골드만-제이피모건 침해는 엔터프라이즈 보안이 거짓에 기반하고 있음을 증명한다

Source: Dev.to

죄송합니다만, 번역하려는 전체 텍스트를 제공해 주시면 한국어로 번역해 드리겠습니다. 현재는 링크만 포함되어 있어 실제 내용이 없으므로 번역이 불가능합니다. 텍스트를 복사해서 보내 주시면 바로 도와드리겠습니다.

경계의 편안한 허구

전통적인 기업 보안 모델은 매력적인 전제에 기반합니다: 사용자를 올바르게 인증하고, 네트워크를 분할하며, 접근 지점을 제어하면 민감한 데이터가 안전하게 존재하는 신뢰 구역을 만들 수 있다는 것이죠. 이는 기업이 전체 기술 스택을 소유하고 직원들이 사내 사무실에서 근무하던 시절에는 타당했습니다.

하지만 그 세계는 첫 번째 SaaS 계약과 마지막 온프레미스 이메일 서버 사이 어딘가에서 사라졌습니다.

오늘날 기업은 르네상스 시대 은행 가문을 어지럽게 만들 정도로 복잡한 제3자 관계망을 통해 운영됩니다. 귀하의 로펌은 다른 공급업체의 클라우드 인프라에 의존하는 소프트웨어 회사가 만든 문서 관리 시스템을 사용하고, 그 시스템은 또 다른 업체에 보안 모니터링을 계약합니다. 이 체인상의 각 연결 고리는 새로운 공격 표면을 만들 뿐만 아니라 새로운 거버넌스 모델, 보안 표준, 사고 대응 역량을 도입합니다.

골드만과 JPMorgan의 침해 사건이 이를 완벽히 보여줍니다. 이들은 보안 프로그램이 약한 일시적인 조직이 아닙니다. 매년 수억 달러를 사이버 보안에 투자하고, 업계 최고의 인재들을 고용하며, 대부분의 기업을 압도할 규제 감시를 받는 기관들입니다. 그럼에도 불구하고 그들의 데이터는 법률 사무소를 통해 유출되었습니다—그들이 신뢰했지만 직접 통제하지 못한 엔터티를 통해서 말이죠.

이는 실사의 실패가 아니라, 철학의 실패입니다.

생태계 위험의 수학

벤더 생태계는 기존 보안 프레임워크로는 해결할 수 없는 위험 방정식을 만들어냅니다. 모든 제3자 관계는 수학자들이 “multiplicative risk” 라고 부르는 것을 도입하며, 귀사의 보안 자세는 모든 상호 연결된 보안 자세들의 합이 아니라 곱이 됩니다.

조직이 95 %의 보안‑효과성 비율(세계 최고 수준)을 유지하고, 비슷한 비율을 가진 벤더 10곳에만 의존한다면 실제 보안 효과성은 약 60 %로 떨어집니다. 현대 기업의 벤더 관계가 갖는 현실적인 복잡성—수십 개 혹은 수백 개의 통합—을 더하면 그 수치는 더욱 충격적이 됩니다.

실제 사례를 생각해 보십시오: 귀사의 로펌 문서 관리 벤더가 클라우드 제공업체의 잘못 구성된 API를 통해 침해됩니다. 이 침해는 인증 토큰을 유출시켜 귀하의 법률 문서에 접근하게 만들고, 그 문서에는 시장을 움직일 수 있는 M&A 활동에 대한 상세 내용이 포함되어 있습니다. 공격 경로는 서로 다른 보안 표준, 사고 대응 절차, 규제 요구사항을 가진 네 개의 조직을 거쳐 전파되었습니다.

전통적인 보안 모델은 이러한 경로를 식별하고 통제할 수 있다고 가정합니다. 실제로 대부분의 기업은 벤더 관계 전체에 대한 가시성조차 충분히 확보하지 못하고 있으며, 더 나아가 벤더의 벤더 관계까지 파악하고 있지는 못합니다.

침해 가정 혁명

우리가 침해를 방지하려고 애쓰는 대신, 침해가 불가피하다고 가정한다면 어떨까요?

