- 2일 전
관련기사 : https://www.dt.co.kr/article/12030101
카테고리
🗞
뉴스트랜스크립트
00:00네 안녕하세요. 오펜시브 사이버보안 전문기업 퓨리의 대표를 맡고 있는 박세준이라고 합니다.
00:06아마 오늘 책자에 나간 자료는 AI 해킹 이거에 적혀있어서 조금 다른데 하실 수 있는데요.
00:12원래는 제가 최근 개인적으로도 화이트 해커로서 기술도 하고 연구도 하다 보니까
00:17AI를 어떻게 하면 사이버보안 시대, 디지털 리스크 시대에 접목할 수 있을까 이런 연구들을 좀 많이 하고 있습니다.
00:23그래서 그 주제로 발표를 할까 하다가 어쨌든 또 오늘의 핵심 주제가 ESG인데
00:28저도 어떻게 보면 해커지만 회사를 또 경영하고 있는 경영자의 입장에서
00:33ESG와 사이버보안의 그런 교집합에서 어떤 일들이 있고 어떤 고민들을 해야 될까 고민을 하다 보니까
00:39새로운 주제로 발표를 하게 됐습니다. 그래서 아마 이 발표 장표는 그쪽이 없을 텐데
00:43그래서 화면을 봐주시면 감사하겠습니다.
00:46오늘은 이제 공격자 관점의 모이 해킹이 어떻게 ESG를 검증하는 데 있어서
00:50가장 좀 현실적인 방법일까에 대한 이야기입니다.
00:53ESG는 앞서서 많이 소개해 주셨지만 기업의 지속 가능성을 평가하는
00:58가장 중요한 기준 중 하나가 되었습니다.
01:01하지만 소셜, 사회적 책임과 그 다음에 가버넌스라고 하는 지배 구조가
01:06여전히 서류, 그리고 인증, 그리고 선언 중심입니다.
01:09우리가 이렇게 하겠다, 이렇게 하고 있다라고 하는
01:11좀 어떻게 보면 페이퍼상의 그런 약속들인 것이죠.
01:15그래서 오늘 발표의 핵심 메시지는 단 하나입니다.
01:18ESG는 더 이상 약속의 영역이 아니라 실제로 검증을 해야 되는 시대가 되었고
01:22또 이런 디지털 시대에서 이 검증을 가장 현실적으로 우리가 수행하는 방법 중 하나가
01:27공격자 관점에서의 모이 해킹이다라고 좀 주장을 하고 싶습니다.
01:34ESG 평가가 점점 강화되면서 기업들은 단순히 정책을 우리가 보유하고 있다
01:39라고 해서 높은 평가를 받을 수가 없는 상황이 되었습니다.
01:43서류와 인증 중심의 그런 ESG 평가에서 실증 기반 평가로 이동하는 패러다임의 변화가 일어나고 있고요.
01:49주요 ESG 평가 기관 MSCI라든지 SNP라든지 KCBS 이런 곳들에서는
01:54이미 정보보호와 개인정보보호안 이런 핵심 평가 지표로 사용을 하고 있습니다.
01:59특히 ESG에서 S와 G 같은 경우에 사실 사이버보안에서 E는 조금 고려하기는 어렵다고 판단을 내렸고
02:05S와 G를 좀 중력적으로 볼 건데요.
02:08둘 다 사이버보안과 직결되는 영역이 있다고 생각을 합니다.
02:10특히 소셜 같은 경우에는 고객의 신뢰성, 고객으로부터의 신뢰
02:14그리고 개인정보보안, 데이터보호 이런 영역이 밀접하게 연관이 되어 있고
02:19가브라이언스 같은 경우에는 우리가 리스크관리, 내부통제, 사고대응역량
02:24이런 부분들 그런 지배구조적에서 볼 수밖에 없는 고민들을 같이 하게 되는 것 같습니다.
02:29여기서 중요한 부분은 사이버사고는 단순한 재무적 손실을 넘어서서
02:33이제는 신용등급, 주가 이런 직접적인 충격을 준다라는 것입니다.
02:37그래서 2024년 글로벌 평균 데이터 유출 비용이 488만 달러
02:41한화로 요즘 환율도 올라가지고 한 70억 정도가 되는데
02:44이거는 평균입니다.
