24년간 사이버보안 업무를 한 엔지니어 케빈 버몬트(Kevin Beaumont)가 이번 ‘마이크로소프트(크라우드스트라이크) 글로벌 IT 대란’에서 얻은 교훈을 정리한 글입니다. 그는 거대 IT 기업과 사이버보안 업체의 협업 관계에서 투명성과 통제력 이슈가 있다고 짚습니다. 

(인용) “그들은 분석을 방지하기 위해(일부는 사기꾼을 막고 연구를 피하기 위해) 거의 모든 소프트웨어를 모호하게 하고 비공개 계약 뒤에 연구 및 테스트를 잠급니다. 그들은 고객 가시성, 책임성, 규제 조사 없이 지속적으로, 종종 하루에 여러 번 업데이트를 추진하고 있습니다. 즉 외부 거버넌스나 보증이 없는 소규모 민간 사이버 보안 회사 그룹에 왕국(기본적으로 Microsoft Windows와 같은 글로벌 경제)의 열쇠를 넘겨주는 것처럼 느껴집니다. 이게 늘 유야무야한 것처럼 느껴졌는데 이번 사건 이후 더 그렇게 느껴집니다.”

나아가 케빈 버몬트는 크라우드스트라이크가 이런 문제를 일으킨 유일한 회사가 아니며 마지막 회사도 아닐 거라면서, 다만 이번엔 너무 많은 시스템을 너무 빠르게 충돌시켜 버렸다고 해요. 앞으로 이런 일을 최대한 방지하려면 클라이언트(IT 기업)가 벤더(사이버보안 업체)에게 요구해야할 내용들을 다음과 같이 제안합니다.  

• 엔드포인트 보안 업데이트를 테스트하고 롤백하는 방법에 대해 더 많은 투명성을 제공합니다.

• Windows 커널과 잠재적으로 위험한 상호 작용이 있는 부분을 공개하고 보다 안전한 드라이버에 대한 로드맵을 개발하십시오.

• 관리형 플랫폼에 영향을 미치는 모든 보안 사고를 적시에 공개하겠다는 약속을 포함하여 자체 보안에 대한 투명성을 높여 고객이 일시적인 연결 중단에 대해 정보에 기초한 선택을 할 수 있도록 합니다.

• 운영 지역의 국가 보안법이 적용되어 고객 데이터에 대한 접근이 허용될 경우 사전에 공개하십시오.

• 잘못된 업데이트가 게시되면 무슨 일이 일어났는지, 왜 발생했는지, 향후 이를 해결하기 위해 취한 조치를 설명하는 완전한 투명성을 갖춘 보고서를 약속합니다.

케빈 버몬트는 클라이언트가 이런 요구들을 통해서 정보에 좀더 용이하게 접근할 수 있고 문제가 있을 때 리스크 수준을 빠르게 파악해서 의사결정을 내릴 수 있을 거라고 합니다. 벤더들과의 협업을 더 잘하는 방법이 될 거라고도 보고요.