전문성 발휘가 굳이 필요 없는 반복적인 작업 제거
네트워크 안에 있는 사용자와 기기의 자동 프로파일링 필요

[보안뉴스 문가용] 정보 침해 사고의 위기를 해결하려면 전략과 생각이 필요하다. 예전, 피해자 시스템에 잠깐 머물다가 얼른 필요한 데이터를 챙겨 나가는 표적 공격에 대한 탐지 전략은 오늘날의 APT 공격, 즉 공격이 한 6개월 정도 지속되는 방식에는 유효하지 못하다. 즉 변화가 시대마다 필요하다는 것이다.
 


 
정보보안 업계가 가장 시급히 필요로 하는 변화란 무엇일까? 전문성 높은 보안 분석가들의 한 땀 한 땀 정성어린 분석 결과물이나 보고서에 지나치게 의존하는 것에서부터 벗어나 현재 네트워크 안에서 벌어지고 있는 공격을 빨리빨리 막아내는 자동화 처리 방식으로 가는 것이다. 멀웨어 하나, 공격 방식 하나 철저히 연구하기에는 이제 공격의 방식과 멀웨어의 종류가 지나치게 많다.

1. 자동화란
오해가 있을 것도 같아 조금 더 설명을 해 보자면, 내가 자동화를 주장하는 이유는 현재 보안업계가 보유하고 있는 기술이나 정보, 툴이나 능력이 모자라서 침해 탐지를 못하는 게 아니기 때문이다. 이젠 이미 확보하고 있는 기술과 능력을 적재적소에 활용하는 것에 더 초점을 맞추어야 한다. 그 증거로, 해킹 사고를 당한 회사에서 ‘분석할 데이터가 부족했어’라던가 ‘툴이 없어서 당했어’라고 하는 걸 최근에 본 적이 있는가? 오히려 너무 데이터가 많아서 뭘 분석할지 몰라서 당하고 툴이 너무 많아 뭘 사용해야 하는지 몰라서 당하는 게 오늘의 현상이다. 경보가 너무 많아서 어떤 걸 들어야 할 지 판단할 수 없었다는 게 대부분인 것이다. 이렇게 넘쳐나서 주체 못하는 때, 자동화가 해결책이 될 수 있다.

물론 자동화라고 해서 사람의 개입을 전면 차단하는 수준의 것을 이야기하는 건 아니다. 침해사고가 발생했을 때 인간이 주로 하는 생각들을 최대한 닮은 기능을 말하는 것이다. 당연히 보안 전문가들이나 분석가들을 대체하자는 말도 될 수 없다. 다만 그들이 자신이 할 수 있는 일의 본연에 집중할 수 있도록, 전문성을 겸비하고 있지 않은 누구라도 할 수 있는 반복적인 일을 처리해주자는 뜻이다. 자동화의 이런 핵심을 이해하지 못하면, 당연히 사람을 더 고용한다고 해서 침해사고 확률이 낮아지지 않는다는 사실 역시 이해하지 못한다. 그러므로 보안의 효율을 높이기 위해선 ‘지금 보안팀 사람들이 어떤 일을 하고 있는지’ 정확히 파악하고 분석하는 게 먼저다.

2. 자동화의 또 다른 의미
또한 자동화를 한다면 수 많은 경보 중 ‘진짜’를 파악해내는 데에도 도움이 되어야 한다. 그걸 어떻게 자동으로 걸러낼 수 있는 걸까? 일단 외곽부터 차근차근 뚫고 들어오는 유형과 이미 네트워크 깊숙이에 자리하고 있는 유형은 대부분 위험하다. 이런 유형임을 파악하려면 사용자와 호스트의 행동 패턴을 파악하고 있어야 한다. 네트워크 안에서 횡으로 움직임을 보이거나 명령 및 통제가 활발하거나 내부를 자꾸만 엿본다거나 권한을 남용 및 오용하거나 관리자가 전혀 엉뚱한 행동을 보인다면 십중팔구 뭔가 일이 터진다.

