기업은 사이버 공격에 대비해, 사고 발생 시 어떤 순서로 어떻게 대응할지를 정리한 사고 대응 계획을 보통 문서 형태로 마련해 둔다. 이 계획은 조직이 사이버 위협에 체계적으로 대응할 수 있도록 돕는 핵심 수단이다. 그러나 다양한 공격 시나리오에 따른 대응 조치를 상세히 담고 있는 이러한 계획도, 많은 경우 기술적인 요소에만 집중하는 경향이 있다.
리눅스재단의 최고 보안 아키텍트인 크리스토퍼 로빈슨은 “이런 계획안은 엔지니어와 기술자들이 작성하기 때문에 ‘이걸 연결하거나 끊어야 한다’거나 ‘이런 수정을 적용해야 한다’는 식의 기술적 대응에 초점이 맞춰져 있다”고 설명했다.
하지만 사이버 사고에 대응하는 데 중요한 요소인 보안팀 조직, 조직 내 주요 이해관계자와의 협업, 리더십 역량 발휘 등은 실제 상황이 벌어지기 전까지 종종 간과된다.
사이버 위기 상황에서 최고정보보안책임자(CISO)의 리더십은 기업 피해를 최소화하는 데 결정적인 역할을 할 수 있다. 다음은 실제로 심각한 보안 사고를 겪은 보안 전문가와 CISO들이 현장에서 얻은 교훈을 정리한 내용이다. 일반적인 사건 대응 계획에는 포함되지 않지만, 위기 상황에서 효과적으로 리더십을 발휘하기 위해 꼭 필요한 전략들이다.
1. 권한과 의사결정 책임을 명확히 정리하라
사이버 위기 상황에서 CISO가 주도권을 쥐기 위해서는, 그가 대응을 이끄는 핵심 리더라는 사실이 명확히 정의돼 있어야 한다. 자명한 이야기처럼 보이지만, 실제 상황에서는 혼선이 생기기 쉽다.
MDR 특화 보안 기업 이센타이어(eSentire)의 CISO인 그렉 크로울리는 “과거 사고 중에는 역할과 책임이 사전에 명확히 정리되지 않아 혼란이 발생한 경우가 있었다. 위기 상황에서는 누가 책임자인지를 확실히 알아야 한다”라고 말했다.
크로울리는 전체 조직 구조와 리더십 체계를 사전에 상세히 문서화해야 한다고 강조했다. 그는 “모든 경영진과 팀원들의 역할과 책임, 그리고 CISO가 전체 보안 대응을 총괄한다는 점을 명확히 해야 한다”라며 “단, 최고경영자(CEO)는 최종 결정권을 가질 수 있어야 한다”라고 언급했다.
뉴렐릭(New Relic)의 정보보안 부사장이자 CISO인 에스테반 구티에레즈는 대응 계획에서는 ‘무엇을 해야 하는지’는 비교적 잘 정리하는 반면, ‘누가 어떤 의사결정을 내릴 것인지’는 명확하지 않은 경우가 많다고 지적했다. 특히 고객에게 사고 영향을 알리는 것처럼 민감한 사안일수록 이러한 부분이 더 부족하다고 설명했다.
구티에레즈는 “누가 어떤 종류의 결정을 내리는지, 또 그 책임이 누구에게 있는지를 명확히 정해 두어야 한다”라고 조언했다.
2. 모의훈련으로 위기 대응 감각과 인내심을 키워라
위기 상황에서 권한만 있어서는 소용없다. 구성원의 신뢰와 협력이 따라야 한다. 이는 보안팀을 넘어 조직 전체가 해당된다. 많은 이들이 간과하는 부분이기도 하다.
IT 서비스 및 소프트웨어 개발 기업 베이어스데브(BairesDev)의 CISO인 파블로 리볼디는 “사이버 공격 시 직원의 역할은 종종 무시된다. 위기 상황에서 직원이 자신의 역할을 모르고 있으면 혼란이 커질 수 있다”라고 전했다. 그는 정기적인 모의훈련과 시나리오 기반 연습을 통해 전사적인 준비와 자신감을 키워야 한다고 조언했다.
트렌드마이크로(Trend Micro)의 세일즈 엔지니어링 디렉터인 제임스 응우이도 감정적으로 몰입할 수 있는 실제 같은 시뮬레이션 훈련을 권장했다. 그는 “보안 사고 중에 받는 스트레스와 압박은 팀의 대응력에 부정적인 영향을 줄 수 있다”라고 “사건 대응 계획에 정신 건강 지원 리소스를 포함하고, 스트레스 관리 및 압박 속 의사결정 훈련을 제공해야 한다”라고 설명했다.
시스코에서 CX 보안 부문 부사장을 맡고 있는 래리 리즈도 모의훈련의 필요성을 강조했다. 그는 “직원들이 평소와 다른 시각에서 문제를 바라보게 하는 데 탁월한 도구”라고 말했다.
