사이버 보안 전문가가 경고하는 다음 세대 사이버 위협

브라이언 와그너는 현재 리베니어의 최고기술책임자(CTO)이자 사이버보안 전문가로, 이전에는 아마존웹서비스(AWS)의 유럽·중동·아프리카(EMEA) 금융서비스 부문 컴플라이언스를 총괄했다.

시스코와 포드에서의 초기 경력부터 핀테크와 클라우드 보안 분야의 리더십에 이르기까지 20년이 넘는 경력을 통해 브라이언은 오늘날의 불안정한 디지털 경제에서 조직이 스스로를 보호하는 방식을 지속적으로 형성해왔다.

그의 저서 '정보보안의 재정의'와 주요 행사에서의 강연은 복잡한 사이버 개념을 이해하기 쉽고 비즈니스와 연관성 있게 설명하는 그의 재능을 보여준다.

이번 인터뷰에서는 랜섬웨어 차단, 인간 중심 공격 방어, 양자 시대 위협 대비, GDPR이 고객 데이터 보호에 미치는 광범위한 영향에 대한 브라이언의 긴급 제언을 다룬다.

Q1. 사이버보안 지출이 사상 최고치를 기록하고 있음에도 보안 침해는 계속 증가하고 있다. 기업이 우선적으로 도입해야 할 가장 효과적이고 실용적인 방어책은 무엇인가

브라이언 와그너: "최우선 조치는 구현하기 쉽고 현실적이어야 한다. 첫 번째로 패스워드 관리자를 사용하는 것이다.

"현재 발생하는 많은 보안 침해는 흔히 사용되는 패스워드나 인터넷에 유출된 패스워드와 관련이 있다. 따라서 이것이 보안 침해를 막는 가장 쉬운 방법이다.

"또 다른 하나는 이메일 측면에서 경계하는 것이다. 피싱은 사용자 이름, 패스워드, 은행 정보 등을 얻어내는 수법이다.

"기업의 경우 피싱 공격을 당하면 일반적으로 계정 정보가 탈취되고, 이를 이용해 로그인한 뒤 피해를 입힌다.

"개별적인 대응책은 없지만, 모든 이메일에 대해 의심하는 자세를 갖는 것이 핵심이다.

"기업을 위한 또 하나의 유용한 조언은 다중인증을 활성화하는 것이다. 현재는 모든 기업이 제3자 서비스를 사용하고 있으며, 거의 모든 소프트웨어가 월간 구독제로 운영되어 로그인이 필요하다.

"패스워드가 유출되거나 노출되더라도 다중인증이 설정되어 있다면 해당 패스워드는 두 번째 인증 요소 없이는 사실상 무용지물이 된다.

"물론 더 많은 대책이 있겠지만, '지금 당장, 내일부터 할 수 있는 것'이라는 현실적인 관점에서 이것들이 절대적으로 최선의 방법이다."

Q2. 데이터 유출 통계를 보면 대부분 인적 오류가 원인이다. 왜 여전히 사람이 보안의 가장 취약한 고리인가

브라이언 와그너: "안타깝게도 인간이 문제다. 인간은 본성적으로 신뢰하는 경향이 있다.

"통계적으로 피싱이 주된 원인이며, 사람이 취약점이다. 이메일이 보편화되기 전에는 공격이 더 물리적인 형태였다.

"예를 들어, 누군가 사무실에 들어와 '면접에 늦었는데 이력서를 출력해주실 수 있나요?'라며 USB를 건네는 식이었다. 이것이 시스템을 침해하는 방법이었다.

"특히 재택근무가 확산된 요즘은 피싱이 급증하고 있다. 더 넓게 답변하자면, 데이터 보안 측면에서 사람이 조직의 가장 취약한 고리라는 것이 불행한 현실이다."

Q3. 앞으로 사이버 공격의 새로운 물결을 정의할 수 있는 신기술이나 트렌드는 무엇이라고 보는가

브라이언 와그너: "양자 컴퓨팅과 미래형 컴퓨팅 관련 발전과 연관될 것이다. 컴퓨팅 성능이 더욱 강력해지면서 현재의 암호화 메커니즘이 무용지물이 되는 시점이 올 것이다.

"당장은 아닐 수 있지만, 오늘날의 암호화와 디지털 데이터 보호 방식을 보면 멀지 않은 미래에... 완전히 쓸모없어진다고는 할 수 없지만, 양자 컴퓨팅이나 더 강력한 컴퓨팅으로 합리적인 시간 내에 해독이 가능해질 것이다."

Q4. 랜섬웨어가 최근 가장 비용이 많이 드는 위협이 되었다. 기업이 해커에게 금전적 협박을 당했을 때 어떤 조치를 취해야 하나

브라이언 와그너: "첫째, 절대 돈을 지불하지 말아야 한다. 이것이 가장 중요하다. 사이버 범죄와 랜섬웨어 공격이 존재하는 이유는 수익성이 있기 때문이다. 돈이 되지 않는다면 아무도 하지 않을 것이다.

"이상적으로는 데이터를 백업하고 보관해두었다면 최악의 경우에도 불편함 정도로 끝날 수 있다. 백업 데이터가 있다면 이론적으로 데이터 손실은 없다. 데이터가 암호화된 상태로 남아있더라도 백업이 있으면 된다.

"다른 한편으로는 도난당하거나 협박당한 데이터의 성격에 따라 다르다. 공격자가 그 데이터를 악용하려 할 때, 개인정보인지, 고객 정보인지, 아니면 내부 정보인지에 따라 다르다.

"외부 고객 데이터, 즉 로그인 정보, 패스워드, 개인정보 등이 유출됐다면 기업은 해당 고객들에게 알려야 할 의무가 있다.

"GDPR 준수 차원뿐만 아니라 책임 있는 기업으로서 '이런 일이 발생했고, 이런 정보가 유출된 것 같으니 개인적으로 주의해달라'고 알려야 한다.

"하지만 다시 말하지만, 첫 번째 원칙은 절대 돈을 지불하지 말라는 것이다."

Q5. GDPR과 유사한 전 세계 규제 도입 이후 기업의 고객 데이터 관리와 보호 방식은 어떻게 근본적으로 변화했나

브라이언 와그너: "데이터 처리에 대한 책임이 크게 강화됐다. 이것이 핵심이었다.

"GDPR 이전에는 전 세계적으로 데이터가 매우 느슨하게 다뤄졌다. 기업들은 '이 데이터로 수익을 창출할 수 있다'며 데이터를 수익원으로 여겼다.

"하지만 GDPR은 데이터 사용과 공유 방식에 대해 깊이 생각하게 만들었다. 데이터를 제대로 관리하지 않던 많은 기업들이 불편을 겪게 됐는데, 데이터 저장과 공유 방식을 재구성해야 했기 때문이다. 많은 기업들이 모든 개인으로부터 동의를 구하는 것에 익숙하지 않았다.

"결과적으로 인프라 구축과 데이터 보호 방식에 많은 책임과 고려사항이 생겼는데, 이는 모두에게 좋은 일이다. 기업과 개인 모두에게 이롭다."