저는 거의 모든 성인 생활을 IT 및 보안 전문가로 살아왔습니다.
네트워크 엔지니어로 커리어를 시작해서 꽤 빨리 보안 엔지니어가 되었습니다.
방화벽 자격증부터 시작해서 침입 탐지 및 예방을 추가했습니다.
포렌식 조사, 이디스커버리, 프로젝트 컨설팅 등 보안 분야는 계속 늘어났습니다.
프로젝트 컨설팅에서는 프로젝트의 위험 수준이 조직에서 허용 가능한 수준인지 확인하는 데 중점을 두었습니다.
지난 세 번의 직책에서 사이버 보안 조직의 최고 책임자였지만, 제가 기억할 수 있는 한 파일럿이 되고 싶었습니다.
2018년에는 공인 조종사 자격증을 취득했고, 2019년에는 고급 및 계기 지상 학교 교관이 되었습니다.
최근에는 기술 수준, 나이, 파일럿 경력의 목표가 서로 다른 약 15명의 학생에게 정식 지상 학교 수업을 가르쳤습니다.
최근 제 학생 중 한 명은 저와 비슷한 나이로 평생 비행을 꿈꿔왔으며 단지 재미로 비행을 하고 싶어하는 학생이고, 다른 학생은 16살로 항공사에서 비행을 하고 싶어하는 학생이며, 또 다른 어린 학생은 미 공군 조종사가 되고 싶어하는 학생입니다.
이러한 학생들마다 학습 동기와 투자 수준은 다르지만, 이들이 이해하고 받아들여야 하는 직업의 핵심적인 기본 사항은 몇 가지 있습니다.
이 글을 쓰면서 저는 항공 교육 자료, 기술 및 보안 서적들로 가득 찬 책장을 들여다보고 있습니다.
연방항공규정(FAR) 및 항공인 정보 매뉴얼(AIM)을 꺼내면 조종사, 항공기, 비행 및 관련 항목을 규율하는 연방규정 제14장에 포함된 540페이지 분량의 규칙과 규정이 담겨 있습니다.
제가 가지고 있는 책의 버전은 조종사를 위해 작성되었기 때문에 항공 산업 전반에 적용되는 수많은 규칙과 규정은 포함되어 있지 않습니다. “항공은 그 자체로 본질적으로 위험한 것은 아닙니다. 하지만 바다보다 훨씬 더 부주의, 무능력, 방치를 용서하지 않습니다.” – 런던의 영국 항공 보험 그룹, A. G. 램플러 기장.
1930’s 비행과 미국 연방항공청(FAA)의 역사, 그리고 117년 전으로 거슬러 올라가는 비행의 역사를 다루던 지상 학교 첫 날 수업을 떠올려보면 이러한 규정이나 규칙은 존재하지 않았습니다.
시간이 지나면서 항공 산업이 성장하고 조종사, 승객, 민간인이 목숨을 잃으면서 안타깝게도 이러한 법은 더 이상의 인명 손실을 막기 위해 피로써 만들어진 것입니다.
그리고 사이버 세계에서 현재 적용되는 모든 보안 규정과 요구 사항, 예를 들어 HIPAA, SOX 또는 최근에는 GDPR, CCPA 및 기타 개인 정보 보호 규정과 관련하여 이 역시 피로써 만들어진 법입니다.
이러한 법률은 누군가가 목숨을 잃었기 때문에 만들어지지는 않았지만, 생계, 신분 또는 저축을 잃은 사람들도 있습니다.
FAR의 대부분의 규정은 규범적이기 때문에 반드시 지켜야 합니다.
사이버 보안에는 반드시 따라야 하는 엄격하고 빠른 몇 가지 규칙과 지침이 있습니다.
다른 대부분의 영역은 “그래야 하는가?” 또는 “그런 일이 발생할 가능성을 줄이려면 어떻게 해야 하는가?”라는 질문과 같이 보다 암시적이고 해석의 여지가 열려 있습니다.
바로 이 부분에서 위험 관리와 재량권이 작용합니다.
비행은 큰 보람을 주는 활동이며 위험을 줄이기 위해 취하는 조치들이 있습니다.
저는 가르칠 때 학생들이 계획대로 일이 진행되지 않을 때 긍정적인 결과를 보장하기 위해 어떤 위험 관리 기술을 사용할지 생각하게 하는 접근 방식을 선호합니다.
사이버에서도 마찬가지입니다: 프로젝트의 성공적인 결과를 보장하고 일이 잘못될 가능성을 줄이기 위해 어떤 단계를 사용할 것이며, 어쨌든 일이 잘못되었을 때 그 영향을 최소화할 수 있도록 어떻게 위험을 해결할 것인지에 대해 생각해 보도록 합니다.
(위험 관리 및 사고 대응).
저는 항공 리스크 관리와 사이버 보안 리스크 관리를 비교하고 대조하는 짧은 시리즈 기사를 게시할 계획입니다.
앞으로의 글에서는 파일럿인 다른 사이버 보안 전문가들과 함께 유사점과 차이점에 대해 논의하고 싶습니다.
다음 글에서는 체크리스트의 정의, 체크리스트에 포함되는 항목과 포함되지 않는 항목, 위험 기반 접근 방식에서 체크리스트를 사용하는 방법에 대해 알아보겠습니다.
다음에는 항공과 사이버의 훈련과 사고방식의 차이에 대해 집중적으로 살펴보겠습니다.
그 후에는 절차 훈련, 엔진 정지 절차 등 문제가 발생했을 때 대처하는 연습 방법, 백업, 패치, 사고 대응 등과 같은 사이버 보안 프로세스 및 절차를 정기적으로 테스트하는 방법에 대해 논의할 것입니다.