리즈는 과거 회사에서 독감 기반 팬데믹 상황을 주제로 한 시뮬레이션을 주도했으며, 이 훈련이 실제 코로나19 팬데믹 당시 큰 도움이 됐다고 전했다. 그는 “당시 가정이 완벽하진 않았지만, 덕분에 재택근무 체계와 업무 연속성을 빠르게 구축할 수 있었다”라고 설명했다.
리즈는 기술팀과 경영진을 포함한 조직 전 계층이 모의훈련에 참여해야 한다고 밝혔다. 특히 기술팀은 한 방에, 경영진은 다른 방에 따로 배치해, 서로의 결정을 기다려야 다음 단계를 진행할 수 있도록 설계하는 복합 시나리오를 제안했다.
그는 “보안 사고 발생 시 경영진이 어려워하는 부분이 ‘기다리는 일’이다. 사건에는 수많은 미지의 요소가 있고, 이를 분석하는 데 시간이 걸린다. 이때 경영진에게 필요한 것은 침착하게 다음 업데이트를 기다리는 자세”라고 설명했다.
로빈슨도 LLM 기반 오픈소스 프로젝트를 중심으로 시뮬레이션을 진행하고 있다고 밝혔다. 그는 “사고가 발생했을 때 필요한 용어와 절차에 익숙해지도록 평소에 준비해야 한다”라며 “적어도 ‘빨간 전화’가 울릴 때 무엇을 해야 할지 감을 잡을 수 있게 된다”라고 말했다.
3. 침착함이 위기 속 리더십을 만든다
사이버 공격 상황에서 침착함을 유지하는 것은 결코 쉽지 않지만, 최고의 대응을 위해 반드시 필요한 역량이라고 뉴렐릭의 정보보안 부사장이자 CISO인 에스테반 구티에레즈는 설명했다. 구티에레즈는 “사고 상황에서는 격한 감정과 즉각적인 반응이 뒤섞인다”고 설명했다.
그는 과거 일부 순간에 감정을 주체하지 못했던 경험도 있었지만, 전반적으로 사이버 위기 속에서도 침착함을 유지해 왔으며 이를 자랑스럽게 여긴다고 전했다. 위기 상황에서 리더가 침착한 태도를 보이면, 구성원의 감정과 행동에도 긍정적인 영향을 미친다.
구티에레즈는 “이런 태도는 팀뿐 아니라 경영진, 조직의 다른 이해관계자, 이사회, 심지어 고객에게도 신뢰를 줄 수 있다”고 설명했다.
이센타이어의 크로울리는 또 하나의 실수로, 기술적인 세부사항에 과도하게 몰입하는 점을 지적했다. 그는 “CISO는 사건 대응 과정에서 키보드를 직접 다루는 사람이 되어선 안 된다. 실제 대응은 팀원에게 맡겨야 한다”라고 밝혔다.
크로울리는 CISO의 역할을 전장을 조망하는 군사 리더에 비유했다. 그는 “CISO는 전체 상황을 이끄는 침착한 리더가 돼야 한다. 팀을 이끌고 전략을 수립하며, 외부 지원을 유치하고 장애물을 제거하고, 질문에 답하고, 정보를 전달하는 데 집중해야 한다”라고 말했다. 그러면서 사이버 보안 사고는 ‘전장의 안개’처럼 불확실성과 혼란이 가득하다고 표현했다.
4. 팀을 신뢰하되 외부의 도움을 주저하지 말라
위기 상황에서 CISO는 모든 일을 스스로 해결해야 한다는 압박감에 빠질 수 있다. 크로울리는 “CISO가 ‘이게 내 역할이니까 내가 해결해야 한다’는 부담을 스스로 짊어지는 경우가 많다”라고 설명했다.
물론 각 기업의 보안 자원은 다르지만, 대부분의 조직은 내부 인력만으로는 사이버 사고를 완벽히 해결할 수 없다. 필요한 순간에 외부의 도움을 구할 수 있는 겸손함이 필요하다.
크로울리는 “사고 이후 되돌아보면, 외부 법률 자문이나 사고 대응 전문가를 부르지 않아 비용을 아꼈다는 사실은 아무도 기억하지 않는다. 오히려 그 지원이 회사를 구했을 수도 있다”라고 말했다.
5. 전사 신뢰 구축으로 협업의 길을 열어라
트렌드마이크로의 세일즈 엔지니어링 디렉터 제임스 응우이는 사이버 공격 상황에서 직원 참여를 유도하려면, 상대방이 이해할 수 있는 언어로 소통해야 한다고 강조했다. 그는 보안 책임자나 기술 리더가 사용하는 전문 용어는 일반 직원에게는 너무 어려워서 소통에 장벽이 된다고 설명했다.
응우이는 “보안팀은 복잡한 보안 사건을 비기술적인 사람도 이해할 수 있도록, 명확하고 실행 가능한 비즈니스 영향으로 설명할 수 있어야 한다. 그래야 경영진과 이해관계자가 상황을 제대로 파악하고 적절한 결정을 내릴 수 있다”고 전했다.
