탐지를 위주로 한 전략, 항상 실패하는데 언제까지 고집?
제작 시작부터, 시스템 사용부터 보안에 입각한 문화 정착 필요

* 해당 글은 지난 주 보안뉴스에 실린 기고문, ‘사후대처 : 더 나은 해킹 방지와 보호를 위한 균형’에 대한 반박글로 둘을 비교해 보시면 생각을 정리하는 데에 더 도움이 될 것입니다.
[보안뉴스 문가용] 기업들이 매년 자신들을 사이버 위협으로부터 보호하겠답시고 사용하는 비용이 자그마치 7백 6십억 달러라고 한다. 그러나 현실은 어떤가? 나쁜 놈들이 늘 승리한다. 그 7백 6십억 달러짜리 두터운 방어막을 뚫고 들어와 가져갈 걸 다 가져간다. 왜 그런가? 보안의 기조가 ‘방지’에서 ‘탐지’로 변하고 있기 때문이다. 2015년에만 2100건의 유출사고가 일어났고 FBI에 따르면 이미 미국 내 주요기업들은 한 군데도 빠짐없이 중국의 해커에 의해 노출된 상태라고 하는데도 우리는 탐지에만 목을 매고 있다.
 

▲ 그래, 난 찾을 거야, 저 넓은 창공에서 우연히라도! (현 실적 0)

심지어 이런 현상이 한두 번 일어난 것도 아니다. 저 먼 옛날, 트로이목마 전술을 생각해보라. 트로이인들은 갑자기 사라진 그리스 군대에 대해 아무런 의심도 품지 않고 그 거대한 목마상을 자기들 손으로 끌어들였다. 그 안에 숨어있던 그리스 군에 대한 탐지를 실패한 것이고, 트로이는 망했다. 많이 본 시나리오 아닌가? 버라이즌의 보고서에 의하면 오늘날 공격에 성공한 멀웨어들 중 70~90%가 ‘고유하다’. 즉 공격 대상에 따라 색다른 멀웨어가 매번 개발되고 사용되는 것이다. 과거의 공격 기법을 데이터 삼아 ‘탐지’를 해내는 현대의 기술로는 이런 새로운 기술에 대해 파악할 재간이 없다. 잘못 보고 잘못 탐지할 수밖에 없는 운명인 것이다. 그리고 그 결과를 우리는 매일 신문에서 본다.

탐지 위주 전략은 잘못된 전략이다
탐지는 어쩔 수 없이 어느 정도 실패할 수밖에 없다. 1936년 튜링기계의 정지 문제나 알론조 처치의 람다 셈법으로도 증명된 바 있다. 쉽게 말하자면 ‘프로그램화 된 기계로 새로운 문제를 풀 수 없다’는 것은 일찌감치 증명된 바다. 즉 새롭게 등장하는 악성 코드를 우린 100% 정확하게 탐지할 수 없다는 거다.

어떤 제조사들은 ‘고급화된 위협 탐지 솔루션’을 개발했다고 주장하기도 한다. 심지어 새로운 알고리즘을 발견했다고 말하기도 한다. 그러나 단언컨대 전부 다 과장에 거짓말이다. 또한 영리적인 계산이 배경에 깔린 교묘한 발언이다. 그러면서 다른 한 편으론 적들이 얼마나 대단한지, 해커들의 기술이 얼마나 놀라운지, 탐지라는 작업이 얼마나 부지런하고 쉴 새 없이 돌아가야 하는지, 얼마나 극한의 부지런함을 요구하는지 강조한다. 탐지가 실패했을 경우 도망갈 구멍을 찾는 것이다. 아마, 스스로를 그런 식으로 용서하고 싶겠지. 그러니 보안 업계에서는 ‘늘 어딘가에 구멍이 하나씩은 있다’던가 ‘무결점의 방어막은 존재하지 않는다’, ‘만병통치약이 어딨어?’라는 말을 하는 것이다.

그러나 이런 모순이 쌓이고 쌓였기 때문에 보안 업계에 대한 신뢰가 아직 높지 않은 것이다. 인정할 건 인정해야지. 우린 아직 모든 악성 공격을 다 탐지할 수 없다. 그건 여태까지 증명되어온 사실이고 앞으로도 그러할 우리들의 사정이며 세상이 마땅히 우리에 대해 똑바로 알아야 할 사항이다. 사후대처나 포렌식에 집중하자는 자들도 별반 다를 게 없다고 본다. 즉 ‘탐지’ 위주 전략이 시작부터 잘못된 것이라는 건 역사적으로도 증명되었고 지금도 우리가 숨기고 싶어 하는 치부라는 것이다.

