[Security News]보안 사건 대응, 빨리 움직이는 게 가장 중요한 덕목인가?

그래서 사건 대응에 있어서 가장 많이 강조되는 미덕이란 항상 ‘속도’.

그런데 ‘빠르게 움직여야 한다’는 건 선입견이며, 오히려 이 때문에 더 큰 피해가 발생할 수 있다는 지적이 나오기 시작

‘빠르게 움직여야 한다’는 건 일종의 행동 편향으로, ‘아무 것도 하지 않는 것보다는 하는 게 낫다’고 여기는 인간의 기본적인 성향에 기인합니다. 상황이 발생했을 때 ‘거기 가만히 서 있지 마! 뭐라도 해!’라고 외치는 머릿속 목소리가 바로 이 행동 편향의 원인이라는 것입니다. 이 목소리는 지금 행동을 취하는 게 문제 해결에 도움이 된다는 객관적 증거가 없어도 발동되며, 보안 전문가, 의료 전문가, 항공 관제 전문가 등에서 특히 많이 발견되는 것으로 알려져 있습니다.

존스홉킨스대학의 덕 휴(Doug Hough) 교수는 “행동 편향이 나타나는 이유는 여러 가지”라고 말합니다. “리더십이나 자신의 가치를 드러내고자 하는 심리에서 나타날 수도 있고, ‘그래도 뭔가를 했다’는 면피 욕구에서 발생할 수도 있습니다. 최선을 다했다는 게, 아무 것도 안 했다는 것보다 더 환영받는 게 사실이니까요.” 하지만 휴 교수는 “골키퍼가 골대 한 가운데 가만히 서서 공을 막는 경우가 얼마나 많은지 생각해 보면, 반드시 어디론가 뛰는 것만이 정답이 아님을 이해할 수 있다”고 강조합니다.

[이미지 = freepik]

“가만히 있는 것도 충분한 근거를 가지고 택할 수 있는 행동 중 하나입니다. 실제 가만히 있으면서 상황을 지켜보는 게 더 나을 때도 많고요. 문제가 저절로 해결되는 경우도 있고, 한동안 조용히 문제에 대한 깊이 있는 고민을 함으로써 더 효율적인 해결책이 떠오를 수도 있고요. ‘가만히 있는다’가 늘 ‘해결 능력이 없다’거나 ‘우유부단하다’는 의미가 되는 건 아닙니다.”

NSA의 기술 협력 파트너인 조시아 다이크스트라(Josiah Dykstra)도 이에 동의하며 피싱 공격을 예로 들었습니다. “A라는 사람이 피싱 이메일을 받았다고 했을 때, 피싱에 대한 경계심이 없는 상태라면 무언가 행동을 취해야 한다는 느낌을 강제 받을 것입니다. 피싱 메일이 다 그렇게 작성되니까요. 파일을 빨리 열지 않으면 큰일이 난다, 혹은 이 링크를 눌러야 업무를 제대로 할 수 있다라는 생각이 본능적으로 들기 마련이죠. 그럴 때마다 ‘빨리 움직여야 한다’는 생각을 충실히 따르면 어떻게 될까요? 피싱 공격의 피해자가 되는 거죠.”

랜섬웨어 사건이 발생했을 때 역시 ‘빠르게 움직여야 한다’가 오히려 해가 될 수 있다고 다이크스트라는 설명을 이어갑니다. “랜섬웨어에 당했다는 사실을 파악하는 순간 피해자들 머릿속을 가장 먼저 스치는 생각은 ‘데이터를 되찾아야 한다’는 겁니다. 그러면서 앞뒤 잴 것 없이 문제를 해결하기 위해 사건에 뛰어들죠. 운영진들도 패닉 상태로 보안 담당자들에게 빨리 원상복구시키라고 재촉하고, 사건 후에도 ‘이런 일이 다시 일어나서는 안 돼’라는 급한 마음을 먹고 보안 솔루션 구매에 많은 돈을 씁니다.”

