기업들, 해킹과 산업 스파이의 위험성 피부로 느끼고 있어
능동적 보안, 과거를 거슬러 올라가보는 것부터 시작해야
[보안뉴스 문가용] 정보가 화폐인 시대다. 그런 때에 멀웨어 탐지와 외곽 보호, 취약점 패치에 의존하는 전통적인 개념의 종심방어(DiD)는 비효율적일 수밖에 없다. 쓸모없다는 게 아니라, 기존의 방식보다 능동적이고 전략적이어야만 제 효율을 발휘한다는 것이다. 그러나 이는 모호할 수밖에 없다. 정확히 어떤 행동을 해야 능동적이고 전략적인 보안을 했다고 할 수 있는가?
.jpg)
▲ 들어와봐. 예전 같진 않을 거야.
답을 하는 데에 도움을 주기 위해 크라우드스트라이크(CrowdStrike)에서 최근 ‘사이버 침입 서비스 케이스북(Cyber Intrusion Services Casebook)’이란 걸 발간했다. 수백 개의 사이버 관련 실제 사고들을 수사해서 얻은 정보들을 다시 분석한 내용으로 구성되어 있다. 또한 다양한 공격 패턴을 분석함으로써 최근 공격자들 사이에 유행처럼 번지고 있는 특성이 무엇인지도 알 수 있고, 그에 따라 자연스럽게 어떤 대응법이 가장 효율적인지도 역으로 파악하는 게 가능해진다.
여러 흥미로운 내용 중 제일 처음 이 글을 시작할 때 나왔던 질문, 즉, 능동적이고 전략적인 보안이란 게 도대체 무엇이냐라는 궁금증을 해결하기 위해 보고서를 들춰보면 교육에 투자하는 노력과 실제 보안 능력이 정비례한다는 결과가 눈에 띈다. 즉 교육을 많이 하면 할수록 효과적인 방어를 할 가능성이 높다는 것이다. 이렇게 되는 데에는 두 가지 요인이 있다.
조직 전체의 성숙도
조직 전체의 성숙도라고 해서 보안에 대한 이해도만을 말하는 건 아니다. 이는 업무 과정이 부드럽고 효율적이며, 진행되는 모든 일들이 합리적인 상태를 뜻한다. 이는 회사의 문화나 프로세스가 잘 정착된 것일 수도 있지만 구성원 모두가 목표를 이해하고 한 방향으로 움직인다는 소리이다. 이런 조직원들이라면 당연히 회사의 보안문제에 대해 간과하지 않는다. 이런 조직원들이라면 보안 담당자들이 개입해 잔소리 같은 보안 실천 사항들을 말해주어도 귀찮아하지 않는다. 이는 교육을 통해서 만들어지는 분위기다. 다만, 보안의 모든 과정도 합리적이고 이해가 가능한 수준에 있어야 한다.
엔드포인트 및 네트워크 탐지 능력의 강화
사람이 중요하다고는 하지만 기술의 역할도 그에 못지 않게 중요하다. 최신 공격은 최신 기술이 잘 막는 게 보통이다. 새로운 탐지 및 방지 기술, 대응 도구, 시각화 기술이 당연히 예전 것보다 잘 막고 잘 복구한다. 그러나 이런 기술을 잘 활용하려면 교육이 필요하다. 아무리 성격좋고 회사 보안 정책을 잘 준수하는 직원이라도 신기술에 대한 교육을 제 때 받지 못하면 보안구멍이 될 확률이 높다.
그렇다면 실제 현장에서는 어떤 일이 벌어지고 있는가?
현재 기업체나 정부기관들은 타국의 정부가 배후에 있는 해킹 위협이 아주 가까이에 도사리고 있다는 사실을 인지하고 있다. 산업 스파이가 지적재산을 호시탐탐 노리고 있다는 게 바로 나의 일이라는 자각이 분명해지고 있는 시점이다. 그러면서 ‘남이 나를 지키는 건 안전하지 않다’는 인식이 확대되고 있습니다. 특히 ‘대형’이라는 수식어를 붙여도 모자란 유출 사고를 겪은 조직들은 내부적으로 위협 탐지가 가능하도록 시스템을 마련하고 있다. 그런 소문이 퍼지면서 덩달아 내부적인 탐지 시스템을 갖추는 곳이 많아졌다.