탐지가 실패했을 때 일어나는 일 두 가지
탐지가 실패했을 때 어떤 일이 일어날까? 누구나 예상할 수 있겠지만 먼저는 해커의 실제 공격이 일어난다. 암호화된 TLS 웹 트래픽의 속 내용을 볼 수 없는 IPS가 좋은 예다. 대부분의 공격이(약 70%) 이 TLS를 통해서 일어나는데 IPS는 그걸 볼 수가 없으니 그대로 통과시켜준다. 트로이목마 전략과 아주 많이 흡사하다.

더 나쁜 건 이런 식의 공격이 자주 일어나면 IPS가 양치기 소년 취급받게 된다는 것이다. 수많은 오류 속에 한 가지 정확한 첩보마저 묻힌다는 것. 최근 포네몬에서 발표한 보고서에 따르면 보안팀이 실제로 수사를 진행하는 건 경보가 발생된 사건의 4%에 불과하다. 효율이 낮을 수밖에 없고 실패할 확률이 높을 수밖에 없다. 아니, 거의 운에 맡기는 수준 아닌가. 그 유명한 타깃(Target) 사태가 경보에 제대로 반응하지 못해서 일어난 일이란 것을 기억해보자. 보안 담당자 입장에서 당시 실제 위협은 매일처럼 흘려버리는 96% 안에 있었을 뿐이다.

지금 업계가 말하는 탐지 위주 전략은 실패한 탐지 전략이다
사실 탐지를 한다는 접근 자체가 잘못된 건 아니다. 다만 좋은 탐지란 ‘현실 반영’이 충실한 것이란 것을 우린 간과하고 있다. 현대의 사이버 공격 패턴은 어떤가? 매 시간마다 멀웨어가 모양을 달리해서 등장한다. 탐지 기술이 이를 쫓아갈 수 없다. 그렇다면 현실 반영이 안 된다는 거고, 그렇다면 좋은 탐지가 아니라는 뜻이 된다. 즉 우리가 현재 사용하고 있는 탐지 전략은 여러 우수한 탐지 전략 중 최악의 것 중 하나라는 거다.

또한 한 시스템에 혹은 한 네트워크에 하나의 공격만 들어왔을 거라는 보장이 전혀 없다는 것도 문제다. 30 바이트짜리 멀웨어를 디코딩 하는데 필요한 시그니처는 최소 2240개라고 한다. 이런 게 하나일지 두 개일지 어떻게 알고 탐지 작업을 시작하는가? 실제로 포렌식이나 사후 수사 팀의 수사과정을 전부 거치면서도 멀웨어가 살아남은 예가 없는 것도 아니다. 결국 탐지를 하는 것이나 멀웨어 및 공격 패턴을 미리 파악해내는 것이나 제대로 못하고 있기는 마찬가지다.

이렇게 탐지가 불가능하다면 할 수 있는 일이 무엇일까? 처음 기획부터 ‘보안’을 염두에 두고 해야 하는 것이다. 앞에서 타깃의 예를 들었는데, 네트워크를 아주 작게 세분화해서 관리했다면 사고를 막을 수 있었을 것이다. 아주 작은 가상화, 즉 마이크로 가상화를 하면 한 시스템에서 실행하는 일들을 하드웨어 별로 따로 배치해 악성 공격을 자동으로 물리칠 수도 있다. 또한 사용자에게 최소한의 권한을 배정하는 문화도 정착시켜야 한다. 지금 우리는 너무 편하게만 작업을 하려고 하는 건 아닌지.

결국 신뢰할 것이 점점 줄어드는 세상에서 살아남으려면 최소한의 사람들에게만 권한을 주고, 조금이라도 불신할 부분이 있는 자들에 대해서는 가차 없이 권한을 잘라버리면 된다. 하드웨어를 따로따로 운영하기 시작하면 보안이 한 단계 업그레이드되고, 마이크로 가상화 처리가 된 엔드포인트에서는 사용자와 시스템 전부 안전해진다. 또한 아예 신뢰라는 것 자체에 의존할 이유가 없어진다.

이런 문화가 퍼지면 잘못된 경보의 수가 확연히 줄어들고 실제 공격에 대한 정보를 분석가가 접할 가능성이 높아진다. 즉 우리 안의 양치기 소년도 없어지고 트로이 목마도 사라지게 할 수 있다는 것이다. 더 이상 탐지에 목을 매서는 안 된다. 우리는 보안의 문화를 창출해야 한다. 탐지를 강조하다보면 마케팅과 기업이윤만을 목적으로 한 계산된 실패를 이어갈 수밖에 없다.

글 : 시몬 크로스비(Simon Crosby)
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>