이는 패배주의가 아니라 현실주의입니다. 그리고 이미 세계에서 가장 효과적인 보안 프로그램들을 이끌고 있습니다.

“침해 가정” 아키텍처를 기반으로 운영되는 조직은 세 가지 핵심 원칙에 집중합니다:

1. 데이터는 양자 상태로 존재한다. 모든 민감 정보는 “침해된” 상태와 “보안된” 상태가 동시에 존재하며, 이를 기반으로 결정을 내려야 할 순간까지는 두 상태가 공존합니다. 이는 일부 데이터가 노출되었더라도 시스템이 정상적으로 작동하도록 설계하도록 강요합니다.
2. 신원 확인이 유일한 실제 경계가 된다. 인프라를 제어할 수 없을 때는 인증·인가 결정을 제어합니다. 모든 데이터 접근은 사용자 행동, 데이터 민감도, 현재 위협 상황을 기반으로 실시간 위험 계산이 이루어집니다.
3. 복구 속도가 예방 완전성을 능가한다. 중요한 질문은 “침해당할지 여부”가 아니라 “얼마나 신속하게 범위를 파악하고, 피해를 차단하며, 신뢰할 수 있는 운영을 복구할 수 있느냐”입니다.

이 모델을 받아들인 조직들은 눈에 띄는 성과를 보고 있습니다. 이들은 단순히 공급업체 관련 침해에 더 강인할 뿐만 아니라, 내부자 위협, 고도 지속 위협(APT), 그리고 보안 팀을 밤새도록 고통스럽게 만드는 제로데이 공격에도 더 높은 저항력을 보이고 있습니다.

이것이 귀하의 보안 프로그램에 의미하는 바

가정‑침해(assumption‑of‑compromise) 아키텍처의 실질적인 영향은 깊고 즉각적입니다.

1. 벤더 위험 평가를 재고하십시오. 벤더가 침해를 방지할 수 있는지 묻는 것을 그만두고(그들은 할 수 없습니다), 얼마나 신속하게 탐지하고 차단할 수 있는지를 물어보세요. 그들의 사고‑대응 역량, 데이터 복구 절차, 투명성 약속을 평가하십시오. 최고의 벤더 관계는 완벽함을 약속하는 것이 아니라, 빠른 대응에 대한 공동 책임 위에 구축됩니다.
2. 모든 것을 예방이 아닌 탐지를 위해 계측하십시오. 공격을 차단한다는 도구에서 공격을 드러낸다는 도구로 보안 예산을 전환하십시오. 사용자 및 엔터티 행동 분석, 데이터 손실 방지, 보안 오케스트레이션 플랫폼이 핵심 투자 대상이 됩니다.
3. 지속적인 검증을 채택하십시오. 어디에서 시작되었든 모든 요청, 모든 세션, 모든 데이터 흐름을 검증하는 제로‑트러스트 제어를 구현하십시오.
4. 신속 대응 플레이북을 구축하십시오. 여러 벤더가 관여하는 침해 시나리오를 시뮬레이션하고, 모든 파트너가 협조하여 차단 및 복구 조치를 수행하도록 연습하십시오.
5. 정지 및 전송 중인 데이터를 암호화하고 토큰화하십시오. 벤더 환경이 침해당하더라도, 적절한 키 없이는 데이터가 해독될 수 없으며, 해당 키는 귀하가 통제합니다.

가정‑침해를 받아들임으로써 “악당을 차단하라”는 취약한 사고방식에서 “탐지, 차단, 복구”라는 회복력 있는 자세로 전환하게 됩니다—이는 오늘날 위협 환경에서 살아남기 위해 벤더 의존도가 높은 현대 기업이 반드시 필요로 하는 접근법입니다.

셋째, 노출을 전제로 한 데이터 처리 절차 설계

• 데이터 분류 체계는 민감도 수준과 함께 침해까지 소요 시간을 고려해야 합니다.
• 암호화 전략은 접근 제어가 실패하더라도 효과를 유지해야 합니다.
• 특정 데이터 소스가 침해당하더라도 비즈니스 프로세스가 계속 운영될 수 있어야 합니다.

