저는 거의 평생을 IT 및 보안 전문가로 살아왔습니다. 저는 네트워크 엔지니어로 커리어를 시작했고, 꽤 빨리 보안 엔지니어가 되었습니다. 방화벽 인증을 추가하는 것으로 시작한 다음 침입 탐지 및 예방 기능을 추가했습니다. 포렌식 조사, 이디스커버리, 프로젝트 컨설팅 등을 추가하는 등 보안 영역은 계속 성장하고 있습니다. 프로젝트 컨설팅에서는 프로젝트의 위험 수준이 조직이 수용할 수 있는 수준인지 확인하는 데 중점을 두었습니다. 저는 지난 세 번의 직책에서 사이버 보안 조직의 최고 책임자였지만, 제가 기억할 수 있는 한 오랫동안 파일럿이 되고 싶었습니다.
2018년에는 공인 조종사 자격증을 취득했고, 2019년에는 고급 및 계기 지상 학교 교관이 되었습니다. 저는 최근 기술 수준, 연령, 파일럿 경력 목표가 서로 다른 약 15명의 학생들을 대상으로 정식 지상 학교 수업을 마쳤습니다.
최근 제 학생 중 한 명은 저와 비슷한 나이로 평생 비행을 꿈꿔왔으며 단지 재미로 비행을 하고 싶어 하는 학생이고, 또 다른 학생은 16살로 항공사에서 비행을 하고 싶어 하는 학생이며, 또 다른 어린 학생은 미 공군 조종사가 되고 싶다는 꿈을 가지고 있습니다.
이러한 학습자마다 각기 다른 원동력과 투자 수준이 있지만, 이들이 이해하고 수용해야 하는 직업의 몇 가지 핵심 기본 사항이 있습니다.
이 글을 쓰면서 항공 교육 자료, 기술 및 보안 서적들로 가득 찬 제 책장을 들여다보고 있습니다. 연방항공규정(FAR) 및 항공인 정보 매뉴얼(AIM)을 열어보면 조종사, 항공기, 비행 및 관련 항목을 규율하는 연방규정 제14편에 포함된 540페이지 분량의 규칙과 규정이 포함되어 있습니다. 제가 가지고 있는 책 버전은 조종사들을 위해 쓰여졌기 때문에 항공 산업 전반에 적용되는 수많은 규칙과 규정이 포함되어 있지 않습니다.
“항공은 그 자체로 본질적으로 위험한 것은 아닙니다. 하지만 바다보다 훨씬 더 부주의, 무능력, 방치를 용서하지 않습니다.” – 영국 항공 보험 그룹, 런던의 A. G. 램플러 기장. 1930’s
비행의 역사와 연방항공청(FAA), 그리고 117년 전으로 거슬러 올라가는 비행의 역사를 다루던 지상 학교 수업 첫날을 떠올려보면 그런 규정이나 규칙은 존재하지 않았습니다. 시간이 지나면서 항공 산업이 성장하고 조종사, 승객, 민간인이 목숨을 잃자 안타깝게도 더 이상의 인명 손실을 막기 위해 피로써 작성된 이 법이 만들어졌습니다.
그리고 사이버 세계의 모든 보안 규정과 요구 사항, 예를 들어 HIPAA, SOX 또는 최근에는 GDPR, CCPA 및 기타 개인 정보 보호 규정과 관련하여 이러한 규정 역시 생활 속에서 쓰여지고 있습니다. 이 법은 누군가가 목숨을 잃었기 때문에 만들어진 것은 아니지만, 생계, 신분, 저축을 잃은 사람들도 있습니다.
FAR의 규정은 대부분 규범적이기 때문에 반드시 지켜야 하는 사항입니다. 사이버 보안에는 반드시 지켜야 하는 몇 가지 엄격한 규칙과 지침이 있습니다. 다른 대부분의 영역은 “그래야 할까요?” 또는 “그런 일이 발생할 가능성을 줄이려면 어떻게 해야 할까요?”와 같이 보다 암시적이고 해석의 여지가 있는 질문입니다.
바로 여기에서 위험 관리와 재량권이 작용합니다. 비행은 매우 보람 있는 활동이며 위험을 줄이기 위해 취하는 조치가 있습니다. 저는 가르칠 때 학생들이 계획대로 일이 진행되지 않을 때 긍정적인 결과를 보장하기 위해 어떤 위험 관리 기법을 사용할지 생각하게 하는 접근 방식을 선호합니다. 사이버 공간에서도 마찬가지입니다: 프로젝트의 성공적인 결과를 보장하고 문제가 발생할 가능성을 줄이기 위해 어떤 단계를 사용할 것이며, 어쨌든 문제가 발생했을 때 그 영향을 최소화할 수 있도록 어떻게 위험을 해결할 것인지, 그리고 문제가 발생할 경우 어떻게 대처할 것인지 고민해야 합니다. (위험 관리 및 사고 대응).
앞으로 항공 리스크 관리와 사이버 보안 리스크 관리를 비교하고 대조하는 짧은 연재를 연재할 예정입니다. 향후 기사에서는 다른 사이버 보안 전문가들과 함께 파일럿의 유사점과 차이점에 대해 논의하고 싶습니다. 다음 글에서는 체크리스트의 정의, 체크리스트에 포함되는 항목과 포함되지 않는 항목, 위험 기반 접근 방식에서 체크리스트를 사용하는 방법에 대해 설명합니다. 다음에는 항공과 사이버의 훈련과 사고방식의 차이에 대해 집중적으로 설명하겠습니다. 그 후에는 절차 훈련, 엔진 중단 절차 등 문제가 발생했을 때 대처하는 연습 방법, 백업, 패치, 사고 대응 등과 같은 사이버 보안 프로세스와 절차를 정기적으로 테스트하는 방법에 대해 설명합니다.
