이준호의 사이버 보안 이야기 <1> 최근의 크라우드 스트라이크 사건이 남긴 교훈 > News Insight

예견된 사고, 타깃이 되고 있는 S/W 공급망

2024년 7월 19일 새벽 4시경(UTC), 영국 런던증권거래소와 말레이시아 증권거래소가 심각한 서비스 장애를 겪었다. 남아프리카공화국 최대 규모 은행인 캐피텍 은행의 수많은 고객들이 거래 거절 사태를 겪었고 테슬라의 일부 생산 공정도 한때 가동 중단되어 직원들이 일찍 퇴근했다. 미국 워싱턴 DC에서는 지하철 운행이 연기되었고 세계 곳곳의 공항 카운터가 먹통이 되었다. 영국 NHS는 의료기록 저장과 예약 시스템 장애 등으로 신규 환자 예약, 진료, 처방 등 모든 의료활동이 중단되기도 했다. 이외에도 방송, 게임, 스포츠 및 각종 서비스업에서 POS기에 이상이 생겨 점포 운영을 제한하는 사태를 겪었다.

이 모든 장애가 한꺼번에 발생하였으며 그 원인은 마이크로소프트 윈도우상에서 실행되는 크라우드소프트웨어의 펠컨센서 EDR 보안소프트웨어의 오류에 기인한 것이었다. 참으로 황당하기도 하고 무섭기도 하면서 동시에 충분히 예견되었던 일이기도 하다.

전 세계적으로 약 850만 대의 PC에 장애를 일으킨 이번 사건은 오직 마이크로소프트 OS를 사용하는 이용자에게만 나타났고, 맥과 리눅스를 사용하는 고객은 문제가 없었다. 크라우드스트라이크는 콘텐츠 업데이트 결함 탓이지 보안사고나 사이버 공격은 아니라고 발표했다. 

그러나 문제는 그 다음이다. 크라우드스트라이크가 유발한 기술문제를 복구시켜준다면 악성코드를 유포하는 사례가 생겨났고, 크라우드스트라이크의 지원을 가장한 피싱 이메일을 통해 개인정보 입력을 유도하려는 사례 또한 발견되었다. 무엇보다도 해커들에게 공격 방법의 아이디어를 제공한 점이다. 최근 북한발 SW 공급망을 타깃으로 한 사이버 공격이 급증하였다. 랜섬웨어처럼 특정 기업을 타깃팅하는 것이 아니라 보안 SW 또는 응용 SW를 공급하는 개발사가 주요 타깃이고, SW의 업데이트 서버를 통한 전방위적 대량 살포가 주된 목적이다. 크라우드스트라이크 사고가 심각하고 광범위한 장애인 건 분명한데, 왠지 이것이 시작에 불과하고 더욱더 다양하고 광범위한 유사 사고의 위험성이 급증한 것이다.

여전히 안일한 보안 의식… "오늘도 무사히" 

"따르릉~" 

회장님의 전화였다. 

크라우드스트라이크 사태가 벌어지자마자 긴급 내부 점검회의를 진행하던 CISO 김전무는 서둘러 회장님의 전화를 받았다.

"김전무! 이번에 크라우드스트라이크 사태, 우리 회사는 영향이 없습니까?"

"네 회장님! 점검을 해보았는데, 저희는 리눅스 OS를 쓰고 있고 EDR 소프트웨어도 크라우드스트라이크가 아닌 최고의 국산 소프트웨어를 쓰고 있기 때문에 영향이 없습니다."

"오 그래? 문제가 없다는 거죠? 그러면 앞으로 발생하는 유사 사고에도 대비책이 되어 있는 거겠죠?"

"네 맞습니다! 최신 보안 소프트웨어와 보안 관리체계로 일일 점검을 하고 있는 등 철저한 대비를 하고 있습니다."

"좋습니다. 회사 사업의 운용에 대한 IT 의존도가 높아지니 늘 철저히 관리해주세요."

"알겠습니다. 회장님."

국내에 있는 많은 회사에서 일어났던 풍경이다. 별로 문제가 없어 보이는 대화이다. 모두 다 알다시피, 정보보안에 대한 투자는 끝이 없다. 언제 일어날지 모르는 보안 사고를 대비하기 위해 어디까지 투자를 해야 하는지는 CISO를 포함한 경영진에게는 늘 고민의 대상이다. 보안 투자에 대해서만큼은 ROI를 엄격하게 적용할 수밖에 없는 것이 현실이고, 회사 경영이 어려워지면 특히 늘 후순위로 밀리는 것이 보안 투자이기도 하다. 

“블랙해커가 화이트해커보다 더 열심히 공부한다”

하지만 우리는 명심해야 할 것이 있다. 블랙해커(공격자)가 화이트해커(방어자)보다 더 똑똑하다고 말할 수는 없지만 블랙해커가 화이트해커보다 더 열심히 공부하는 것만은 자명하다. 화이트해커를 포함하여 보안 솔루션을 만드는 기업들은 이미 알려진 공격에 대해 막는 방법을 연구하고 솔루션을 구비하지만, 블랙해커는 늘 알려지지 않은 공격 방법을 연구하고, 그들끼리 이를 공유한다. 크라우드스트라이크 사태가 보안사고가 아니라 SW 업데이트 과정에서 발생한 인재이기는 하지만, 이러한 사고가 블랙해커에게 아이디어를 제공하고, 유사한 사고가 발생할 가능성이 높아진 것은 자명하다.