또한 해커들의 침입 여부를 검사해주는 서비스도 많은 기업들에서 받고 있다. 과거의 침입 여부가 많은 부분 현재의 안전과 직결되기 때문이다. 이는 복구 작업과도 직결된다. ‘누가 들어왔었네요’라고 하고 곧바로 ‘안녕히 계세요’라고 할 수는 없는 노릇 아닌가. 이때 탐지 혹은 네트워크 안전도를 평가해주는 보안 전문 기업과 검사를 받는 기업이 같이 머리를 맞대고 앉아 복구 계획을 세운다.
재미있는 건 이 복구 작업은 다시 ‘스스로 탐지할 수 있는 능력’과 직결된다는 것이다. 복구한 상태를 유지하는 게 ‘복구’의 범위 안에 들어가는 작업이기 때문이다. 즉 지금 기업들 사이에서 ‘누가 우리 회사에도 들어왔다 나간 건 아닐까?’ 하는 궁금증이 일고 있고, 이를 해결하기 위해서 평가가 가능한 업체로부터 서비스를 받고 있으며, 그래서 해킹 흔적이 발견된 경우 정상 복구까지 서비스를 받는데, 이는 곧 ‘서비스 후에도 스스로를 보호할 수 있는 능력 갖추기’라는 결과로 나타난다는 것.
시간이 증명하다
이런 전 과정을 거쳐 스스로 탐지할 수 있는 시스템이나 능력을 갖춘 후에, 기업들은 종종 예전의 그 해커가 다시 기웃거리는 걸 발견하는 게 보통이다. 이들은 예전과 비슷한 수법을 가지고 예전과 비슷한 취약점을 노린다. 이런 재범 시도의 노력들은 거의 매 사건마다 나타난다. 범인이 꼭 현장을 찾는다고 하는데, 그 심리와 비슷한 걸지도 모르겠다. 그러나 방어자의 상황은 다르다. 복구를 해본 경험도 있으며, 탐지라는 새로운 능력도 갖추었으니 말이다. 위의 절차를 겪은 기업들은 해커의 재범을 원천차단하거나 시스템 바깥으로 몰아내는 것에 대부분 성공했다. 실제로 ‘스스로를 보호하는 시스템이나 능력’을 갖추는 게 현대 정보보안의 트렌드에서는 효율이 높다는 뜻으로 풀이된다.
다시 제일 처음 질문으로 돌아가자. 능동적인 방어, 전략적인 방어가 도대체 무슨 뜻인가? 미리 준비하는 걸 말한다. 과거에 공격이 있었는지 확인하고, 있었다면 그 공격이 어떻게 이루어졌는지, 복구는 어떻게 하는지 자세히 파악하는 게 준비의 첫 단계다. 탐지부터 복구까지 경험해보는 게 정말로 중요하다는 건 다음에 공격이 일어나면 알 수 있을 것이고, 많은 사례가 증명한다. 그걸 바탕으로 다른 곳의 도움을 받지 않아도 어지간한 공격에 대해 해결할 수 있는 능력과 시스템을 갖추는 것이 그 다음이다. 공격이 들어왔을 때 이미 다른 관제 센터에 전화해서 도와달라고 요청하는 것 자체부터가 시간 낭비며 공격 성공이다. 이 또한 많은 사례가 증명한다.
또한 이런 보안의 관점에서 준비를 하고 능동적인 태도를 취하는 것과 동시에 꾸준한 교육을 통해 기업이 가고 있는 전체 방향과 목적을 직원들이 이해할 수 있도록 해야 한다. 이런 이해와 자발적인 동참이 있을 때 보안은 거의 저절로 이뤄지기도 하는 부산물이 되기 때문이다. 이런 입체적인 보안, 이것이 능동적인 방어의 세 번째 요소다.
