사이버 보안을 위한 첫 번째 방어선
사람은 조직 보안의 중요한 요소입니다
사이버 보안 위협이 증가함에 따라 ‘인적 오류’와 관련된 공격도 증가하고 있습니다. ‘사람’이 ‘사람, 프로세스, 기술’ 기반 보안 전략의 첫 번째 요소로 꼽히는 이유가 있습니다. 직원들이 사이버 보안과 그 안에서 자신이 맡은 역할을 이해할 때, 이들은 조직을 보호하고 위험을 줄이는 첫 번째 방어선이 됩니다.
보안을 최우선으로 하는 문화는 리더로부터 시작됩니다
문화는 단순�히 벽에 걸린 포스터가 아닙니다. 이는 팀이 서로 상호작용하는 방식과 보상을 받는 행동에서 나타납니다.
보안 문화는 조직의 최고 경영진으로부터 시작됩니다. 이러한 원칙은 우선순위 설정, 소통, 모범 실천의 세 가지 요소로 나타납니다.
사전 예방적 방어 전략을 조성하는 문화는 직원들이 위험을 감지하고 보고할 수 있도록 지원합니다. Cloudflare는 단순하지만 효과적인 보고 메커니즘을 통해 모든 의심스러운 사항을 보안 사고 대응팀(SIRT)에게 보고하여 조사할 수 있도록 지원하고 있습니다. Cloudflare는 매달 보안 사고 보고서를 가장 많이 제출하는 사람에게 격려와 지지를 아끼지 않습니다. Cloudflare는 사고 사례를 공유하여 보호와 보안이라는 공동의 목표를 갖춘 커뮤니티를 형성합니다. Cloudflare의 최고 경영진 역시 의심스러운 점을 직접 보고하며 솔선수범합니다.
Cloudflare의 리더들은 보안에 대해 소통하고 이를 우선시하는 방식에 있어 투명성을 명확하게 제시합니다. 피싱 링크를 실수로 클릭하거나 노트북에 보안을 설정하지 못했을 때는 어떨까요? Cloudflare 팀원들은 실수로 인해 불이익을 받지 않는다는 믿음 아래 자진 보고하도록 권장됩니다. 이는 실수를 완화하기 위해 올바른 조치를 취할 수 있는 문화를 조성합니다.
인식 문화 구축
Cloudflare와 같은 보안 회사에서도 모든 직원이 사이버 보안 전문가인 것은 아닙니다. 가장 강력한 사이버 배경 지식을 가진 사람이라도 끊임없이 진화하는 공격 벡터를 따라잡기란 쉽지 않습니다.
Cloudflare가 사이버 보안 공격을 차단한 사례를 공유함으로써, 팀원들은 경각심을 유지하고 경계를 늦추지 않을 수 있습니다. 이러한 인사이트를 공유하면 Cloudflare의 승리를 축하할 뿐만 아니라 각 사고에서 교훈을 얻어 일상의 전투를 방어를 강화할 수 있는 교훈으로 삼을 수 있습니다. 이런 실천은 지속적인 학습과 준비 태세를 갖춘 문화를 조성하여, 신입부터 경험 많은 전문가까지 모든 팀원이 위협의 역동적인 특성을 이해할 수 있도록 지원합니다.
최근에는 Cloudflare 직원들이 개인 소셜 미디어 계정을 통해 표적이 된 사례가 있었습니다. 직원들은 위험성을 이해하고 이를 보안 사고 대응팀(SIRT)에 보고하는 것의 중요성을 인지하고 있었습니다. 직원들의 신속한 대응 덕분에 이 사건을 Cloudflare 팀과 공유하여 경각심을 높이고, 조사를 진행하며, 소셜 미디어 공급자와 협력하여 공격자를 차단할 수 있었습니다.
모두가 역할을 이해하는 것
보안 문화를 강력하게 구축하고 인식을 제고하는 것은 훌륭한 시작입니다. 하지만 조직의 모든 구성원이 강력한 보안 태세를 유지하기 위해 자신이 맡은 구체적인 역할을 이해하는 것도 그에 못지않게 중요합니다.
명확하고 이해하기 쉬운 사이버 보안 정책을 수립하는 것에서 시작하세요. 이 지침은 단순히 이론적인 것이 아니라, '어떻게'와 '왜'를 설명하며 실행 가능한 내용이어야 합니다. 정책은 쉽게 접근 가능해야 하며, 매년 기술 변화와 새로운 위협에 맞게 업데이트하여 모든 직원이 이를 준수할 수 있도록 책임을 강화해야 합니다.
조직에 즉각적인 행동 조치를 취할 수 있는 지식을 교육하세요. 예를 들어, 정책 위반을 보고하는 방법, 피싱 및 소셜 엔지니어링 시도를 인식하는 방법, 사무실에서 테일게이팅과 같은 물리적 보안 침해에 대처하는 방법, 잘못 구성된 시스템을 발견하는 방법 등을 포함해야 합니다.
연간 사이버 보안 및 개인정보 보호 인식 교육은 강력한 기반을 제공하지만, 각 역할에 특화된 보안 교육을 통합하여 이를 강화하는 것이 중요합니다. 이러한 접근 방식은 조직의 모든 프로세스에 보안 조치를 내재화하여, 보안이 단순한 정책이 아니라 일상적인 업무의 일환으로 자리 잡을 수 있도록 합니다.
인적 오류로 인한 위험 감소
조직의 보안팀에 큰 부담을 주는 요인 중 하나는 복잡성입니다.
시스템이 복잡할수록 오류가 발생할 가능성이 높아집니다. 잘못된 구성은 공격자가 악용할 수 있는 중대한 위험 요소입니다. “신뢰하되 검증하라”라는 오래된 보안 격언은 여전히 유효합니다. 팀이 구성과 제어 구현의 효과를 검증하여 인적 오류로 인해 취약점이 발생하지 않도록 하는 것이 필수적입니다.
클릭 작업을 줄이고 코드형 인프라(IaC)를 우선시하는 전략을 채택하면, 인적 오류의 위험을 줄일 수 있을 뿐만 아니라 팀이 가장 중요한 작업에 집중할 수 있도록 규모를 확장할 수 있습니다. Cloudflare는 이러한 전략을 활용하고 있으며, Terraform을 사용하여 Cloudflare를 관리하고 시스템을 유지 관리하여 지속적으로 개선하는 방법을 공유하며, 복잡성과 인적 오류의 위험을 줄입니다.
보안 문화는 방어의 일환입니다
사이버 보안에 대한 인식을 강화하는 것은 단순한 예방책이 아니라 반드시 해야 할 일입니다. 모든 팀원이 사이버 보안 관행을 인지하고 적극적으로 참여하는 문화를 조성함으로써, Cloudflare는 단순히 장벽을 세우는 것을 넘어 디지털 위협에 대한 방화벽을 구축할 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 주제에 관해 자세히 알아보세요.
최신 위협에 대한 강력한 보안 문화를 구축하려면 애플리케이션 보안 현황 보고서를 확인하세요.
작성자
Ranee Bray — @raneebray
Cloudflare 사이버 보안 전략 및 실행 담당 이사
Jordan Lilly — @jordan-lilly
Cloudflare CSO 사무실 CSO 보안 참여 담당자
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
사고방식과 행동을 변화를 촉진하는 리더십의 역할
조직 내 보안 인식을 구축하는 방법
보안 프로그램에서 복잡성을 줄이는 것의 이점