02:46그래서 회사가 클수록 아까도 소개해 주셨지만
02:48최근에는 과징금부터 실제 피해 사례들이 천문학적으로 늘어나고 있는 추세입니다.
02:54그래서 이는 단순히 사고가 그냥 한 번 나고 끝나는 문제가 아니라
02:57ESG 평가의 하락으로 이어지고 그게 투자자의 신뢰의 하락으로도 이어지면서
03:01결국엔 기업 가치의 하락으로도 이어진다는 점입니다.
03:04결국 ESG 안에서 S와 G는 사이버 보안이라고 하는 토대 위에 서있는 개념이라고 볼 수 있을 것 같습니다.
03:14네, 그러면 왜 지금 검증 기반의 ESG가 중요해졌을까를 좀 생각을 해보면요.
03:19전세계, 이것도 사실 조금 전에 설명해 주셨던 부분인데
03:22전세계 규제 환경이 빠르게 변화하고 있습니다.
03:25되게 많은 프레임워크들과 또 규제들이 있는데
03:28가이드라인들도 있고요.
03:30리스트의 CSF, 사이버 스크리티 프레임워크 2.0이 나오면서
03:33어떤 부분이 바뀌었냐면 기존의 다섯 개 기능
03:36그러니까 탐지하고, 보호하고, 또 탐지하고, 아니면
03:40이제 대응하고, 그리고 복원하고
03:44이런 기존의 다섯 개 기능에서 가버넌스가 추가가 되면서
03:48가버넌 펑션이 추가가 되었습니다.
03:51그래서 어떻게 보면 가버넌스 중심 보안을 공식화한 첫 글로벌 프레임워크이기도 하고요.
03:55그리고 미국의 SEC는 조금 전에 소개해 주셨듯이
03:58사이버 사고가 발생해서 중대성이 있다고 판단을 하면
04:01다 영업일 이내에 홈8-K 공식의 의무가 부과가 됩니다.
04:06조금 흥미로운 점은 발생일 기준, 또는 침해 사실을 인지한 기준이 아니라
04:11중대성 판단 시점의 기준입니다.
04:13즉, 이게 우리가 정말로 어느 정도의 선을 넘는 중대한 사고라고 인지하고
04:18평가한 이후에 그런 공식의 의무를 지켜야 될지 안 지켜야 될지 결정을 해야 된다는 얘기죠.
04:23그러려면 어떻게 보면 리스크 산정을 할 수 있어야 되고요.
04:26그래서 이런 보고 체계 자체가 법적 요구사항이 되어가는 과정이 있습니다.
04:31EU에서도 NIS2라든지 아니면 도라 같은 것들을 통해서
04:35훨씬 더 넓은 업종이나 이런 것들의 의무가 강화되고 있고
04:39또 금융권 대상으로 했을 때 TLPT라고 해서 Threat-led, 결국에는 위협 중심적으로 정말로
04:46그러니까 페이퍼상으로의 이런 것들을 잘했니, 비밀번호 잘 관리하고 있니 정도가 아니라
04:50실제로 위협이 발생할 수 있는 것들을 테스트를 했고
04:53그 결과가 어땠는지를 보고하는 그런 의무가 발생을 했습니다.
04:59이 모든 변화의 방향성은 한 가지를 가리키고 있는 것 같습니다.
05:02보안은 선언이 아니라 결국은 검증 가능한 행동과 결과로 평가되기 시작했다는 것이죠.
05:07그리고 이러한 실전 검증이 없으면 실제로 저희 같은 경우에는 회사에서도
05:11많은 고객사들이 세 가지 부류가 있는데
05:13첫 번째는 만들 때, 설계할 때부터 저희와 함께해서 안전한 시스템을 만드는 고객들이 있고
05:19두 번째가 가장 많은 부류인데 이미 다 만들었거나 이미 운영을 하고 있는데
05:23이제 조금 쫄리는 거죠.
05:25이게 우리 해킹당하면 어떡하지? 우리는 정말 안전한 게 맞나?
05:27이런 보안 검사, 검수를 하는 역할이 있고
05:31마지막이 가장 안타깝지만 첫 번째보다는 많은 사례인
05:34이미 사고가 일어난 이후에 도움을 요청하시는 경우인데
05:38이제 이런 사고 조사들을 하다 보면
05:40이런 실전 검증들을 기존에 하지 않았다라는 부분들을 확인할 수 있습니다.