글 : 웬디 휘트모어(Wendy Whitmore)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
능동적 보안, 과거를 거슬러 올라가보는 것부터 시작해야
[보안뉴스 문가용] 정보가 화폐인 시대다. 그런 때에 멀웨어 탐지와 외곽 보호, 취약점 패치에 의존하는 전통적인 개념의 종심방어(DiD)는 비효율적일 수밖에 없다. 쓸모없다는 게 아니라, 기존의 방식보다 능동적이고 전략적이어야만 제 효율을 발휘한다는 것이다. 그러나 이는 모호할 수밖에 없다. 정확히 어떤 행동을 해야 능동적이고 전략적인 보안을 했다고 할 수 있는가?
▲ 들어와봐. 예전 같진 않을 거야.
답을 하는 데에 도움을 주기 위해 크라우드스트라이크(CrowdStrike)에서 최근 ‘사이버 침입 서비스 케이스북(Cyber Intrusion Services Casebook)’이란 걸 발간했다. 수백 개의 사이버 관련 실제 사고들을 수사해서 얻은 정보들을 다시 분석한 내용으로 구성되어 있다. 또한 다양한 공격 패턴을 분석함으로써 최근 공격자들 사이에 유행처럼 번지고 있는 특성이 무엇인지도 알 수 있고, 그에 따라 자연스럽게 어떤 대응법이 가장 효율적인지도 역으로 파악하는 게 가능해진다.
여러 흥미로운 내용 중 제일 처음 이 글을 시작할 때 나왔던 질문, 즉, 능동적이고 전략적인 보안이란 게 도대체 무엇이냐라는 궁금증을 해결하기 위해 보고서를 들춰보면 교육에 투자하는 노력과 실제 보안 능력이 정비례한다는 결과가 눈에 띈다. 즉 교육을 많이 하면 할수록 효과적인 방어를 할 가능성이 높다는 것이다. 이렇게 되는 데에는 두 가지 요인이 있다.
조직 전체의 성숙도
조직 전체의 성숙도라고 해서 보안에 대한 이해도만을 말하는 건 아니다. 이는 업무 과정이 부드럽고 효율적이며, 진행되는 모든 일들이 합리적인 상태를 뜻한다. 이는 회사의 문화나 프로세스가 잘 정착된 것일 수도 있지만 구성원 모두가 목표를 이해하고 한 방향으로 움직인다는 소리이다. 이런 조직원들이라면 당연히 회사의 보안문제에 대해 간과하지 않는다. 이런 조직원들이라면 보안 담당자들이 개입해 잔소리 같은 보안 실천 사항들을 말해주어도 귀찮아하지 않는다. 이는 교육을 통해서 만들어지는 분위기다. 다만, 보안의 모든 과정도 합리적이고 이해가 가능한 수준에 있어야 한다.
엔드포인트 및 네트워크 탐지 능력의 강화
사람이 중요하다고는 하지만 기술의 역할도 그에 못지 않게 중요하다. 최신 공격은 최신 기술이 잘 막는 게 보통이다. 새로운 탐지 및 방지 기술, 대응 도구, 시각화 기술이 당연히 예전 것보다 잘 막고 잘 복구한다. 그러나 이런 기술을 잘 활용하려면 교육이 필요하다. 아무리 성격좋고 회사 보안 정책을 잘 준수하는 직원이라도 신기술에 대한 교육을 제 때 받지 못하면 보안구멍이 될 확률이 높다.
그렇다면 실제 현장에서는 어떤 일이 벌어지고 있는가?
현재 기업체나 정부기관들은 타국의 정부가 배후에 있는 해킹 위협이 아주 가까이에 도사리고 있다는 사실을 인지하고 있다. 산업 스파이가 지적재산을 호시탐탐 노리고 있다는 게 바로 나의 일이라는 자각이 분명해지고 있는 시점이다. 그러면서 ‘남이 나를 지키는 건 안전하지 않다’는 인식이 확대되고 있습니다. 특히 ‘대형’이라는 수식어를 붙여도 모자란 유출 사고를 겪은 조직들은 내부적으로 위협 탐지가 가능하도록 시스템을 마련하고 있다. 그런 소문이 퍼지면서 덩달아 내부적인 탐지 시스템을 갖추는 곳이 많아졌다.
