.gif)
수많은 조직들에 구축된 SIEM 플랫폼이 제 기능을 발휘하지 못하고 있다. 공격자들의 기법들 중 겨우 24%만 탐지한다고 한다. 다행히 개선의 방법은 존재한다.
[보안뉴스 문정후 기자] 보안 정보 및 사건 관리(security information and event management, SIEM)를 위한 기업들의 노력은 갈수록 심화되어 가지만 여전히 많은 공격을 허용한다. 왜냐면 대부분의 SIEM 플랫폼들이 최근 해커들이 사용하는 공격 기법을 막지 못하기 때문이다. 심지어 해커들이 사용하는 흔한 기법들 중 1/4 정도에만 대응한다고 한다.
[이미지 = gettyimagesbank]
보안 업체 카디널옵스(CardinalOps)는 최근 스플렁크(Splunk), 마이크로소프트 센티넬(Microsoft Sentinel), IBM 큐레이더(IBM QRadar), 수모로직(Sumo Logic) 등에서 개발된 다양한 SIEM 플랫폼들이 활용되는 현장의 상황을 분석했다. 특히 마이터어택(MITRE ATT&CK)이라는 프레임워크에 나오는 공격자들의 공격 기법들을 얼마나 효과적으로 탐지하는 지를 측정했는데, 24%의 성적이 나왔다고 한다. 대부분의 공격 기법에 대해 속추무책이라는 뜻이다.
카디널옵스는 “SIEM의 실제 탐지 능력이 많이 부풀려진 채 기업들에 판매되고 있는 건 아닌지, 고객들이 실제 방어력에 비해 과한 자신감을 가지고 있는 건 아닌지 조사해봐야 할 필요가 있다”고 경고했다. “우리는 충분한 방어 능력을 갖추고 있다는 자신감이 사실과 달랐을 때 보안 사고가 가장 많이 일어납니다.”
마이터어택은 공격자들이 실전 전술과 기법을 모아놓은 통합 지식 베이스로, 실제 해킹 사고를 통해 집약된 공격자들의 수법들을 축적해 놓고 있다. 그러므로 이를 기준으로 보안 강화 전략을 마련하면 실질적인 효과를 볼 수 있는 것으로 알려져 있다. 국가 정부 기관이 지원하는 APT 단체들의 고급 공격 기술 역시 마이터어택 안에 망라되어 있다.
어쩌다 SIEM이 이렇게 됐을까
카디널옵스는 “SIEM의 효과가 이렇게 크게 떨어지게 된 것은 공격자들에 대한 충분한 지식과 자료가 있어도 이를 활용하려는 노력이 부족하기 때문”이라고 분석한다. “SIEM을 사용하는 기업 쪽에서 새로운 해킹 범죄나 공격에 관한 정보를 접하고 나면 이를 SIEM 플랫폼에 빠르게 적용해서 방어 기능을 최신화 해야 하는데 그렇게 하지 않고 있습니다. 한 번 구매해서 구축해 두면 그것으로 끝이라고 여기는 것이죠. 그렇기 때문에 이론적으로 SIEM이 가진 방어력과 실제 현장에서 발휘하는 방어력 사이에 차이가 생기는 겁니다.”
보안 업체 벌칸사이버(Vulcan Cyber)의 수석 기술 엔지니어인 마이크 파킨(Mike Parkin) 역시 “SIEM 플랫폼이라고 해서 마술처럼 모든 문제를 해결해 주는 것은 아니”라는 데 동의한다. “효과적으로 구축해서 관리 및 운영의 묘를 발휘해야 합니다. 기업 상황에 맞게 미세 조정을 해야 한다는 겁니다. 그렇게 하지 않고 SIEM의 기본 기능만 가지고 방어를 하려니 구멍이 숭숭 뚫리게 되는 것이지요.”
미세 조정과 규칙 추가 등의 노력을 계속 이어감으로써 SIEM이 탐지할 것들을 하나 둘 늘려나가는 것도 중요한데, 새로운 규칙을 정확하게 설정하는 것도 중요하다. 이번에 카디널옵스 측에서 조사한 바에 의하면 사용자들이 설정한 SIEM 규칙들 중 12%가 잘못되어 있었던 것으로 밝혀졌기 때문이다. 규칙을 설정해가며 SIEM을 관리한다고 했지만 헛수고가 된 경우가 12%나 되었다는 뜻이다.
“규칙을 처음부터 잘못 설정한 경우는 거의 없었을 겁니다. IT 인프라를 구성하는 기술이 너무나 빠르게 변하기 때문에 어제 맞았던 규칙이 오늘은 틀려질 수 있는데, 이런 점을 미처 다 반영하지 못한 것이죠. 사람이라면 할 수 있는 실수라 안타깝습니다만, 공격자가 노릴 수 있다는 점에서는 관리를 하지 않은 SIEM과 다를 바가 없습니다.” 카디널옵스 측의 설명이다.