이는 한 가지 결론에 도달하게 하는데, 바로 ‘컨텍스트’가 열쇠라는 것이다. 컨텍스트 정보가 있어야 보안 담당자는 어떤 사용자나 보이는 행동을 정상 혹은 비정상으로 판단할 수 있게 된다. 컨텍스트에 기반을 둔 분석 과정을 자동화한다면 실제 ‘사람’이 분석해야 할 것들이 상당히 줄일 수 있다.

3. 결국은 컨텍스트
그렇다면 어떻게 해야 컨텍스트 분석을 자동화할 수 있을까? 일단 모든 사용자와 기기의 프로파일을 다 갖추고 있어야 한다. 그저 이름을 쭉 적어서 명단을 만들어 놓으라는 게 아니다. 사용자의 기능과 다양한 상황 속의 여러 가지 행동들을 장시간 기록해놓는 것이 이상적이다. 우리가 실제 머릿속으로 하는 ‘프로파일링’ 작업을 떠올려보라. 우리가 마주하는 수많은 사람들에 대해 우리는 어떤 정보들을 기억하고 있는지 말이다. 그저 그 사람의 이름과 얼굴 모양만 매치시킬 수 있다고 ‘안다’고 할 수 없잖은가. 이 프로파일링 과정 역시 자동화를 통해 데이터베이스를 구축할 수 있다.

이런 식으로 해서 컨텍스트 정보가 어느 정도 갖춰지면 어떻게 활용해야 ‘집중해야 할 사건에 집중할 수 있는지’ 다음 세 가지 예를 통해 살펴보자.

1) 프록시 / 침입 탐지 시스템 로그 : 프록시 로그나 침입 탐지 시스템 로그를 보면 의심스럽거나 악성으로 판단된 웹 사이트와 연결된 이벤트들을 많이 발견할 수 있다. 그렇다고 전부 직접 감염으로 이어진 것은 아닐 것이다. 네트워크의 어떤 사용자가 악성 링크를 클릭했다거나 이상한 인터넷 서핑을 한 것일 뿐이다. 이는 적당한 패치와 업데이트만 해준다면 사고로 이어지지 않는 게 대부분일 것이다. 여기에 컨텍스트 정보 및 분석 과정을 개입시켜 특정 사용자나 IP에서 장시간 일정하게 악성 사이트로의 접속이 발생한다면 그건 보다 심각한 문제로 이어질 가능성이 크다.

2) 동류 집단 분석 : 동류 집단 분석을 통해 다른 호스트들은 어떤 식으로 행동을 하는지 알아보는 것도 좋은 컨텍스트 분석이 된다. 동류 집단이 전부 비슷한 사이트나 서비스에 접속한다면, 그 사실에 근거해 분석하고자 하는 호스트의 비슷한 행동이 ‘정상’임을 알 수 있다. 하지만 반대로 동류 집단과 전혀 상관 없는 행동을 자꾸만 한다면 의심을 해볼 만 하다.

3) 권한이 높은 크리덴셜 : 요즘 해커들이 가장 즐겨 사용하는 공격법은 권한이 높은 사용자의 계정을 탈취해 네트워크에 접속한 후 측면 확대 혹은 횡적인 움직임을 취하는 것이다. 그러므로 권한이 높은 계정을 관리하는 것과 원격에서의 접속 상황을 모니터링하는 건 매우 중요하다. 하지만 높은 권한의 계정 접속과 원격 접근이란 건 하루에 수천 번도 더 발생하는 사건이다. 그 많은 사건을 하나하나 들여다본다는 건 물리적으로 불가능하다. 여기서 컨텍스트 분석이란 ‘그 어떤 사용자라도 넘지 말아야 할 선이 무엇인가?’와 ‘해당 계정 및 사용자는 이전에 어떤 작업을 했나?’이다. 해커의 활동이라면 이전에 하지 않았던 행동을 취할 가능성이 높고, 공통적으로 하지 말아야 할 걸 하고 있을 가능성이 높다.

아직 ‘완벽한’ 자동화란 형태가 갖춰지지도 않았고, 글을 쓰는 본인도 아직 다 이해하지 못하고 있다. 다만 지금이 그런 시도를 본격적으로 도입해 보안 담당자들의 어깨를 조금 가볍게 할 논의가 이루어져야 하는 시점으로 보인다.
글 : 지오라 엔젤(Giora Engel)
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>