또한 해커들의 침입 여부를 검사해주는 서비스도 많은 기업들에서 받고 있다. 과거의 침입 여부가 많은 부분 현재의 안전과 직결되기 때문이다. 이는 복구 작업과도 직결된다. ‘누가 들어왔었네요’라고 하고 곧바로 ‘안녕히 계세요’라고 할 수는 없는 노릇 아닌가. 이때 탐지 혹은 네트워크 안전도를 평가해주는 보안 전문 기업과 검사를 받는 기업이 같이 머리를 맞대고 앉아 복구 계획을 세운다.
재미있는 건 이 복구 작업은 다시 ‘스스로 탐지할 수 있는 능력’과 직결된다는 것이다. 복구한 상태를 유지하는 게 ‘복구’의 범위 안에 들어가는 작업이기 때문이다. 즉 지금 기업들 사이에서 ‘누가 우리 회사에도 들어왔다 나간 건 아닐까?’ 하는 궁금증이 일고 있고, 이를 해결하기 위해서 평가가 가능한 업체로부터 서비스를 받고 있으며, 그래서 해킹 흔적이 발견된 경우 정상 복구까지 서비스를 받는데, 이는 곧 ‘서비스 후에도 스스로를 보호할 수 있는 능력 갖추기’라는 결과로 나타난다는 것.
시간이 증명하다
이런 전 과정을 거쳐 스스로 탐지할 수 있는 시스템이나 능력을 갖춘 후에, 기업들은 종종 예전의 그 해커가 다시 기웃거리는 걸 발견하는 게 보통이다. 이들은 예전과 비슷한 수법을 가지고 예전과 비슷한 취약점을 노린다. 이런 재범 시도의 노력들은 거의 매 사건마다 나타난다. 범인이 꼭 현장을 찾는다고 하는데, 그 심리와 비슷한 걸지도 모르겠다. 그러나 방어자의 상황은 다르다. 복구를 해본 경험도 있으며, 탐지라는 새로운 능력도 갖추었으니 말이다. 위의 절차를 겪은 기업들은 해커의 재범을 원천차단하거나 시스템 바깥으로 몰아내는 것에 대부분 성공했다. 실제로 ‘스스로를 보호하는 시스템이나 능력’을 갖추는 게 현대 정보보안의 트렌드에서는 효율이 높다는 뜻으로 풀이된다.
다시 제일 처음 질문으로 돌아가자. 능동적인 방어, 전략적인 방어가 도대체 무슨 뜻인가? 미리 준비하는 걸 말한다. 과거에 공격이 있었는지 확인하고, 있었다면 그 공격이 어떻게 이루어졌는지, 복구는 어떻게 하는지 자세히 파악하는 게 준비의 첫 단계다. 탐지부터 복구까지 경험해보는 게 정말로 중요하다는 건 다음에 공격이 일어나면 알 수 있을 것이고, 많은 사례가 증명한다. 그걸 바탕으로 다른 곳의 도움을 받지 않아도 어지간한 공격에 대해 해결할 수 있는 능력과 시스템을 갖추는 것이 그 다음이다. 공격이 들어왔을 때 이미 다른 관제 센터에 전화해서 도와달라고 요청하는 것 자체부터가 시간 낭비며 공격 성공이다. 이 또한 많은 사례가 증명한다.
또한 이런 보안의 관점에서 준비를 하고 능동적인 태도를 취하는 것과 동시에 꾸준한 교육을 통해 기업이 가고 있는 전체 방향과 목적을 직원들이 이해할 수 있도록 해야 한다. 이런 이해와 자발적인 동참이 있을 때 보안은 거의 저절로 이뤄지기도 하는 부산물이 되기 때문이다. 이런 입체적인 보안, 이것이 능동적인 방어의 세 번째 요소다.
글 : 웬디 휘트모어(Wendy Whitmore)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
