종심방어의 최대 약점은 최초 침투 지점... 제로트러스트로 강화
제로트러스트 정책 도입하려면 자동화 기술 역시 접목되어야
[보안뉴스 문가용] 종심방어(defense in depth)라는 개념이 정보보안 업계에 들어온 것이 한 15년 전이다. 개념 자체야 군사학에서 이미 생겨난 것이지만, 이걸 정보보안에 접목한다는 것 자체는 매우 혁신적인 것이었고, 실제로 산업을 혁신시켰다. 그래서 보안을 여러 단계로 나눠, 각 단계에 맞는 애플리케이션을 층층이 설치하는 게 보안의 표준으로 오늘날까지 남아있는 것이다. 금융권과 국방산업에서는 이미 기본 중 기본 개념이다.
하지만 15년이나 지난 이 방어 전략이 지금에 와서도 유효할까? 10년이면 강산도 변하고, 2년이면 아이폰 새 모델이 출시되고, 6개월마다 공짜 기기가 수두룩하게 생기는 이때, 15년이면 지나치게 긴 기간 아닐까? 개인적으로는 종심방어를 최근 추세에 맞게 조금 변형시켜야 한다는 생각이다.
지난 몇 년 간 가장 회자가 많이 된 사이버 공격들을 떠올려보면 몇 가지 공통점이 있다. 실력과 경험이 풍부한 사이버 범죄자들이 든든한 경제적 지원까지 등에 입고 실행한 고차원적이고 지속적인 공격이 대부분이고, 이 해커들은 두텁게 쌓은 종심방어를 무력화시켜왔다는 것이다. 국가든 거대 범죄조직이든, 자원만 있다면 사이버 범죄자들에게는 종심방어가 그다지 뚫기 어려운 방어체제는 아니라는 것이 충분히 증명되었다고 본다.
물론 돈과 시간을 넉넉히 확보하는 게 말처럼 쉬운 게 아니다. 임팩트가 워낙에 강해서 기억에 남는 것이지, 대부분의 사이버 범죄는 보다 작은 규모의 조직 및 단체가 일으킨다. 공격자의 규모와 자산이 작으면, 자연스럽게 목표도 하향 조정된다. 그러므로 ‘우리는 훔쳐갈 것이 없어’라고 안심하고 있는 대부분의 중소기업들도 위험에 처하게 된다. 귀중한 정보가 없는 중소기업이라도 큰 조직으로 들어갈 길잡이 역할을 할 수도 있다.
이런 상태에서 다크웹의 암시장이 부상하기 시작했다. 시장이 성장하는 건 당연히 거래가 늘어서다. 사이버 공격에 필요한 각종 정보, 툴, 노하우, 솔루션, 봇넷이 활발히 거래되고 있으며 이는 사이버 공격을 하는 것이 더 쉬워졌다는 뜻이다. 여기에 각종 자동화 기술까지도 끼어든다. 증가 추세의 범죄가 한 층 더 강력한 가속기를 손에 쥔 것이다.
공격의 절대수도 늘고, 기법도 발전했으니 당연히 오래된 방어 전략에는 의구심이 들 수밖에 없다. 여태까지 밝혀진 바, 종심방어의 가장 큰 취약점은 침입이 최초로 이루어지는 지점이다. 오늘날의 네트워크에는 수백만 건의 ‘이벤트’가 하루 만에 발생한다. 그 어떤 보안 팀이라고 해도 이 사건들을 전부 확인하고 분석할 수는 없다. 그러니 대응은 더더욱 꿈 같은 이야기가 된다. 설사 다 한다고 해도 보안 팀에게 허락된 성공률은 100%뿐이라, 단 한 번만 성공하면 되는 해커들과는 입장 차이가 너무 크다.
그래서 일부 전문가들은 침입을 막는 건 아예 불가능하다고 단정하거나 침입이 이미 이루어졌다고 미리 전제를 깔고, 거기서부터 보안의 장치를 마련해야 한다고 주장한다. 즉 공격을 한 번 받아낸 후, 그것을 최대한 빨리 파악하고 피해를 최소화하는 데에 주력해야 한다는 것이다. 이 마인드 자체가 재앙의 씨앗이라고 난 생각한다. 해커들이 사용하는 툴들에 대한 최신 정보도 없는데(이 정보는 늘 공격이 한 바탕 휩쓸고 지나간 자리에서 찾을 수 있다) 어떻게 탐지하고 피해를 최소화 하겠다는 것인가?