05:45실제로 침해 사고가 발생했을 때 대응이 어렵게 됩니다.
05:47이런 검증을 하지 않으면.
05:50그래서 ESG에서 S와 G가 둘 다 사이버 보안과 연결되어 있다는 점을
05:54좀 시각적으로 표현을 해봤는데
05:55조금 전에 말씀드렸던 대로 고객 데이터 보호나 프라이버시, 그리고 신뢰성,
05:59그리고 리스크 관리 체계와 내부 통제, 그리고 보고와 의사 결정 프로세스
06:03이런 것들이 한 번에 잘 융합이 되고 그 교차점에 사이버 보안이 있습니다.
06:08그래서 종이 위에서의 ESG는 저희가 한계가 매우 명확하고
06:12이런 인증, 아까 소개해 주셨던 ISO 27000일이나 한국에서의 ISMS 인증
06:17이런 것들이 있다고 하더라도 공격자는 사실 크게 개의치 않아요.
06:21여기 인증이 있으니까 여기 해킹하기 어려우니까 하지 말아야지가 아니라
06:23목적과 목표가 분명하다면 개의치 않고 대상을 침투할 수 있는
06:28그런 취약점과 공격 페일로드를 연구하고 또 사용합니다.
06:32그래서 이 정책이 로그4J 또는 이반티 익스포이 같은
06:35실제로 이런 크고 작은 사고들에서 계속 활용되고 있는
06:38공격을 막을 수 있는가와 같은 질문을 하지 않습니다.
06:41공격자는 가능한 공격 패턴을 찾아서 침투하게 됩니다.
06:45그래서 ESG에서의 그 S와 G는 전부 어떻게 보면 실제로 공격을 막을 수 있는가 없는가
06:51로 기결이 되게 됩니다.
06:53이제 본격적으로 핵심 주제인 오펜시브 스크리티
06:56공격자 관점에서의 보안을 좀 설명을 드리려고 하는데요.
06:59공격자 관점의 보안은 단순히 취약점을 찾는 것에서 국한되지 않습니다.
07:03공격자의 속도, 공격자의 사고 방식, 그리고 그들이 사용하는 방법과 기술
07:08이런 것들을 적극적으로 활용하고 묘사함으로써 조직을 평가하게 됩니다.
07:13그래서 펜테스팅이라고 하는 페네트리션 테스팅의 약자인데
07:16모의 해킹, 실제로 해킹을 해보는 거예요.
07:19당연히 저희가 해킹을 해서 피해를 입히려고 하는 목적이 아니라
07:21어떤 취약점들이 있고 실제 공격 시나리오들, 해커들이 사용하는 방식들
07:26이런 것들을 가지고 기반으로 침투를 하게 됩니다.
07:28그리고 그 과정 속에서 모여지는 텔레메트리, 그리고 맵핑을 하게 되는데
07:32공격 행동들을 관측하고 그 안에서 로그되고 있는 로깅들과
07:36또 데이터들, 그리고 그런 흔적들이 무엇이 있는지 보고
07:39이제 마이터에서 낸 어택이라고 하는 프레임워크가 있는데
07:42공격자들의 그런 프로세스를 어느 정도 좀 규격화해 놓은 영역입니다.
07:46이 각각의 규격화된 스텝들에서 프로세스에서 우리가 잘 검증하고 있는지를 하나하나 보게 됩니다.
07:52그리고 사실 이 세 번째는 저희가 많이 하지는 않는데요.
07:56앞으로 많이 바뀔 거라고 생각하는 것 중에 하나가
07:58실제로 저희가 대기업들, 저희 고객사 중에는 작은 기업도 있고
08:02중소기업도 있고 스타트업도 있고 대기업도 있는데
08:04대기업과 글로벌 기업들 같은 경우에는 확실히 이런 부분들도 요구를 하세요.
08:08그래서 우리가 취약한 거 알겠고
08:10이런 부분들 고쳐야 되는 것도 알겠고
08:12어떻게 고쳐야 되는지 알겠는데
08:13이게 그래서 우리의 전반적인 기업 가치와 비즈니스 임팩트
08:17ESG 임팩트는 어떤 것들이 있습니까? 라고 물어보세요.