마이터어택은 2013년 처음 만들어진 지식 베이스이자 프레임워크다. 그리고 현재는 공격자들의 공격 성향과 기법을 가장 잘 반영하고 있는 ‘표준 교과서’로서 받아들여지고 있다. 공격자들이 계속해서 공격 기법을 늘려감에 따라 마이터어택 역시 풍성해지는 중이다. 현재는 약 500개의 기법들이 포함되어 있으며, APT28, 라자루스 그룹, 핀7, 랩서스 등 유명 공격 단체의 주요 기법들 역시 정리돼 담겨 있다.
SIEM 활용, 어떻게 해야 할까?
그렇다면 SIEM을 어떻게 활용해야 방어 기술의 효과를 누릴 수 있을까? 카디널옵스 측은 “SIEM의 탐지 범위가 자동으로 확대될 수 있도록 자동화 기술을 활용해야 한다”고 권장한다. 이미 많은 SIEM 사용 기업들이 이런 식으로 SIEM을 보강하고 있다고 덧붙이기도 했다. “탐지 범위를 자동으로 확장해야 한다는 뜻입니다. 아직 많은 기업들이 수동으로 하고 있는데, 그러다 보니 제대로 업데이트가 되지 않는 게 현실입니다.”
보안 업체 비아쿠(Viakoo)의 부회장 존 갤러어(John Gallagher) 역시 “자동화와 접목시키지 않는 SIEM은 이제 반쪽짜리일 뿐”이라고 말한다. “기업의 네트워크는 갈수록 복잡해지고, 따라서 공격자들이 들어올 수 있는 통로들은 기하급수적으로 늘어나는 중입니다. 모바일 장비, 사물인터넷 장비들이 하루에도 몇 개씩이나 네트워크에 들어왔다가 나갔다 하는, 그런 상황이거든요. 이걸 손으로 하나하나 반영할 수 없어요. 그래서 지금 SIEM이 실제 환경에서는 24%만 탐지한다는 소리가 나오죠.”
파킨 역시 자동화 기술이 반드시 필요하다는 입장이다. “굳이 SIEM이 아니더라도 모든 기업들이 효과적인 방어를 하려면 자동화를 도입해야만 하는 상황이라고 생각합니다. 기존의 보안 강화 및 네트워크 관리 방법론을 가지고서는 디지털 자산에 대한 가시성을 확보할 수 없기 때문입니다. 현대 조직들이 운영하는 망이 수동 관리의 범주를 이미 오래 전에 넘어섰어요.”
글 : 엘리자베스 몬탈바노(Elizabeth Montalbano), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 보안 정보 및 사건 관리(security information and event management, SIEM)를 위한 기업들의 노력은 갈수록 심화되어 가지만 여전히 많은 공격을 허용한다. 왜냐면 대부분의 SIEM 플랫폼들이 최근 해커들이 사용하는 공격 기법을 막지 못하기 때문이다. 심지어 해커들이 사용하는 흔한 기법들 중 1/4 정도에만 대응한다고 한다.
[이미지 = gettyimagesbank]
보안 업체 카디널옵스(CardinalOps)는 최근 스플렁크(Splunk), 마이크로소프트 센티넬(Microsoft Sentinel), IBM 큐레이더(IBM QRadar), 수모로직(Sumo Logic) 등에서 개발된 다양한 SIEM 플랫폼들이 활용되는 현장의 상황을 분석했다. 특히 마이터어택(MITRE ATT&CK)이라는 프레임워크에 나오는 공격자들의 공격 기법들을 얼마나 효과적으로 탐지하는 지를 측정했는데, 24%의 성적이 나왔다고 한다. 대부분의 공격 기법에 대해 속추무책이라는 뜻이다.
카디널옵스는 “SIEM의 실제 탐지 능력이 많이 부풀려진 채 기업들에 판매되고 있는 건 아닌지, 고객들이 실제 방어력에 비해 과한 자신감을 가지고 있는 건 아닌지 조사해봐야 할 필요가 있다”고 경고했다. “우리는 충분한 방어 능력을 갖추고 있다는 자신감이 사실과 달랐을 때 보안 사고가 가장 많이 일어납니다.”
마이터어택은 공격자들이 실전 전술과 기법을 모아놓은 통합 지식 베이스로, 실제 해킹 사고를 통해 집약된 공격자들의 수법들을 축적해 놓고 있다. 그러므로 이를 기준으로 보안 강화 전략을 마련하면 실질적인 효과를 볼 수 있는 것으로 알려져 있다. 국가 정부 기관이 지원하는 APT 단체들의 고급 공격 기술 역시 마이터어택 안에 망라되어 있다.