우리가 MS환경이 아닌 다른 OS를 쓰고 있고, 다른 보안 SW를 쓴다고 해서 안심할 것이 아니라, 이러한 유형의 보안 사고가 발생할 수 있는 모든 가능성을 점검하고 대응체계를 마련해야만 하는 것이다. 이는 짐짓 보안 SW만이 대상이 아니라 클라우드 환경에서 사용하는 모든 응용 SW에 잠재된 위협인 것이다.

국내 최고 기업의 CISO를 폄훼하고자 하는 뜻은 아니지만, 정보보호관리체계에 관해선 어쩔 수 없이 최고 경영자에게 거짓 보고를 하게 될 가능성이 높다. 거짓말을 한다는 뜻이 아니라, "오늘도 무사히" 관점에서 보고를 하게 될 가능성이 높다는 것이다. 동종업계 주변 기업에서 사고가 나면 늘 긴장하고 점검하지만, 사실상 우리 회사에서 일어난 사고가 아니기 때문에 '우리는 잘 대응하고 있습니다'로 보고를 할 수밖에 없다는 것이다.

최고경영자가 이러한 것을 모두 인지하기는 어렵다. 그렇다고 언제 일어날지 모르는 보안 사고를 대비하기 위해 엄청난 투자를 결정하기도 쉽지 않다. 중요한 것은, 임직원과 CISO 및 최고경영자가 이런 상황 자체를 정확히 인지하는 것이 중요하다. 정보보호에 대한 사내 교육을 단순 의무이기 때문에 시간을 채우기 위해 하는 것이 아니라, IT 시스템이 무너지면 회사의 업무가 마비될 수 있다는 점을 모두가 공감하도록 하는 것이 중요하다.

보안은 IT부서가 아니라 경영의 업무

필자는 회사의 보안 관련 담당 부서는 IT부서가 아니라 경영전략부서의 "리스크관리팀"에서 운영해야 한다고 생각한다. IT 거버넌스 시대를 살고 있는 지금 우리는 현장 근무를 제외하고는 회사 업무의 거의 대부분을 PC 앞에 앉아서 작업을 한다. 회사의 자산도 대부분 IT 시스템에 보관되어 있고, 고객과의 상호작용 또한 IT 시스템에 의존한다. IT는 회사의 경영과 업무를 지원하는 것이 아니라, IT 자체가 회사의 경영인 것이다. 게다가 최근 세상을 빠르게 변화시키고 있는 생성 AI의 일반화는 회사의 일하는 방식을 매우 빠르게 변화시키고 있고 해커들 또한 새로운 무기를 장착하고 있는 셈이다. 

기술적으로는 IT 관련 부서가 담당하는 것이 맞다. 하지만 판단은 최고경영자를 포함한 전사 관점에서 해야 하는 것이다. 이를 위해 CISO와 CEO 및 전사 임원 등이 참여하는 정보보호위원회를 운영하는 것인데, 여기서도 관점의 전환이 필요한 것이 CISO보다 경영전략본부를 담당하는 임원이 더욱더 치밀하게 의사결정을 위한 분석에 참여하여야만 한다.

정보 보안, 기업의 지속 가능성과 직결되는 문제다

크라우드스트라이크 사건은 단순히 기술적인 문제가 아닌, 전 세계 IT 생태계의 취약성을 드러낸 대표적인 사례다. 이번 사건은 보안 사고가 아닌 소프트웨어 업데이트의 결함으로 인한 것이었지만, 그 여파는 엄청났다. 이러한 사고가 발생할 가능성은 언제나 존재하며, 이를 대비하는 것은 단순히 IT 부서의 역할이 아닌, 회사 전체의 책임이다.

기업의 경영진은 정보 보안의 중요성을 인지하고, 이에 대한 투자를 아끼지 않아야 한다. 또한, 직원들에게도 보안에 대한 경각심을 고취시키고, 정기적인 교육과 점검을 통해 항상 준비된 상태를 유지해야 한다. 무엇보다 중요한 것은, 정보 보안은 IT 부서만의 일이 아니라, 회사 전체의 문제라는 인식을 가지는 것이다. 이는 결국 기업의 지속 가능성과 직결되는 문제이기 때문이다.

따라서, 경영진은 보안에 대한 책임을 IT 부서에만 맡기지 말고, 경영 전략의 일환으로 리스크 관리팀과 협력하여 전사적인 보안 체계를 구축해야 한다. 이를 통해 미래의 잠재적인 보안위협에 대비하고, 기업의 안정성을 강화할 수 있을 것이다.

<ifsPOST>

<필자 이준호는?>​