주 컨텐츠로 이동

사이버 보안

2024년 6월 20일

 

이사회실을 사이버 전장으로 가져오기

사이버 전문가들은 기업 리더들이 랜섬웨어와 스파이웨어 공격 및 기타 위협으로부터 기업을 보호할 수 있는 중대한 결정을 내릴 수 있도록 교육하고 있습니다.

크리스틴 깁슨

기여자

2020년 초, 매우 정교한 해커 그룹이 역사상 가장 광범위한 사이버 공격 중 하나를 감행했습니다. 러시아 정부를 위해 일하는 것으로 추정되는 이들은 SolarWinds라는 IT 관리 소프트웨어 개발사의 컴퓨터 시스템에 침투하여 이 회사의 모니터링 도구 라인에 악성 코드를 삽입했습니다.

6월까지 해커들은 이 멀웨어를 통해 수백 개의 연방 기관과 포춘 500대 기업의 내부 업무에 접근할 수 있었습니다. 해킹이 발견될 무렵, 이 그룹은 수개월 동안 정부 및 기업 운영을 감시하고 있었습니다.

공공 부문과 민간 부문 모두에게 이 사건은 꾸준히 증가하는 위협에 대한 경각심을 일깨우는 계기가 되었습니다. 사이버 공격은 인터넷만큼이나 오래되었지만 지난 몇 년 동안 더욱 정교하고 교묘하며 파괴적으로 변했습니다. 사이버 공격으로 인한 직접적인 손실은 약 50만 달러로 적은 편이지만, 최근 국제통화기금(IMF)은 최소 25억 달러 에 달하는 막대한 손실이 발생할 위험이 커졌다고 보고했습니다.

사이버 공격으로부터 기업을 보호해야 할 책임은 기업의 최고위 구성원인 이사회에 있습니다. 오늘날 기업 보안팀은 사이버 보안 위협으로부터 회사 시스템을 보호할 수 있는 올바른 문화와 거버넌스가 마련되어 있는지 파악하는 것이 중요한 업무 중 하나이며, 이를 위해서는 사이버 위험에 대한 미묘한 이해가 필요합니다.

마스터카드의 사이버 보안 펠로우이자 전 최고 보안 책임자인 론 그린은 "이사회는 재정적으로도 물론 현명해야 하지만, 사이버상으로도 현명해야 합니다."라고 말합니다. "그들은 알든 모르든 매일 이러한 도전에 직면합니다."

하지만 이 정도 수준의 전문성을 갖춘 디렉터는 드뭅니다. 사이버 보안 회사에 자금을 지원하는 벤처 캐피탈 회사인 나이트드래곤과 딜리전트 인스티튜트의 2023년 연구를 인용해 미국 비밀경호국의 이사 킴벌리 치틀은 미국 비밀경호국 이사회 중 사이버 보안 전문가가 포함된 곳은 12개% (&)에 불과하다고 말합니다.

마스터카드는 이사들이 사이버 범죄로부터 회사와 동료 시민들을 보호할 수 있도록 미국 비밀경호국, 사이버 보안 및 인프라 보안국, 전미 기업 이사 협회, 나이트드래곤과 협력하여 사이버 보안 이사회 아카데미 교육 과정을 개발했습니다. "이번 기회는 그 격차를 좁힐 수 있는 정말 특별한 기회입니다."라고 치틀은 말합니다.

화요일 메릴랜드주 사우스 로렐에 위치한 비밀경호국의 제임스 J. 로울리 교육 센터에서 열린 CISA 및 비밀경호국 이사회 아카데미의 첫 번째 세션에서는 기업 이사들과 업계 전문가들이 모여 디지털 네트워크 보호의 최신 기술을 살펴보는 시간을 가졌습니다.

 

이번 주 초 메릴랜드에서 열린 사이버 위험 및 복원력에 관한 교육 세션에 참석한 기업 임원들에게 마스터카드의 사이버 보안 펠로우인 론 그린이 연설하고 있습니다. (사진 제공: Rebecca Abraham)

"우리는 이러한 연결성을 강화하고 싶었습니다."라고 CISA의 디렉터인 젠 이스터리는 말합니다. 그녀는 "민간 부문이 정교한 국가 행위자들에 맞서기 위해 혼자서는 안 될 것"이라고 말합니다. 따라서 공공 부문과 민간 부문 간의 연결성을 높이고 강화하는 것이 매우 중요합니다."

국가 기반 시설 보호를 위한 협력

점점 더 상호 연결되는 세상에서 사이버 보안은 팀의 노력으로 이루어져야 합니다. 그래서 마스터카드와 파트너들은 포춘 500대 기업 및 미국의 주요 인프라를 대표하는 여러 기업의 책임자들을 초청하여 정부 및 업계 전문가들로부터 직접 배울 수 있는 기회를 제공했습니다. 효과적인 사이버 위험 감독을 위한 NACD와 인터넷 보안 연합의 원칙을 바탕으로 한 커리큘럼에서 참가자들은 위협, 거버넌스, 보호 및 복원력에 대해 논의하며 지속적인 사이버 방어를 위한 모범 사례의 토대를 구축했습니다.

이러한 공격의 경우 범죄 및 국가가 후원하는 행위자들이 스파이 캠페인을 벌이거나 중요한 국가 기반 시설을 무력화하려는 시도를 통해 금전적 피해를 넘어서는 파급력을 가질 수 있습니다. 출입이 금지된 기관은 없습니다. 병원, 학교 시스템, 의료 연구실, 주 및 지방 정부 등 모든 기관이 공격의 표적이 되었습니다. 또한 미국 인프라의 대부분은 민간 기업이 소유하고 있기 때문에 비즈니스 부문은 민방위에서 중요한 역할을 담당합니다.

창립 세션에 참석한 16명의 이사 중 한 명인 칩 제조업체 Analog Devices의 사외이사 스티븐 제닝스는 "회사를 대표하여, 국가를 대표하여 이에 대해 경계할 방법을 찾는 것이 우리가 하는 일의 핵심입니다."라고 말했습니다. "우리는 집행 기능, 최신 트렌드, 최신 위험에 대해 더 잘 이해하고 있습니다."

"사이버 보안은 공동의 노력으로 이루어져야 하며, 이제 업계와 공공 부문이 더 많이 주고받으며 앞으로 사이버 보안을 공격할 수 있습니다. 이러한 위협은 조만간 사라지지 않을 것입니다. 이것은 계속되는 싸움이 될 것입니다."

Stephen Jennings

이 프로그램은 또한 지속적인 민관 파트너십을 구축하여 참가자들이 서로에게서 지속적으로 배우고 위협에 앞서 나갈 수 있도록 지원합니다. 이사회 멤버는 광범위한 사이버 보안 전문 지식 네트워크를 활용할 수 있으며, CISA와 비밀경호국은 광범위한 민간 부문을 대상으로 메시지를 미세 조정할 수 있는 피드백의 장을 확보할 수 있습니다.

제닝스는 "사이버 보안은 공동의 노력이 필요하며, 이제 업계와 공공 부문 간에 더 많은 주고받기를 통해 앞으로 사이버 보안을 공격할 수 있습니다."라고 말합니다. "위협은 금방 사라지지 않을 것입니다. 이것은 계속되는 싸움이 될 것입니다."