어쩌다 SIEM이 이렇게 됐을까
카디널옵스는 “SIEM의 효과가 이렇게 크게 떨어지게 된 것은 공격자들에 대한 충분한 지식과 자료가 있어도 이를 활용하려는 노력이 부족하기 때문”이라고 분석한다. “SIEM을 사용하는 기업 쪽에서 새로운 해킹 범죄나 공격에 관한 정보를 접하고 나면 이를 SIEM 플랫폼에 빠르게 적용해서 방어 기능을 최신화 해야 하는데 그렇게 하지 않고 있습니다. 한 번 구매해서 구축해 두면 그것으로 끝이라고 여기는 것이죠. 그렇기 때문에 이론적으로 SIEM이 가진 방어력과 실제 현장에서 발휘하는 방어력 사이에 차이가 생기는 겁니다.”
보안 업체 벌칸사이버(Vulcan Cyber)의 수석 기술 엔지니어인 마이크 파킨(Mike Parkin) 역시 “SIEM 플랫폼이라고 해서 마술처럼 모든 문제를 해결해 주는 것은 아니”라는 데 동의한다. “효과적으로 구축해서 관리 및 운영의 묘를 발휘해야 합니다. 기업 상황에 맞게 미세 조정을 해야 한다는 겁니다. 그렇게 하지 않고 SIEM의 기본 기능만 가지고 방어를 하려니 구멍이 숭숭 뚫리게 되는 것이지요.”
미세 조정과 규칙 추가 등의 노력을 계속 이어감으로써 SIEM이 탐지할 것들을 하나 둘 늘려나가는 것도 중요한데, 새로운 규칙을 정확하게 설정하는 것도 중요하다. 이번에 카디널옵스 측에서 조사한 바에 의하면 사용자들이 설정한 SIEM 규칙들 중 12%가 잘못되어 있었던 것으로 밝혀졌기 때문이다. 규칙을 설정해가며 SIEM을 관리한다고 했지만 헛수고가 된 경우가 12%나 되었다는 뜻이다.
“규칙을 처음부터 잘못 설정한 경우는 거의 없었을 겁니다. IT 인프라를 구성하는 기술이 너무나 빠르게 변하기 때문에 어제 맞았던 규칙이 오늘은 틀려질 수 있는데, 이런 점을 미처 다 반영하지 못한 것이죠. 사람이라면 할 수 있는 실수라 안타깝습니다만, 공격자가 노릴 수 있다는 점에서는 관리를 하지 않은 SIEM과 다를 바가 없습니다.” 카디널옵스 측의 설명이다.
마이터어택은 2013년 처음 만들어진 지식 베이스이자 프레임워크다. 그리고 현재는 공격자들의 공격 성향과 기법을 가장 잘 반영하고 있는 ‘표준 교과서’로서 받아들여지고 있다. 공격자들이 계속해서 공격 기법을 늘려감에 따라 마이터어택 역시 풍성해지는 중이다. 현재는 약 500개의 기법들이 포함되어 있으며, APT28, 라자루스 그룹, 핀7, 랩서스 등 유명 공격 단체의 주요 기법들 역시 정리돼 담겨 있다.
SIEM 활용, 어떻게 해야 할까?
그렇다면 SIEM을 어떻게 활용해야 방어 기술의 효과를 누릴 수 있을까? 카디널옵스 측은 “SIEM의 탐지 범위가 자동으로 확대될 수 있도록 자동화 기술을 활용해야 한다”고 권장한다. 이미 많은 SIEM 사용 기업들이 이런 식으로 SIEM을 보강하고 있다고 덧붙이기도 했다. “탐지 범위를 자동으로 확장해야 한다는 뜻입니다. 아직 많은 기업들이 수동으로 하고 있는데, 그러다 보니 제대로 업데이트가 되지 않는 게 현실입니다.”
보안 업체 비아쿠(Viakoo)의 부회장 존 갤러어(John Gallagher) 역시 “자동화와 접목시키지 않는 SIEM은 이제 반쪽짜리일 뿐”이라고 말한다. “기업의 네트워크는 갈수록 복잡해지고, 따라서 공격자들이 들어올 수 있는 통로들은 기하급수적으로 늘어나는 중입니다. 모바일 장비, 사물인터넷 장비들이 하루에도 몇 개씩이나 네트워크에 들어왔다가 나갔다 하는, 그런 상황이거든요. 이걸 손으로 하나하나 반영할 수 없어요. 그래서 지금 SIEM이 실제 환경에서는 24%만 탐지한다는 소리가 나오죠.”
파킨 역시 자동화 기술이 반드시 필요하다는 입장이다. “굳이 SIEM이 아니더라도 모든 기업들이 효과적인 방어를 하려면 자동화를 도입해야만 하는 상황이라고 생각합니다. 기존의 보안 강화 및 네트워크 관리 방법론을 가지고서는 디지털 자산에 대한 가시성을 확보할 수 없기 때문입니다. 현대 조직들이 운영하는 망이 수동 관리의 범주를 이미 오래 전에 넘어섰어요.”
글 : 엘리자베스 몬탈바노(Elizabeth Montalbano), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
