.gif)
사용자 행동 분석 기술을 중심으로 해보는 고민
“지금 우리는 비싼 차를 면허증 확인도 하지 않고 타인에게 준 꼴”
[보안뉴스 문가용] 얼마 전에 차를 구입했다. 요즘 차가 다 그렇지만 각종 신기한 현대식 장비에 눈이 휘둥그레졌다. 그 중 가장 눈에 띄었던 건 운전자를 보조해주는 각종 기능들이었다. 차가 차선을 벗어나기 시작하면 경보를 울려주기도 하고 앞차와 바짝 붙었을 때는 브레이크를 자동으로 작동시키기도 했다. 운전할 때 집중하기 힘든 분들에겐 엄청난 희소식이 아닐 수 없다.
사용자의 실수를 줄여주는 이런 기능들이 정보보안 업계에 절실히 필요한 때다. 지금 우리는 면허가 있는지 확인조차 하지 알고 아무에게나 운전대를 맡기고 있기 때문이다. 컴퓨터를 사고, 서버를 설치하며, 랜선을 거미줄처럼 들여와 통신사와 계약을 맺어 네트워크를 비싸게 설치했는데, 이력서 한 장 말고는 아무런 정보도 없는 타인이 직원이랍시고 들어와 IT 인프라를 헤집고 있다는 뜻이다. 게다가 그 네트워크엔 돈으로 값을 정할 수조차 없는 정보도 가득하다. 태고부터 ‘실수하는 습성’을 한 번도 고쳐본 적이 없는 인간에게 뭘 그렇게 계속해서 기대하고 또 실망하는지.
좋은 소식이 있다면 사용자 행동 분석(User Behavior Analytics, 이하 UBA)과 관련된 툴이 조금씩 등장하고 있으며 또 발전하고 있다는 것이다. UBA만 있다면 위에서 말한 문제는 가뿐히 해결될 것으로 본다. UBA란 무엇인가? 이미 시중에 나와 있는 SIEM(보안 정보 사건 관리)이나 DLP(데이터 손실 방지) 등 여러 데이터 수집 시스템으로부터 진짜 가치가 있는 정보를 추출하거나 패턴 및 징후를 찾아내는 것이다. 그럼으로써 IT 환경에서 ‘해로운 것’들을 골라내는 것이다.
해로운 것들이란 보통 멀웨어나 시스템 취약점을 말하지만 이 글의 맥락에서는 나쁜 마음을 먹고 있는 내부자나 덤벙대는 내부자도 포함된다. 무엇이 됐든, 해로운 것이 무엇이든 발견만 하면 뭐라도 조치를 취하는 게 가능해진다. UBA가 이걸 해결해준다면 위험에서 최대한 멀리 벗어날 수 있게 되는 것이다. 게다가 이게 다가 아니다.
현재 UBA를 비롯한 다른 위협 탐지 툴들은 기술적인 결함이 발생할 때 그것을 발견하고 처리하는 데에 특화되어 있다. 그러나 그런 결함의 뿌리에는 항상 사람이 있는 법이고, 그러므로 사용자의 행동 패턴과 관련된 정보를 다루는 UBA는 정보보안 문제의 본질에 가까이 가게 해준다. 하지만 현재 그렇게까지 해주는 UBA는 없다. 즉 아직 UBA는 본연의 기능을 다 발휘하지 못하고 있는 상태라는 거다.
내게 권한이나 능력이 있다면 UBA가 보다 넓은 범위에서 기능을 발휘할 수 있도록 만들 것 같다. 그래서 단순히 사건이 일어난 뒤 멀웨어나 취약점의 흔적을 발견하고 추적하는 것에서 그치지 않고 사건(혹은 사고)의 발단이 된 인간의 행동패턴과 약점, 필연적인 부주의성까지도 도출해 내게 만들고 싶다. 너무 거창한가?