그러면서 그는 “흥분 상태에서 내려진 결정은 대부분 ‘지나친 투자’ 혹은 ‘엉뚱한 투자’로 이어진다”고 지적했습니다. “이미 도입된 각종 보안 솔루션들을 점검하고, 이 솔루션들이 이번 사건에서 어떤 역할을 했고 하지 못했는지 검토한 후 필요한 것만 보충해야 하는데 서두르다 보니 좋아 보이는 것들에 큰 돈을 쓰게 됩니다. 보안의 측면에서나 예산의 측면에서나 최악의 결정이 내려지죠. 서두르니까 그런 겁니다.”

휴 교수는 “항상 ‘빠르게 움직여서 뭐라도 해야 한다’는 압박감에 시달린다는 건 심리적 번아웃과 스트레스의 주요 원인이 된다”고 말하기도 합니다. 다이크스트라 역시 “공격은 늘 발생하는 건데, 매번 대응해야 한다는 책임감을 마음속에 항상 지니고 사는 건 어마어마한 스트레스”라고 표현한다. “불가능한 목표를 좇게 하는 건 사람을 장기적으로 피곤하게 만듭니다. 보안 분야의 업무 강도가 높은 건 이 때문이기도 합니다.”

[이미지 = freepik]

이 지점이 해커들과 보안 담당자들 간 가장 큰 차이라고 다이크스트라는 덧붙였습니다. “공격자들에게는 지속적인 공격 시도가 결코 스트레스가 아닙니다. 그들에게는 대가가 붙거든요. 그 대가를 위해 하는 일인 것이죠. 반면 보안 담당자들은 늘 무형의 뭔가와 싸우는 것과 같은 처지에 있습니다. 실제 그 공격이 있건 없건 상관없이 말이죠. 매일 같이 악몽에 시달려 잠을 못자는 것과 같다고 할까요. ‘행동 편향’을 조직 차원에서 줄여주는 것만으로도 보안 담당자들을 도울 수 있습니다.”

그러면서 그는 “조직 내 모든 임직원들이 보안에 참여함으로써 짐을 덜어줄 수 있다”고 강조합니다. “의심스러운 징조를 발견하는 것, 그리고 그것을 보안 팀에 알리는 것, 기본적인 보안 수칙 사항을 지켜가며 업무를 진행하는 것 등 일반 임직원들이 보안에 참여할 수 있는 방법은 꽤 많습니다. 더 나아가 사건이 터졌을 때 외부에 섣불리 알리지 않는 것 등도 충분히 도움이 되는 일이죠. 임원진들은 패닉에 빠지지 않는 것만으로도 – 즉, 가만히 있는 것처럼 보여도 믿어주는 것 – 큰 도움이 됩니다.”

휴 교수는 행동 편향을 조직적으로 줄이려면 실제 상황과 같은 모의 훈련을 반복하는 게 도움이 된다고 권장합니다. 공격이 일어난 것처럼 상황을 만들어 모든 구성원들이 각자의 역할을 담당할 수 있도록 하는 것이다. “해야 할 행동을 알고, 여러 번 해본 사람이 아무래도 더 침착할 수밖에 없습니다. 그러면 좀 더 냉정하게 올바른 결정을 내릴 수 있고요. 따라서 행동 편향에 의한 스트레스도 줄어듭니다.”

그러면서 휴 교수는 “정답을 요구하는 게 아니라 해결 과정을 수립하는 게 핵심”이라고 정리합니다. “상황마다 답은 달라질 수밖에 없어요. 늘 정답만 말해야 한다고 요구하는 건 효율적이지도 않고 가능하지도 않습니다. 정답을 향해 가는 과정들을 평소에 수립하는 것이 더 효과적이죠. 보안의 보안 저항력(resilience)이라는 것도 결국 천재적인 담당자 한두 명이 아니라 모든 구성원들의 보안 수준에 좌지우지 되는 것입니다.”

출처 : 보안뉴스