08:20최종적으로는 결국에는 ESG 관점에서의 리스크로 변환을 해서
08:22설명을 드려야 되는 부분들도 발생을 하고 있습니다.
08:26이 방식의 목표는 명확합니다.
08:28정책의 유효성, 실제로 이게 말이 되는 정책이야를 넘어서서서
08:32결국엔 방어의 현실성, 정말로 공격이 들어왔을 때
08:34이런 정책들이, 아니면 기술들이 정말로 잘 되고 있는지
08:37현실성을 입증하는 부분입니다.
08:40산출물로는 이런 것들이 있습니다.
08:42그래서 우리가 조직의 공격을 당한다고 치면
08:44어떤 경로를 통해서 침투를 당할 수 있는지에 대한 내용
08:47그리고 그 과정에서 공격자가 악용할 수 있는 것들이 어떤 것들이 있는지
08:51그리고 그게 어떤 영향도를 끼치는지
08:53그리고 우리가 그걸 개선했을 때 ROI는 어떤지
08:56이런 것들을 계산하게 됩니다.
08:57그래서 다음은 소셜 영역을 공격자 관점에서 실증하는 하나의 예시인데요.
09:05대표 시나리오는 고객 데이터 침해, PII 유출 시나리오입니다.
09:09여기에서는 측정 지표를 한 4개 정도 제가 적어봤는데
09:11상황이나 조직에 따라서 더 추가하거나 변경될 수는 있습니다.
09:14그래서 첫 번째로 저희가 좀 보는 것들은 개인정보 공격자가 개인정보에 접근하거나
09:20유출하려고 했을 때 그런 발생한 이벤트들 중에서 방어 시스템이나 정책이
09:25성공적으로 차단한 비율, 즉 PII 접근 추출 시도 대비 막은 비율입니다.
09:30접근 제어 솔루션들이나 DLP 솔루션들 또는 정책들이 실제로 이런 공격의 시도들을
09:35막았는지를 좀 확인을 하게 되고요.
09:37그리고 데이터 분류 정확도와 또 암호화 커버리지입니다.
09:40우리가 무분별하게 모든 데이터를 암호화할 수 없고요.
09:42그리고 비율성들 때문에 결국엔 우리가 분류를 해야 됩니다.
09:45어떤 데이터들은 공개가 돼도 되는 정보들이 있고
09:47어떤 정보들은 너무 민감해서 항상 암호화 돼서 보관되어야 되고
09:51권한도 항상 되게 철저하게 관리가 돼야 되는 부분이 있는데
09:54그런 민감 데이터가 올바르게 분류되었고 또 암호화 되었는지를 확인하게 되고요.
09:59그 다음 MTTD, MTTI는 Mean Time to Detect와 Mean Time to Isolate의 약자입니다.
10:04평균 탐지 시간, 어떤 치매가 일어났을 때 우리가 얼마나 빠르게 탐지할 수 있고
10:08또 탐지가 인식됐을 때 얼마나 치매가 당한 시스템을 격리시켰는가 빠르게
10:14이런 것들을 이제 확인을 하게 되고요.
10:17그 다음에 고객 영향 추정, 결국에는 아까도 설명해 주셨지만
10:20그냥 우리가 해킹을 당했다고 해서 데이터가 나가고 끝나는 것이 아니라
10:23고객들에게 통지도 해야 되고 또 과증금의 이슈도 있고
10:26또 고객의 이탈율이라든지 신뢰 하락 이런 것들도 같이 계산을 해야 하게 됩니다.
10:30그래서 ESG에서 S는 곧 신뢰이기 때문에 고객의 데이터가 침해가 되면
10:35기업은 수년간에 또 걸쳐서 신뢰를 회복을 해야 되고
10:37브랜드 가치, 매출과도 직접적인 타격이 발생하게 됩니다.
10:42궁극적으로 저희가 좀 제안하고 실제로 해보는 것까지 뭐가 있냐면
10:45보도자료 시뮬레이션까지 해야 돼요.
10:47어떤 식으로 우리가 PR 대응을 해야 기업들이 또 아니면 정부가
10:51아니면 또 고객들이 어떻게 받아들일까 이런 것들을 미리 검증해 보는 것이 중요합니다.
