.jpg)
보안 문화가 정착되어야 한다는 것에 대하여 많은 임원들이 고민하고 있다. 하지만 그 ‘보안 문화’라는 것이 대단히 모호할 수 있다. 전문가들은 여기에 대해 이렇게 이야기 한다. 결국 ‘속도전’이라는 사실을 이해해야 한다고.
[보안뉴스 문정후 기자] 사이버 공격으로 인한 피해 규모는 상상을 훌쩍 뛰어넘을 수 있다. 지난 9월 사이버 공격에 당한 MGM리조트(MGM Resorts)의 경우 1억 달러의 손해를 본 것으로 예상되고 있다. 하지만 모든 사이버 공격이 이런 천문학적인 손해를 끼쳐야 하는 건 아니다. 우리는 얼마든지 사이버 공격의 피해를 줄일 수 있고, 심지어 예방할 수도 있다.
[이미지 = gettyimagesbank]
구글 클라우드(Google Cloud)의 부회장인 에릭 도어(Eric Doerr)는 “위협 행위자들이 계속해서 실력이 늘고 있으며, 전략도 계속해서 발전시키고 있다”고 말한다. “그러면서 우리의 탐지 기술도 점점 능숙하게 피해가고 있습니다.” 이것이 공격자의 상황이라면 방어자들은 어떨까? “지금 일반 사용자 기업들의 상황은 거의 비슷합니다. 너무 많은 경보가 울려서 무엇부터 손 봐야 할지 몰라 갈팡질팡 하고 있거든요. 그러니 손해가 커질 수밖에 없습니다.”
그러면 어떻게 해야 할까? “공격자들의 위협 행위와 공격 시도를 빠르게 발견하면 됩니다. 즉 공격자들의 속도전에 발을 맞춰주면 된다는 것입니다. 그러려면 ‘우리 회사를 공격한다면 왜, 어떤 식으로 할 것인가?’를 깊이 이해하는 것부터 시작해야 합니다. 여러 최신 공격 기법들이 개발되고 있기는 하지만 결국 중요한 건 공격자들의 목적이거든요. 우리 회사를 노리는 공격자들의 목적성을 깊이 이해하면 할수록 경보 속에서 진짜 중요한 것들을 잘 골라낼 수 있게 되고 사각지역도 사라지게 됩니다. 그러면서 탐지의 속도도 올라가죠.”
딜로이트(Deloitte)의 리스크 관련 총괄 고문인 마이크 모리스(Mike Morris)는 “미리 나서서 위협 요소들을 찾아내는 것만큼 탐지를 빠르게 해 주는 건 없다”는 의견이다. “사건이 일어나기를 기다렸다가 움직이는 것과, 사건이 올 것을 대비해 미리 움직이는 것 중 빠른 건 무엇일까요? 공격자들을 미리 예상하여 취약점을 미리 패치해 두고, 고급 탐지 기술을 구축하는 등의 조치를 선제적으로 취하지 않는다면 아무리 빨리 움직여도 느릴 수밖에 없습니다. 수년 전부터 보안 업계는 이를 ‘위협 사냥(threat hunting)’이라고 불러 왔습니다.”
하지만 어디서부터 어떻게 손을 써야 ‘선제적으로 움직이는 것’이 될까? “위협을 사냥한다는 건, 사냥꾼들과 비슷하게 움직인다는 의미를 갖습니다. 사냥꾼들은 사냥감이 출몰할 만한 곳을 먼저 찾죠. 여러 가지 정보를 취합해 후보지를 정하고, 그곳에 덫을 놓고 사냥 활동을 시작합니다. 보안에서도 마찬가지입니다. 선제적으로 움직여서 효과를 보려면 먼저 정확한 첩보가 뒷받침 되어야 합니다.”
그러면서 모리스는 “선제적 보안이라는 걸 너무 어렵게 생각할 필요가 없다”고 강조한다. “물리적인 위협에 대비하는 경비병들이나 보초들을 보세요. 이들은 자신들이 담당할 구역을 끊임없이 살피고 검사합니다. 그리고 자신들의 정해진 위치를 벗어나지 않지요. 계속 순찰도 돌고, 이상한 게 발견되면 집중적으로 살피거나 상부에 알립니다. 선제적 보안이라는 것이 정확히 이런 걸 말합니다. 구역을 정해 순찰하고, 검사하고, 알리는 일을 끊임없이 하는 것이죠.”