게다가 침입이 이미 이루어졌다는 전제를 깐다는 것 자체도 굉장히 안일하다. 왜냐하면 공격은 단 한 사람이 단 한 번만 하는 게 아니기 때문이다. 같은 네트워크에 수도 없이 많은 해커들이 무수한 공격을 퍼붓는 게 제대로 된 공격의 현실이다. 이 역시 어지간한 규모의 보안 팀으로서는 감당할 수 없다. 예방도 불가능해, 탐지도 불가능해, 결국은 싫으나 좋으나 기존의 종심방어 혹은 레이어드 시큐리티(layered security) 방어 전략을 고수할 수밖에 없는데, 여기에 살짝 변화가 필요하다.
1. 제로트러스트(zero-trust) 정책이 필수다. 더 이상 포트나 프로토콜에 기초한 보안 정책은 통하지 않는다. 데이터가 네트워크 내에서, 또 네트워크에서 네트워크로 옮겨 다닐 때 애플리케이션, 데이터, 사용자 정보를 모두 사용해야 한다. 즉 데이터의 움직임을 ‘믿어주려면’ 포트나 프로토콜보다 더 많은 정보를 통해 신뢰를 쌓아야 한다는 것이다.
2. 자동화 기술 역시 필수다. 최신의 첩보를 처리하고 모든 네트워크의 트래픽을 점검해 제로트러스트 정책을 일일이 적용시키려면 자동화 기술이 반드시 도입되어야 한다. 그렇지 않으면 아무리 좋은 정책이 있어도 실제로 구현되는 건 이전의 종심방어와 하나도 다를 것이 없다.
종심방어는 그 자체로 낡은 방어 전략이다. 그러나 본질까지 낡았다고 할 수는 없다. 약간의 현대화만 가미해 그 본질을 살릴 수 있다면 여전히 효과적인 전략으로 남을 것으로 보인다. 그리고 그 현대화의 키워드는 ‘제로트러스트’와 ‘자동화’라고 생각한다. 변화가 사람의 한계를 넘어선 듯이 보이는 때에, 일단 아무 것도 믿지 않는 자세와 자동화를 통한 가지치기는 차라리 자연스럽기까지 하다.
글 : 프랭크 몽(Frank Mong)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
제로트러스트 정책 도입하려면 자동화 기술 역시 접목되어야
[보안뉴스 문가용] 종심방어(defense in depth)라는 개념이 정보보안 업계에 들어온 것이 한 15년 전이다. 개념 자체야 군사학에서 이미 생겨난 것이지만, 이걸 정보보안에 접목한다는 것 자체는 매우 혁신적인 것이었고, 실제로 산업을 혁신시켰다. 그래서 보안을 여러 단계로 나눠, 각 단계에 맞는 애플리케이션을 층층이 설치하는 게 보안의 표준으로 오늘날까지 남아있는 것이다. 금융권과 국방산업에서는 이미 기본 중 기본 개념이다.
하지만 15년이나 지난 이 방어 전략이 지금에 와서도 유효할까? 10년이면 강산도 변하고, 2년이면 아이폰 새 모델이 출시되고, 6개월마다 공짜 기기가 수두룩하게 생기는 이때, 15년이면 지나치게 긴 기간 아닐까? 개인적으로는 종심방어를 최근 추세에 맞게 조금 변형시켜야 한다는 생각이다.
지난 몇 년 간 가장 회자가 많이 된 사이버 공격들을 떠올려보면 몇 가지 공통점이 있다. 실력과 경험이 풍부한 사이버 범죄자들이 든든한 경제적 지원까지 등에 입고 실행한 고차원적이고 지속적인 공격이 대부분이고, 이 해커들은 두텁게 쌓은 종심방어를 무력화시켜왔다는 것이다. 국가든 거대 범죄조직이든, 자원만 있다면 사이버 범죄자들에게는 종심방어가 그다지 뚫기 어려운 방어체제는 아니라는 것이 충분히 증명되었다고 본다.
물론 돈과 시간을 넉넉히 확보하는 게 말처럼 쉬운 게 아니다. 임팩트가 워낙에 강해서 기억에 남는 것이지, 대부분의 사이버 범죄는 보다 작은 규모의 조직 및 단체가 일으킨다. 공격자의 규모와 자산이 작으면, 자연스럽게 목표도 하향 조정된다. 그러므로 ‘우리는 훔쳐갈 것이 없어’라고 안심하고 있는 대부분의 중소기업들도 위험에 처하게 된다. 귀중한 정보가 없는 중소기업이라도 큰 조직으로 들어갈 길잡이 역할을 할 수도 있다.