10:56그래서 최근 이런 크고 작은 침해 사고들을 겪으면서
11:00저희가 도와드리면서 또 확인할 수 있었던 부분은
11:03이 S 리스크가 그냥 단순히 신뢰뿐만이 아니라
11:05빠르게 재무적 리스크로도 변환이 된다라는 점이었습니다.
11:10가버넌스는 ESG 중에서도 점점 더 강조되는 영역이라고 생각을 하는데요.
11:14여기서는 가버넌스 실증 대표 시나리오인 랜섬웨어가 당했을 때를
11:18좀 가정해보도록 하겠습니다.
11:20보통 랜섬웨어는 액티브 디렉토리라고 하는 시스템까지 같이 장악을 하게 되는데요.
11:24측정 지표는 이런 것들이 있을 것 같습니다.
11:27BCP, DR이라고 하는 비즈니스 컨티뉴티 플랜
11:29결국엔 업무 연속성 계획과 그다음에 디제스트 리커버리
11:32어떤 사고가 일었을 때 불이 났을 때 아니면 침해를 당했을 때
11:36얼마나 빨리 우리가 재해복구를 할 수 있는지
11:38단점에서 RTO, RPO 달성률을 계산하게 됩니다.
11:42되게 축약어들이 많은데
11:44RTO는 리커버리 타임 오브젝티브라고 해서
11:46얼마나 빨리 우리가 복구를 할 수 있는지를 목표를 정해놓고
11:50달성했는지 안 했는지를 결정하게 되고요.
11:52RPO는 리커버리 포인트 오브젝티브라고 해서
11:55우리가 얼마나 자주 백업들을 해서 사고가 나더라도
11:58최대로 우리가 손실을 하는 데이터의 양이나 시간이 얼마 되는지
12:02그런 것들을 보장할 수 있는 데이터 손실 허용치를 의미하게 됩니다.
12:06그래서 특히 백업 같은 경우에는
12:08저희가 우리 백업 해놨으니까 괜찮아.
12:10존재의 여부가 아니라 실제로 복구가 가능한 상태인지
12:13얼마나 빨리 가능한지 이런 것들이 중요하기 때문에
12:16무결성도 되게 중요합니다.
12:17복구하려고 봤더니 데이터도 같이 암호화 되었거나
12:20아니면 복구를 지금 당장 할 수 없는 데이터 포맷으로 되어 있거나
12:23이랬을 때는 계속해서 시간이 흘러가겠죠.
12:26그래서 다음으로는 임원과 이사회 보고 리드타임인데요.
12:31이 경우에는 사고 인지부터 그다음에 중대성 판단
12:34그리고 임원과 이사회 보고까지 걸린 실제 시간을 의미합니다.
12:39그래서 실무진들도 이런 것들을 빨리 파악하는 것도 중요하지만
12:41결국에는 1분 1초를 다투는 이런 침해 이후 상황에서는
12:45더 중요한 의사결정을 빠르고 정확하게 하는 데 매우 중요한 지표입니다.
12:50마지막으로는 규제 공시 대응 상태를 생각을 해볼 수가 있는데요.
12:54유관기관에 침해 신고한 것과 또 공시 의무에 따라서 공시하는 것들
12:58이런 대외적인 PR 대응 준비도 포함이 되게 됩니다.
13:01정말로 우리가 기업이 이런 측정 지표들을 봤을 때
13:05준비가 얼마나 되어 있는지 중요한 부분입니다.
13:07이것도 결국에는 중요한 이유는 하나인데
13:10가버넌스는 결국은 위기 상황에서
13:12우리가 얼마나 빠르고 정확하게 움직였는가로 평가되기 때문입니다.
13:19이제 S와 G를 동시에 흔드는 교차 영역이 하나 있는데
13:22바로 공급망 보안 쪽입니다. 공급망 리스크인데
13:25우리가 공급망 공격의 핵심 문제는 무엇이냐면
13:29우리가 우리만 보안을 잘한다고 해결이 되지 않는다는 점입니다.
13:33그래서 협력사 되게 많으실 텐데
13:35특히 큰 기업일수록 협력사들이 많은데
13:36협력사의 취약점이 곧바로 우리의 ESG 리스크로 전의가 되는 현상이 발생을 합니다.