그러나 시작은 미약할 것이다. 예를 들면, 피싱 시뮬레이션 정도? 피싱 시뮬레이션이란 직원들 중 누가 피싱 공격에 취약한가 파악하기 위해 고안해 낸 것으로 가짜 피싱 이메일을 직원들 전부에게 보내고, 사람들의 반응을 관찰하는 것이다. 확실히 효과도 좋고, 기업 입장에선 그러한 직원의 부주의 한 번이 기업의 존폐를 가를 수도 있기 때문에 반드시 알아내야 하는 정보이기도 하다.
그러나 피싱 시뮬레이션이 완벽한 건 아니다. 결과를 조작하기도 너무 쉽고, 조작까지 안 가더라도 ‘원하는 결과’를 끌어내기도 쉽다. 실험을 당한 직원들 입장에서는 모욕감을 느낄 수도 있다. 누군가는 정말로 겁을 먹고 경찰 등에 진짜 신고를 할 수도 있다. 중요한 건 피싱 시뮬레이션 자체가 아니라, 이걸 가지고 교육이나 훈련 등의 후속조치로 자연스럽게 이어가 문제를 해결하는 것이다. 즉 자동차가 차선을 벗어났을 때 울리는 경보 정도로 받아들이면 된다. UBA도 마찬가지인 게, UBA 자체가 모든 걸 해결해주는 것은 아니기 때문이다. 그걸 어떻게 활용하느냐가 관건이다.
결국 UBA가 본연의 기능을 다 발휘하고 있지 못하는 문제는 ‘기술적인 접근’으로만 해결할 것이 아니라는 것이다. UBA로 도출해낸 결과를 활용하는 게 진짜 고민해야 할 문제다. 이는 UBA의 기술 혁신으로 이룰 것이 아니라 사용방법의 작은 ‘튜닝’ 정도로도 가능하다. 새로 구입한 차가 차선 바뀌는 것에 대해 경고를 날리는 것처럼 UBA가 사용자에게 경고 정도는 날리게 할 수 있지 않을까? 우리에게 이미 허락된 기술들만으로 불충분하다는 생각은 때론 게으름을 감추기 위한 연막일지도 모른다. 그 연막 친 게으름 뒤로 ‘발상의 전환’ 같은 건 꿈도 꿀 수 없는 게 된다.
글 : 톰 펜더가스트(Tom Pendergast)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
“지금 우리는 비싼 차를 면허증 확인도 하지 않고 타인에게 준 꼴”
[보안뉴스 문가용] 얼마 전에 차를 구입했다. 요즘 차가 다 그렇지만 각종 신기한 현대식 장비에 눈이 휘둥그레졌다. 그 중 가장 눈에 띄었던 건 운전자를 보조해주는 각종 기능들이었다. 차가 차선을 벗어나기 시작하면 경보를 울려주기도 하고 앞차와 바짝 붙었을 때는 브레이크를 자동으로 작동시키기도 했다. 운전할 때 집중하기 힘든 분들에겐 엄청난 희소식이 아닐 수 없다.
사용자의 실수를 줄여주는 이런 기능들이 정보보안 업계에 절실히 필요한 때다. 지금 우리는 면허가 있는지 확인조차 하지 알고 아무에게나 운전대를 맡기고 있기 때문이다. 컴퓨터를 사고, 서버를 설치하며, 랜선을 거미줄처럼 들여와 통신사와 계약을 맺어 네트워크를 비싸게 설치했는데, 이력서 한 장 말고는 아무런 정보도 없는 타인이 직원이랍시고 들어와 IT 인프라를 헤집고 있다는 뜻이다. 게다가 그 네트워크엔 돈으로 값을 정할 수조차 없는 정보도 가득하다. 태고부터 ‘실수하는 습성’을 한 번도 고쳐본 적이 없는 인간에게 뭘 그렇게 계속해서 기대하고 또 실망하는지.
좋은 소식이 있다면 사용자 행동 분석(User Behavior Analytics, 이하 UBA)과 관련된 툴이 조금씩 등장하고 있으며 또 발전하고 있다는 것이다. UBA만 있다면 위에서 말한 문제는 가뿐히 해결될 것으로 본다. UBA란 무엇인가? 이미 시중에 나와 있는 SIEM(보안 정보 사건 관리)이나 DLP(데이터 손실 방지) 등 여러 데이터 수집 시스템으로부터 진짜 가치가 있는 정보를 추출하거나 패턴 및 징후를 찾아내는 것이다. 그럼으로써 IT 환경에서 ‘해로운 것’들을 골라내는 것이다.