전문 서비스 제공 및 컨설팅 업체인 모건프랭클린컨설팅(MorganFranklin Consulting)의 수석 컨설턴트인 조셉 페리(Joseph Perry)는 “사람이 아무리 빠르게 움직여 봐야 결국 도구들이 위협을 탐지해야 하고, 사람은 도구를 속도에서 이길 수 없다”고 말한다. “그러므로 탐지와 모니터링에 사용되는 도구들과 규칙들을 계속해서 살피고 상황에 따라 미세 조정하는 것이 우리가 할 일입니다. 주기적으로 도구들을 검사해 제대로 작동하고 있는지, 현실을 잘 반영하고 있는지, 오탐은 얼마나 내며, 정탐 비율을 높이려면 어떤 조치를 취해야 하는지 등을 계속해서 검사하고 살펴야 하지요. 이것이 오히려 선제적 보안입니다.”
페리는 “모든 조직은 고유한 환경을 가지고 있고, 완전히 똑같은 환경은 존재하지 않는다”고 강조하며 “그렇기 때문에 보안 업체들이 내놓는 각 보안 솔루션들이 어느 회사에 구축되든 똑같은 성능을 보일 수는 없다”고 말한다. “물론 어느 정도 기본은 하겠지요. 하지만 디폴트 상태 그대로 썼을 때 성능이 100% 나온다고 보기 힘듭니다. 사용자가 기업의 상황에 따라 보안 솔루션들을 미세하게 조정해야 합니다. 보안 담당자가 할 일 중 가장 중요한 게 바로 이거라고 봅니다. 그래야 솔루션에 투자되는 돈이 아깝지 않을 수 있고, 회사는 더 안전해질 수 있거든요.”
보안 업체 액센추어(Accenture)의 수석 보안 책임자인 릭 드리거스(Rick Driggers)는 “주기적으로 취약점을 스캔하거나 지속적으로 네트워크를 모니터링 하는 등 우리가 흔히 알고 있는 보안의 일정한 업무를 자동화 처리하는 게 중요하다”고 짚는다. “자동화 기술을 적극 활용하지 않는다면 탐지 속도를 높이는 데에 한계에 부딪힐 수밖에 없습니다.”
하지만 자동화 기술에만 의존하는 건 그것대로 문제라고 드리거스는 경고한다. “사람과 조직 차원의 대비도 필요합니다. 이는 크게 네 가지 단계로 구성되는데요, 1) 클라우드 보안 계획을 짜고, 2) 활용 가능한 인공지능 및 머신러닝 기반 탐지 도구들을 활용하고, 3) 제로트러스트라는 개념을 전반적으로 도입하고, 4) 규정 준수를 꼼꼼하게 검토하고 이행하는 것이라고 정리할 수 있습니다.” 그리고 이것을 기반으로 보안 전략을 주기적으로 수정하는 것까지도 포함한다고 드리거스는 덧붙였다. “공격자들은 늘 변합니다. 보안 전략도 그러해야 합니다.”
글 : 존 에드워즈(John Edwards), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 사이버 공격으로 인한 피해 규모는 상상을 훌쩍 뛰어넘을 수 있다. 지난 9월 사이버 공격에 당한 MGM리조트(MGM Resorts)의 경우 1억 달러의 손해를 본 것으로 예상되고 있다. 하지만 모든 사이버 공격이 이런 천문학적인 손해를 끼쳐야 하는 건 아니다. 우리는 얼마든지 사이버 공격의 피해를 줄일 수 있고, 심지어 예방할 수도 있다.
[이미지 = gettyimagesbank]
구글 클라우드(Google Cloud)의 부회장인 에릭 도어(Eric Doerr)는 “위협 행위자들이 계속해서 실력이 늘고 있으며, 전략도 계속해서 발전시키고 있다”고 말한다. “그러면서 우리의 탐지 기술도 점점 능숙하게 피해가고 있습니다.” 이것이 공격자의 상황이라면 방어자들은 어떨까? “지금 일반 사용자 기업들의 상황은 거의 비슷합니다. 너무 많은 경보가 울려서 무엇부터 손 봐야 할지 몰라 갈팡질팡 하고 있거든요. 그러니 손해가 커질 수밖에 없습니다.”
그러면 어떻게 해야 할까? “공격자들의 위협 행위와 공격 시도를 빠르게 발견하면 됩니다. 즉 공격자들의 속도전에 발을 맞춰주면 된다는 것입니다. 그러려면 ‘우리 회사를 공격한다면 왜, 어떤 식으로 할 것인가?’를 깊이 이해하는 것부터 시작해야 합니다. 여러 최신 공격 기법들이 개발되고 있기는 하지만 결국 중요한 건 공격자들의 목적이거든요. 우리 회사를 노리는 공격자들의 목적성을 깊이 이해하면 할수록 경보 속에서 진짜 중요한 것들을 잘 골라낼 수 있게 되고 사각지역도 사라지게 됩니다. 그러면서 탐지의 속도도 올라가죠.”