13:42그래서 검증 포인트는 세 가지 정도로 나눠봤는데
13:45서드 파티 즉 협력사나 서드 파티 솔루션의 그런 API나 솔루션에 존재하는 취약점
13:50결국 우리가 컨트롤할 수 없는 영역이 있는 거죠.
13:52그리고 서드 파티의 토큰이나 권한
13:54우리가 같이 일을 하려면 어떤 정도의 권한을 내어줘야 되는데
13:57그런 것들이 충분히 조절되지 않거나
13:59사용 이후에 폐기되지 않았을 경우에 그런 관리적인 측면이고요.
14:03그 다음에 CICD라고 해서 코드를 배포하고 이런 시스템을 배포하는 시스템에서
14:07무결성이 검증이 되지 않아서 누군가 악의적인 코드를 심거나
14:11아니면 악성 행위를 했을 때 탐지하지 못하는 그런 것들을 이야기를 합니다.
14:15대부분의 대형 침해 사고들을 살펴보면요.
14:17가장 약한 고리를 노리게 됩니다.
14:20최근 공격자들의 영상을 보면 그 약한 고리가 어디라고 판명을 했냐면
14:24이런 협력사를 판단을 했습니다.
14:26납품되는 솔루션들.
14:28왜냐하면 어떤 기업에서 모든 솔루션이나 모든 제품을 만들 수가 없다 보니까
14:31어떤 협력사를 같이 해서 제품을 사서 쓰거나 만들어서 쓰는데
14:35그런 것들은 아무래도 영세하다 보니까 보안에 신경을 잘 쓰지 못하게 됩니다.
14:39그래서 그 영역에 있는 협력사를 먼저 노리고
14:42거기에 있는 계정이나 코드, API 이런 것들을 지렛대로 삼아가지고
14:46기업의 핵심 시스템을 침투하게 됩니다.
14:48그래서 우리의 ESG 평가 점수는 어떻게 보면 협력사의 보안 수준에도
14:53같이 달려있다는 이야기인 거죠. 의존을 한다는 얘기입니다.
14:57그래서 그것들을 검증하는 것도 너무나 중요한 영역에 들어와 있습니다.
15:01이제까지 설명한 그런 S와 G 평가 지표들을 종합해서
15:04조직의 ESG 보안 성숙도를 좀 실질적으로 계산한 것이
15:08verified S 인덱스 그리고 verified G 인덱스라는 것인데요.
15:12사실 아마 갸우뚱하실 걸 저런 거 들어본 적이 없는데
15:15제가 만들어낸 단어입니다.
15:17실전을 통해서 이렇게 평가된 지표라는 의미에서
15:20verified 됐다라고 이름을 빚었는데
15:22결국에는 조금 전에 말씀드렸던 그런 S와 G에서
15:25우리가 사이버 보안 쪽으로 챙겨야 되는
15:27그런 지표들을 인덱스화 시킨 것입니다.
15:30그리고 추가 심화 지표나 KPI로는
15:32이런 아래 네 가지 정도를 좀 생각해 볼 수 있는데요.
15:34Time to Condain, 아까 말씀드렸듯이
15:36사고는 필연적으로 일어난다면
15:37그 일어난 것들을 얼마나 빠르게 격리했는지에 대한 여부
15:41그리고 Crown Jewel이라고 해서
15:42정말로 핵심 시스템을 뭔지 우리가 항상 알고 있어야 되고
15:46그거를 보호하는 데 성공률이 얼마나 되는지
15:48그리고 이 Reverse Served Impact라고 해서
15:51불가역적인 정말로 대형 사고가 일어날 뻔한 것들을
15:54얼마나 막을 수 있는지
15:56그리고 Value at Risk, BAR이라고 하는데
15:58위험 가치의 변화율
16:00우리가 Value at Risk를 줄이면 줄일수록
16:02사실은 공격을 당했을 때도 크게 손실이 없겠죠.
16:05그래서 그런 것들을 계속해서 추적해 나가야 됩니다.
16:07그래서 ESC 차원에서의 보안은
16:10단순한 정책 준수가 아니라
16:12실제로 위험이 감소했는지
16:14여부를 숫자로 증명하는 것에 있다고 보고 있고
16:17그렇게 진화해 나가고 있습니다.