구성원과의 협업이 원활해지려면 평소에 관계를 잘 쌓아두는 것이 중요하다. 구티에레즈는 보안팀이 사건 대응에는 능숙하지만, 조직의 인프라나 제품, 서비스에 대해서는 다른 팀의 전문 지식이 필요하다고 설명했다. 그는 “이럴 때는 마케팅, 영업, 재무 등 다양한 부서의 동료들이 가진 역량이 필요하다”고 언급했다.
구티에레즈는 이러한 격차를 해소하기 위해 사전에 다른 부서와 긴밀한 협업 관계를 구축해야 한다고 조언했다. 뉴렐릭에서는 대응팀이 엔지니어링 부서와 특히 협업을 많이 했고, 사고 발생 시 데이터 분석을 통해 신속히 문제를 파악할 수 있었다.
구티에레즈는 “사전에 신뢰가 쌓인 덕분에 일이 훨씬 수월했다. 상대방이 이미 상황을 이해하고 있어서 설명이 필요 없었고, 반발도 거의 없었다. 필요한 시간과 역량을 바로 확보할 수 있었다”라고 설명했다.
크로울리는 CISO가 다양한 이해관계자와 유대감을 쌓기 위해 전략적인 소통 채널을 활용할 것을 권장했다. 예를 들어 이사회와는 반기별 보안 업데이트를 통해 정기적으로 접점을 만들 수 있다. 그는 이런 활동이 사이버 공격 발생 시 협업을 끌어낼 수 있는 신뢰와 이해 기반이 된다고 강조했다.
크로울리는 “위기가 발생했을 때, 상대방이 나를 알고 내가 그들을 알고 있어야 한다. 어떻게 소통해야 하는지, 어떤 질문이 나올지를 이미 파악하고 있어야 한다. 그리고 자신이 책임자라는 인식도 사전에 공유돼 있어야 한다”며 “그래야 상대방도 불안해하지 않는다”고 말했다.
6. 책임은 말이 아닌 행동으로 보여줘야 한다
IDC 아시아의 수석 리서치 매니저인 삭시 그로버는 사이버 공격을 겪은 조직에게 책임 공방은 피하고, CISO가 주도적으로 대응에 나서야 한다고 조언했다. 그는 “사람들은 보통 책임을 지는 경영진의 모습을 보고 싶어 한다”라고 설명했다.
소프트웨어 개발 및 컨설팅 기업 소프트서브(SoftServe)의 CISO인 아드리얀 파블리케비치는 이 같은 견해에 동의하며 실제 사례를 소개했다. 소프트서브는 한 직원이 피싱 공격에 속은 뒤, 랜섬웨어 공격을 받은 바 있다. 공격자는 내부로 침투한 뒤 횡단 이동을 통해 관리 계정을 탈취하고, 가상머신을 암호화했다.
공격이 고객에게까지 영향을 미치자, 파블리케비치는 곧바로 고객 보안팀과 만나 사고 진행 상황, 조사 결과, 복구 과정 등을 지속적으로 공유했다. 그는 “사건 대응 전 과정을 투명하게 공개하고 책임지는 자세를 취한 것은 소프트서브가 중시하는 보안 철학의 일부”라며 “이런 접근 방식은 이해관계자와의 신뢰를 강화하는 데 효과적이었다”라고 표현했다.
랜섬웨어 공격 이후 소프트서브는 전체 보안 통제를 점검하고 감사를 진행했다. 이를 통해 개인 및 고객 데이터를 저장·공유하는 방식이 개선됐고, 전사 대상 보안 및 개인정보 보호 교육도 새롭게 마련됐다. 파블리케비치는 사고를 야기하거나 확산시킨 근본 원인을 해결하는 것이 무엇보다 중요하다고 언급했다. 단, 이는 책임 전가가 아닌 실질적인 개선을 통해 이뤄져야 한다고 덧붙였다.
그로버는 CISO가 아무리 최선을 다하더라도, 사이버 사고는 결국 기업의 평판에 타격을 준다고 지적했다. 신뢰를 회복하는 과정은 쉽지 않지만 반드시 필요한 절차라고 강조했다. 그는 “올바른 방향으로 모든 필요한 조치를 취하면, 브랜드 이미지를 다시 회복할 수 있다”고 말하며, 이 과정에서 전문 홍보 대행사나 컨설팅 기업의 도움을 받는 것도 고려할 수 있다고 전했다.
또한 CISO는 이사회와의 소통에 특히 신경 써야 한다고 강조했다. 이사회는 향후 보안 제품이나 서비스에 대한 투자 방향에 직접적인 영향을 미칠 수 있기 때문이다. 그로버는 “이사회에 명확하게 보고해야 한다. 침해 원인은 무엇이었는지, 어떤 교훈을 얻었는지, 그리고 어떻게 책임을 수용했는지를 분명히 전달해야 한다”라며 “이런 과정을 통해 CISO는 점차적으로 신뢰를 회복하고, 리더로서의 입지를 다시 굳힐 수 있다”라고 말했다.
[email protected]
Leave a Reply