AI(BforeAI) CEO 루이지 렌구토는 “사이버 복원력을 비즈니스 연속성 계획에 통합하고 전반적인 비즈니스 목표와 일치하도록 해야 한다. 사람들이 계획에 참여하고 연습하도록 해야 한다. 연습하지 않는 것은 실패를 연습하는 것과 같다”라고 조언했다.

기술적인 관점에서 사이버 회복탄력성 역량을 구현하려면 백업 및 복구 시스템 또는 서비스, 이중화 시스템, 내결함성 인프라, 인정적인 페일오버 메커니즘에 투자해야 한다. 또한 적절한 복구 절차와 역할에 대해 직원을 교육하고, 솔루션 제공 업체가 자체적으로 강력한 복구 계획을 가지고 있는지 확인하는 것도 포함된다. 렌구토는 “사이버 회복탄력성이란 공격에서 회복할 수 있는 능력, 즉 연속성을 유지하는 능력”이라고 강조했다.

와이엇은 하이브리드 근무 환경을 고려해 다운타임을 최소화하고 신속한 복구를 보장하는 프로세스를 개발해야 한다고 강조했다. 원격 복구 기능을 포함해 테이블탑 연습도 끝까지 진행해야 한다. 기업의 운영 능력과 평판 손상을 방지하는 것은 원격 근무자를 안전하게 온라인에 복귀시키는 데 달렸다. 공급망에 포함된 모든 구성원이 제 역할을 다하고 있는지 확인하는 것도 필수다.

와이엇은 “항상 가동할 수 있고 운영 상태를 유지할 수 있는 애플리케이션을 선택, 배포, 테스트하라. 엄격한 규정 준수 점검과 회복탄력성 조치는 공급업체 관리 프로세스에 통합돼야 한다”라고 덧붙였다.

맥퀴건은 테스트의 중요성을 강조하며, 비즈니스 연속성 계획을 정기적으로 개발하고 테스트해야 한다고 말했다. 예를 들면, 분기별로 백업 테스트를 수행해 실패 시 백업이 실제로 사용 가능한 상태인지 확인하는 방법도 있다.

사이버 회복탄력성 ROI를 설득력 있게 제시하기

오늘날 우리 사회는 리스크 관리에 점점 더 집중하면서 사이버 리스크에 대한 이해와 대응 능력을 높이고 있다. 그럼에도 불구하고 실제로 위기 상황이 발생하면 광범위한 운영 회복탄력성은 논의의 중심에 있지 않다고 와이엇은 지적했다.

외부 전문가를 초청해 이전 사건 사례를 분석하고 다양한 영향 범위를 세분화해 이사회의 참여를 유도해야 한다. 와이엇은 “최근 조사에 따르면 기업 11곳 중 단 1곳만이 랜섬웨어 몸값을 지불했으며, 랜섬을 지불한 경우에도 그 비용은 전체 사건 비용의 32% 미만에 불과했다”라고 말했다.

이어 내부 시스템 운영 중단, 주문 처리 불가, 고객과의 소통 차단 등은 기업의 평판과 재무 상태에 장기적인 악영향을 미칠 수 있다며 “공격 그 자체보다도 사건 발생 후 어떻게 복구하느냐가 전체 비용에 훨씬 더 큰 영향을 미친다”라고 덧붙였다.

컨트라스트 시큐리티(Contrast Security) CTO 제프 윌리엄스는 사이버 회복탄력성 투자의 ROI를 재무적 효과로만 판단하는 것은 보안 책임자가 범하는 흔한 실수라고 지적했다. 이들은 종종 보안 투자의 가치를 입증하기 위해 침해 방지 비용을 천문학적인 수치로 추정하곤 한다. 하지만 윌리엄스는 “이런 수치는 비즈니스 리더와 이사회가 외면하기 쉽다”라고 말했다.

윌리엄스는 “보안 취약성을 포함한 소프트웨어 결함에 무과실 책임을 부과하는 새로운 EU 제조물 책임 지침 같은 법적 요건과 비용 절감에 훨씬 더 민감하게 반응한다. 따라서 소프트웨어 개발 가속화와 혁신 개선과 같은 실질적인 지표에 집중하는 것이 좋다”라고 조언했다.

데이터와 스토리를 모두 활용해도 도움이 된다. 월리엄스는 “너무 많은 리더가 정책, 취약성 비율, 평균 복구 시간, 다운타임 등에 관한 건조하고 추상적인 차트에 의존한다. 데이터는 중요하지만, 데이터를 실제적이고 설득력 있게 만드는 스토리가 필수다”라고 강조했다. 이 스토리를 통해 추진 중인 이니셔티브에 대한 지지를 얻어야 한다.

고객 신뢰를 유지하는 것의 중요성도 강조할 필요가 있다. 렌구토는 법률 및 규제 요구사항 준수의 필요성을 언급하고, 사이버 공격으로 인한 다운타임이 브랜드에 미칠 잠재적인 영향과 평판 손실 비용도 명확히 설명해야 한다며 “어떤 사이버 보험도 손상된 브랜드 가치를 복구할 수는 없다”라고 경고했다.
dl-itworldkorea@foundryco.com