16:19그리고 이렇게 해야만
16:20예산과 보상
16:21우리가 보완하는 사람들은 항상 힘든 게
16:24이게 뭔가 잘하고 있어도
16:26조용하니까 돈은 들어가는데
16:28보이는 게 없네.
16:29잘 되고 있는 거 맞아?
16:30그러면 제일 먼저 예산이 삭감되는 분야 중 하나입니다.
16:32근데 사고가 터지면 어떡하죠?
16:33야 너네 뭐 했어? 돈 들였는데
16:35제일 지탄받는 또 그런 조직이다 보니까
16:38되게 힘든 영역에 있는데
16:39이런 식으로 위험이 얼마나 감소했는지를
16:42우리가 숫자적으로 증명할 수 있고
16:44서로 설득을 할 수 있어야
16:45이런 예산과 보상이
16:47사이버 보안의 성숙도와 연결되어서 작동할 수 있습니다.
16:52방어접 접근
16:53즉 예를 들어서
16:54취약점 스캔을 한다든가
16:55규정 준수 평가가 되어있는
16:57컴플라이언스 평가 이런 것들만으로는
16:59ESG의 S와 G를 설명할 수는 없습니다.
17:02정적이고 예측 가능하고
17:03또 알려진 위험만 평가하기 때문에
17:05결국에는 공격적 접근
17:06좀 액티브하게 프로액티브하게 침투 테스트를 해보고
17:09그리고 레드팀을 통해서
17:11우리가 취약점을 찾아내고
17:12이런 실제 공격자 관점에서의
17:14동작 기반을 평가를 해야 되고요.
17:16그리고 퍼플팀이라고 해서
17:16레드팀만 있는 것이 아니라
17:18블루팀과 협업해서
17:19우리가 방어팀의 즉시 개선
17:21우리가 일어났을 때
17:22정말로 더 안전해졌는지를 평가할 수 있는
17:24그런 실전 훈련들이 필요합니다.
17:26이런 방식이 중요한 이유는
17:27악의적 캐커들은
17:28우리가 예고하면서
17:29우리 차가 쳐들어갑니다 하고 들어오는 것이 아니라
17:32예고하지 않고 들어오게 됩니다.
17:34그리고 알려진 방법만 사용하지 않아요.
17:35그들이 새롭게 개발한 방법들
17:37새로운 악성 코드
17:38이런 것들 사용하기 때문에
17:39알려진 방법만으로는
17:41저희가 이런 공격들을 막아내는 데 한계가 있습니다.
17:44그래서 이런 것들이 둘 다
17:46사실은 방어접 접근이 한계가 있기 때문에
17:48방어접 접근보다는 공격만 해야 된다는 아니고요.
17:50둘 다 저희가 차용을 해야 됩니다.
17:54이 슬라이드는 어떻게 보면
17:55그래서 이런 것들을 어떻게 보고를 해야 되는데
17:57ESG 차원에서 우리가 고민을 할 때
17:59이사회나 경영진에 보고를 하는
18:01아니면 우리가 보고를 받을 때
18:02어떤 형태로 받아야
18:04좀 일목묘연하게
18:04이 사태를 파악할 수 있을까
18:06관점에서 좀 항목을 나눠본 건데요.
18:08저는 이제
18:08파이블라인 리포트라고 부릅니다.
18:10그래서 첫 번째는 시나리오
18:11그 다음에 어떤 시나리오와
18:13취약점이 발견이 됐고
18:14우리가 이런 걸 생각했고
18:15그 다음에 두 번째는 영향 대상
18:17일요일 내에서 영향을 받는 대상이 누구고
18:19그리고
18:20이게 ES의 영향에 어떤 식으로 미치고
18:23그 다음에 그걸 우리가 회복하거나
18:25막기 위해서
18:26어떤 조치들을 취했고
18:28그 조치로 인해서 우리가 기대하는
18:29투자의 효과나
18:30기대효과가 무엇인지
18:31이렇게 정리를 했을 때
18:33확실히 조금 더 명확하고 빠르게
18:35아 이러한 것들이 어느 효과가 있으니
18:37이런 것부터 우선순위가 정해지게 됩니다.
18:40이런 것들을 할 수 있는데
18:41이제 보안팀의 언어는
18:43우리 포트 1, 2, 3, 4호가 열려 있습니다.