이런 상태에서 다크웹의 암시장이 부상하기 시작했다. 시장이 성장하는 건 당연히 거래가 늘어서다. 사이버 공격에 필요한 각종 정보, 툴, 노하우, 솔루션, 봇넷이 활발히 거래되고 있으며 이는 사이버 공격을 하는 것이 더 쉬워졌다는 뜻이다. 여기에 각종 자동화 기술까지도 끼어든다. 증가 추세의 범죄가 한 층 더 강력한 가속기를 손에 쥔 것이다.
공격의 절대수도 늘고, 기법도 발전했으니 당연히 오래된 방어 전략에는 의구심이 들 수밖에 없다. 여태까지 밝혀진 바, 종심방어의 가장 큰 취약점은 침입이 최초로 이루어지는 지점이다. 오늘날의 네트워크에는 수백만 건의 ‘이벤트’가 하루 만에 발생한다. 그 어떤 보안 팀이라고 해도 이 사건들을 전부 확인하고 분석할 수는 없다. 그러니 대응은 더더욱 꿈 같은 이야기가 된다. 설사 다 한다고 해도 보안 팀에게 허락된 성공률은 100%뿐이라, 단 한 번만 성공하면 되는 해커들과는 입장 차이가 너무 크다.
그래서 일부 전문가들은 침입을 막는 건 아예 불가능하다고 단정하거나 침입이 이미 이루어졌다고 미리 전제를 깔고, 거기서부터 보안의 장치를 마련해야 한다고 주장한다. 즉 공격을 한 번 받아낸 후, 그것을 최대한 빨리 파악하고 피해를 최소화하는 데에 주력해야 한다는 것이다. 이 마인드 자체가 재앙의 씨앗이라고 난 생각한다. 해커들이 사용하는 툴들에 대한 최신 정보도 없는데(이 정보는 늘 공격이 한 바탕 휩쓸고 지나간 자리에서 찾을 수 있다) 어떻게 탐지하고 피해를 최소화 하겠다는 것인가?
게다가 침입이 이미 이루어졌다는 전제를 깐다는 것 자체도 굉장히 안일하다. 왜냐하면 공격은 단 한 사람이 단 한 번만 하는 게 아니기 때문이다. 같은 네트워크에 수도 없이 많은 해커들이 무수한 공격을 퍼붓는 게 제대로 된 공격의 현실이다. 이 역시 어지간한 규모의 보안 팀으로서는 감당할 수 없다. 예방도 불가능해, 탐지도 불가능해, 결국은 싫으나 좋으나 기존의 종심방어 혹은 레이어드 시큐리티(layered security) 방어 전략을 고수할 수밖에 없는데, 여기에 살짝 변화가 필요하다.
1. 제로트러스트(zero-trust) 정책이 필수다. 더 이상 포트나 프로토콜에 기초한 보안 정책은 통하지 않는다. 데이터가 네트워크 내에서, 또 네트워크에서 네트워크로 옮겨 다닐 때 애플리케이션, 데이터, 사용자 정보를 모두 사용해야 한다. 즉 데이터의 움직임을 ‘믿어주려면’ 포트나 프로토콜보다 더 많은 정보를 통해 신뢰를 쌓아야 한다는 것이다.
2. 자동화 기술 역시 필수다. 최신의 첩보를 처리하고 모든 네트워크의 트래픽을 점검해 제로트러스트 정책을 일일이 적용시키려면 자동화 기술이 반드시 도입되어야 한다. 그렇지 않으면 아무리 좋은 정책이 있어도 실제로 구현되는 건 이전의 종심방어와 하나도 다를 것이 없다.
종심방어는 그 자체로 낡은 방어 전략이다. 그러나 본질까지 낡았다고 할 수는 없다. 약간의 현대화만 가미해 그 본질을 살릴 수 있다면 여전히 효과적인 전략으로 남을 것으로 보인다. 그리고 그 현대화의 키워드는 ‘제로트러스트’와 ‘자동화’라고 생각한다. 변화가 사람의 한계를 넘어선 듯이 보이는 때에, 일단 아무 것도 믿지 않는 자세와 자동화를 통한 가지치기는 차라리 자연스럽기까지 하다.
글 : 프랭크 몽(Frank Mong)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