딜로이트(Deloitte)의 리스크 관련 총괄 고문인 마이크 모리스(Mike Morris)는 “미리 나서서 위협 요소들을 찾아내는 것만큼 탐지를 빠르게 해 주는 건 없다”는 의견이다. “사건이 일어나기를 기다렸다가 움직이는 것과, 사건이 올 것을 대비해 미리 움직이는 것 중 빠른 건 무엇일까요? 공격자들을 미리 예상하여 취약점을 미리 패치해 두고, 고급 탐지 기술을 구축하는 등의 조치를 선제적으로 취하지 않는다면 아무리 빨리 움직여도 느릴 수밖에 없습니다. 수년 전부터 보안 업계는 이를 ‘위협 사냥(threat hunting)’이라고 불러 왔습니다.”
하지만 어디서부터 어떻게 손을 써야 ‘선제적으로 움직이는 것’이 될까? “위협을 사냥한다는 건, 사냥꾼들과 비슷하게 움직인다는 의미를 갖습니다. 사냥꾼들은 사냥감이 출몰할 만한 곳을 먼저 찾죠. 여러 가지 정보를 취합해 후보지를 정하고, 그곳에 덫을 놓고 사냥 활동을 시작합니다. 보안에서도 마찬가지입니다. 선제적으로 움직여서 효과를 보려면 먼저 정확한 첩보가 뒷받침 되어야 합니다.”
그러면서 모리스는 “선제적 보안이라는 걸 너무 어렵게 생각할 필요가 없다”고 강조한다. “물리적인 위협에 대비하는 경비병들이나 보초들을 보세요. 이들은 자신들이 담당할 구역을 끊임없이 살피고 검사합니다. 그리고 자신들의 정해진 위치를 벗어나지 않지요. 계속 순찰도 돌고, 이상한 게 발견되면 집중적으로 살피거나 상부에 알립니다. 선제적 보안이라는 것이 정확히 이런 걸 말합니다. 구역을 정해 순찰하고, 검사하고, 알리는 일을 끊임없이 하는 것이죠.”
전문 서비스 제공 및 컨설팅 업체인 모건프랭클린컨설팅(MorganFranklin Consulting)의 수석 컨설턴트인 조셉 페리(Joseph Perry)는 “사람이 아무리 빠르게 움직여 봐야 결국 도구들이 위협을 탐지해야 하고, 사람은 도구를 속도에서 이길 수 없다”고 말한다. “그러므로 탐지와 모니터링에 사용되는 도구들과 규칙들을 계속해서 살피고 상황에 따라 미세 조정하는 것이 우리가 할 일입니다. 주기적으로 도구들을 검사해 제대로 작동하고 있는지, 현실을 잘 반영하고 있는지, 오탐은 얼마나 내며, 정탐 비율을 높이려면 어떤 조치를 취해야 하는지 등을 계속해서 검사하고 살펴야 하지요. 이것이 오히려 선제적 보안입니다.”
페리는 “모든 조직은 고유한 환경을 가지고 있고, 완전히 똑같은 환경은 존재하지 않는다”고 강조하며 “그렇기 때문에 보안 업체들이 내놓는 각 보안 솔루션들이 어느 회사에 구축되든 똑같은 성능을 보일 수는 없다”고 말한다. “물론 어느 정도 기본은 하겠지요. 하지만 디폴트 상태 그대로 썼을 때 성능이 100% 나온다고 보기 힘듭니다. 사용자가 기업의 상황에 따라 보안 솔루션들을 미세하게 조정해야 합니다. 보안 담당자가 할 일 중 가장 중요한 게 바로 이거라고 봅니다. 그래야 솔루션에 투자되는 돈이 아깝지 않을 수 있고, 회사는 더 안전해질 수 있거든요.”
보안 업체 액센추어(Accenture)의 수석 보안 책임자인 릭 드리거스(Rick Driggers)는 “주기적으로 취약점을 스캔하거나 지속적으로 네트워크를 모니터링 하는 등 우리가 흔히 알고 있는 보안의 일정한 업무를 자동화 처리하는 게 중요하다”고 짚는다. “자동화 기술을 적극 활용하지 않는다면 탐지 속도를 높이는 데에 한계에 부딪힐 수밖에 없습니다.”
하지만 자동화 기술에만 의존하는 건 그것대로 문제라고 드리거스는 경고한다. “사람과 조직 차원의 대비도 필요합니다. 이는 크게 네 가지 단계로 구성되는데요, 1) 클라우드 보안 계획을 짜고, 2) 활용 가능한 인공지능 및 머신러닝 기반 탐지 도구들을 활용하고, 3) 제로트러스트라는 개념을 전반적으로 도입하고, 4) 규정 준수를 꼼꼼하게 검토하고 이행하는 것이라고 정리할 수 있습니다.” 그리고 이것을 기반으로 보안 전략을 주기적으로 수정하는 것까지도 포함한다고 드리거스는 덧붙였다. “공격자들은 늘 변합니다. 보안 전략도 그러해야 합니다.”
글 : 존 에드워즈(John Edwards), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)