해로운 것들이란 보통 멀웨어나 시스템 취약점을 말하지만 이 글의 맥락에서는 나쁜 마음을 먹고 있는 내부자나 덤벙대는 내부자도 포함된다. 무엇이 됐든, 해로운 것이 무엇이든 발견만 하면 뭐라도 조치를 취하는 게 가능해진다. UBA가 이걸 해결해준다면 위험에서 최대한 멀리 벗어날 수 있게 되는 것이다. 게다가 이게 다가 아니다.
현재 UBA를 비롯한 다른 위협 탐지 툴들은 기술적인 결함이 발생할 때 그것을 발견하고 처리하는 데에 특화되어 있다. 그러나 그런 결함의 뿌리에는 항상 사람이 있는 법이고, 그러므로 사용자의 행동 패턴과 관련된 정보를 다루는 UBA는 정보보안 문제의 본질에 가까이 가게 해준다. 하지만 현재 그렇게까지 해주는 UBA는 없다. 즉 아직 UBA는 본연의 기능을 다 발휘하지 못하고 있는 상태라는 거다.
내게 권한이나 능력이 있다면 UBA가 보다 넓은 범위에서 기능을 발휘할 수 있도록 만들 것 같다. 그래서 단순히 사건이 일어난 뒤 멀웨어나 취약점의 흔적을 발견하고 추적하는 것에서 그치지 않고 사건(혹은 사고)의 발단이 된 인간의 행동패턴과 약점, 필연적인 부주의성까지도 도출해 내게 만들고 싶다. 너무 거창한가?
그러나 시작은 미약할 것이다. 예를 들면, 피싱 시뮬레이션 정도? 피싱 시뮬레이션이란 직원들 중 누가 피싱 공격에 취약한가 파악하기 위해 고안해 낸 것으로 가짜 피싱 이메일을 직원들 전부에게 보내고, 사람들의 반응을 관찰하는 것이다. 확실히 효과도 좋고, 기업 입장에선 그러한 직원의 부주의 한 번이 기업의 존폐를 가를 수도 있기 때문에 반드시 알아내야 하는 정보이기도 하다.
그러나 피싱 시뮬레이션이 완벽한 건 아니다. 결과를 조작하기도 너무 쉽고, 조작까지 안 가더라도 ‘원하는 결과’를 끌어내기도 쉽다. 실험을 당한 직원들 입장에서는 모욕감을 느낄 수도 있다. 누군가는 정말로 겁을 먹고 경찰 등에 진짜 신고를 할 수도 있다. 중요한 건 피싱 시뮬레이션 자체가 아니라, 이걸 가지고 교육이나 훈련 등의 후속조치로 자연스럽게 이어가 문제를 해결하는 것이다. 즉 자동차가 차선을 벗어났을 때 울리는 경보 정도로 받아들이면 된다. UBA도 마찬가지인 게, UBA 자체가 모든 걸 해결해주는 것은 아니기 때문이다. 그걸 어떻게 활용하느냐가 관건이다.
결국 UBA가 본연의 기능을 다 발휘하고 있지 못하는 문제는 ‘기술적인 접근’으로만 해결할 것이 아니라는 것이다. UBA로 도출해낸 결과를 활용하는 게 진짜 고민해야 할 문제다. 이는 UBA의 기술 혁신으로 이룰 것이 아니라 사용방법의 작은 ‘튜닝’ 정도로도 가능하다. 새로 구입한 차가 차선 바뀌는 것에 대해 경고를 날리는 것처럼 UBA가 사용자에게 경고 정도는 날리게 할 수 있지 않을까? 우리에게 이미 허락된 기술들만으로 불충분하다는 생각은 때론 게으름을 감추기 위한 연막일지도 모른다. 그 연막 친 게으름 뒤로 ‘발상의 전환’ 같은 건 꿈도 꿀 수 없는 게 된다.
글 : 톰 펜더가스트(Tom Pendergast)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