가장 중요한 점, 경영진에게 보안에 대해 전달하는 방식을 바꾸세요

• 방지된 공격을 보고하는 대신 탐지 시간, 차단 효율성, 비즈니스 연속성 지표를 보고하십시오.
• 경영진은 보안이 요새를 구축하는 것이 아니라, 스트레스 하에서 더욱 강해지는 안티프래질 조직을 만드는 것임을 이해해야 합니다.

반론: 전통 모델이 지속되는 이유

타협‑가정(assumption‑of‑compromise) 아키텍처에 대한 비판가들은 정당한 우려를 제기합니다. 그들은 예방‑중심 보안을 포기하면 도덕적 해이가 발생한다며, 타협이 불가피하다고 가정하면 조직이 보안 투자를 줄이게 되지 않을까라고 주장합니다.

역사적 선례가 이 위험을 보여줍니다. 일부 조직은 “깊이 있는 방어(defense in depth)”를 개별 보안 통제가 약함을 정당화하는 구실로 사용해 왔으며, 여러 평범한 계층이 충분한 보호를 제공한다고 논리화했습니다. 타협‑가정 모델도 마찬가지로 기본적인 보안 위생에 대한 투자를 부족하게 만들 수 있습니다.

규제 프레임워크 역시 도전을 제기합니다. PCI‑DSS, HIPAA, SOX와 같은 많은 컴플라이언스 표준은 명시적으로 예방 통제와 경계‑보안(perimeter‑security) 모델을 기반으로 합니다. 이러한 요구 사항을 받는 조직은 타협‑가정 아키텍처를 규제 기대와 조화시키는 데 어려움을 겪을 수 있습니다.

이러한 우려는 근본적인 점을 놓치고 있습니다: 전통 보안 모델이 실패하는 이유는 우리가 이를 제대로 구현하지 못했기 때문이 아니라, 현대 기업이 운영되는 방식을 잘못된 가정에 기반하고 있기 때문입니다.

Goldman과 JPMorgan의 침해 사건은 이 조직들이 전통 보안 통제를 제대로 구현하지 못했기 때문에 발생한 것이 아니라, 전통 통제가 현대 비즈니스 관계의 복잡성과 상호 의존성을 설명할 수 없었기 때문에 발생한 것입니다.

잘못 판단했을 때의 위험

전통적인 경계 보안과 가정‑침해(Assumption‑of‑Compromise) 아키텍처 사이의 선택은 단순한 기술적 결정이 아니라, 깊은 영향을 미치는 비즈니스 전략 질문입니다.

• 경계 기반 보안에 집착하는 조직은 골드만삭스와 JPMorgan을 강타한 공급업체 생태계 공격에 점점 더 취약해질 것입니다.
• 더 중요한 것은, 이러한 조직이 유연성이 요구되는 시장에서 조직 회복력을 중시하는 경쟁자들보다 덜 민첩하고 경쟁력이 떨어진다는 점입니다.

다음 10년을 장악할 기업은 가장 강력한 방화벽을 가진 기업이 아니라, 일부 시스템이 침해당하더라도 효과적으로 운영을 지속할 수 있는 기업입니다. 이들은 새로운 공급업체를 온보딩하고, 새로운 기술을 도입하며, 보안 위험을 기하급수적으로 늘리지 않고 새로운 시장에 진입할 수 있는 기업입니다.

이러한 변혁은 새로운 기술만으로는 부족합니다—새로운 사고 방식이 필요합니다. 보안 팀은 성곽 방어수처럼 생각하는 것을 멈추고 면역 체계처럼 사고해야 합니다. 비즈니스 리더는 완벽한 보호를 기대하는 것을 멈추고 빠른 복구를 요구해야 합니다.

골드만삭스와 JPMorgan 침해 사건은 경고음이 아니라 이미 죽어 있던 보안 모델의 부고입니다. 문제는 귀 조직이 이 새로운 현실에 적응할 것인지, 아니면 더 이상 존재하지 않는 경계를 계속 방어할 것인지에 달려 있습니다.