18:45게 아니라
18:45예상 손실, 에너건을 방어했습니다.
18:49다 되어야 합니다.
18:51그렇기 때문에 아까 CISO 역할도
18:53말씀을 해주셨는데요.
18:54그 역할이 확장이 되고 있습니다.
18:56과거에는 우리가 취약점 50건이 발견되었습니다.
18:58패치율은 90%에 달합니다.
19:00이런 식으로 보고를 했지만
19:01우리가 이런 식의 기술지표 중심 보고보다는
19:04경영진과 이사회
19:05그리고 우리 구성원들 주주
19:07특히 기술지표에 관심이 높지는 않습니다.
19:09안타깝게도.
19:10그래서 이들이 원하는 것은
19:11그래서 고객 데이터 관련 리스크를 얼마나 줄였는데
19:13사고의 확률이 얼마나 줄었는데
19:15그리고 기업가치 하락을 얼마만큼 방어했는데
19:18그리고 BCP
19:19결국엔 사업 연속성 대응 시간을 얼마나 단축했는데
19:23이런 조금 더 수치적이고 지표적이고
19:25그들이 사업적으로 또 경영적으로 이해할 수 있는 지표에 좀 묶여 있습니다.
19:30그러다 보니까 이런 기술 언어들을 결국에는
19:32ESG와 비즈니스 언어로 번역하는 역할도 해야 된다라고 생각을 하고 있고요.
19:36좀 정리를 해보자면
19:39ES중심 오펜시브 스킬티를 도입을 하려면
19:43이런 30일, 60일, 90일 로드맵으로 정리를 했습니다.
19:46처음부터 모든 걸 한 번에 할 수는 없습니다.
19:48그건 욕심이고 아마 잘 안 될 확률이 높습니다.
19:50그래서 단계별로 준비를 해내가야 되고
19:52운영을 하다 보면 또 다양한 변화들이 일어나기 때문에
19:54이런 타임란들은 조정이 필요합니다.
19:57그래서 첫 30일은 어떻게 보면
19:59무엇을 지킬 것인가를 좀 정의하고
20:01또 이것이 가버넌스의 시작, 출발점입니다.
20:04그리고 중간 30일 정도는
20:07가장 빠른 실증 기반 이런 것들을 해보고
20:09어떤 경험을 갖고 조금 더 조율해 나가는 그런 과정이고요.
20:12마지막 90일은 어떻게 보면 ESG의 쥐를 강화하는 핵심 단계인데
20:15이런 것들을 정리화시키고 실제로 계속 반복하도록
20:18그리고 보상과 연동시키는 그런 영역입니다.
20:21마무리로 핵심 메시지 세 가지 전달하고 정리하도록 하겠습니다.
20:26첫 번째는 일단 선언 중심의 ESG에서
20:28이제는 실증 기반의 ESG로 이동 중이다라는 부분이고요.
20:31그 다음에 두 번째는 공격적 보완은
20:34어떻게 보면 디지털 리스크 시대 속에서
20:36우리가 ESG 리스크를 가장 현실적으로 측정하는 도구로 활용될 수 있다는 점
20:40그리고 마지막으로 CISO가 ESG의 신뢰도를 높이는 핵심 전략가로서 활동할 수 있고
20:45이들의 어떻게 보면 적극적인 관심 그리고 투자를 해주셔야 합니다.
20:49그래서 이런 30, 60, 90 이 로드맵을 저희가 시작을 하고
20:53또 적극적인 관심 투자를 통해서
20:55ESG 신뢰도를 실제 데이터로
20:57결국엔 우리가 그냥 선언하는 것이 아니라
20:59우리가 이런 테스트를 해봤는데
21:00이렇게 우리는 안전했어, 이렇게 위험했어
21:02실제 데이터로 증명하는 기업이 되면 좋겠습니다.
21:07네, 경청해 주셔서 감사합니다.
21:08감사합니다.
21:10감사합니다.
21:11감사합니다.
21:13감사합니다.
21:15감사합니다.
21:17감사합니다.
21:18감사합니다.
추천
2:08
7:32
2:30
12:44
7:40
5:30
1:54
3:04
18:01
14:37
24:28
13:32
첫 번째로 댓글을 남겨보세요