.gif)
이론과 현실이 같은 건 이론상에서나... 현실 반영 중요
양보다 질 위주로 가야 보안 결과 좋아져... 탐지기술도 더 발전해야
[보안뉴스 문가용] 내가 가장 좋아하는 격언 중 하나를 먼저 소개해보고자 한다. “이론상, 이론과 현실은 같다. 현실에서는 이론과 현실이 다르다.” 왜 이 문구를 좋아하냐면, 가장 마음에 와 닿고, ‘맞아!’라고 크게 동의할 수 있기 때문이다. 그리고 정보보안이라는 분야를 바라보는 나의 시각과도 정확하게 맞아떨어진다. 뭐, 정보보안뿐이랴...
.jpg)
▲ 화면 속 드릴, 아무리 시끄러워봐야 톱밥 하나 못 날린다
내 경험상 한 개인이나 조직이 보안이란 걸 바라보는 시각은 크게 두 가지로 나뉜다. 이론 위주 혹은 실전 위주다. 이 둘은 어떻게 다를까? 네 가지 예를 들어 설명해보겠다.
1. ‘안 돼’의 미학
보안 부서로 가면 ‘안 돼’라는 답만 들을 수 있다는 인식이 도처에 깔려 있다. 게다가 어느 정도는 사실이다. 그 어떤 수단을 동원해서도 위협 요소를 막고 리스크를 낮추는 게 존재 목적인 보안 부서에게 있어 ‘안 된다’는 답은 당연한 거다. 하지만 모든 것에 대해 ‘위험하니 안 돼’라고 하는 건 아니다.
클라우드를 예로 들어보자. 클라우드로 이전하는 기업들 중 파일 하나 옮길 때마다 보안 책임자의 태클을 받는 곳이 있는가 하면 그렇지 않은 곳이 있다. 왜 이런 차이가 생길까? 파일 하나까지 일단 안 된다고 말하는 보안 책임자는 이론가에 가까울 확률이 높다. 다른 부서가 그걸 왜 옮겨야 하는지 묻고 다른 방안을 제시하는 사람이라면 현실파일 가능성이 높다.
이론상 클라우드로 자산을 옮기는 건 리스크를 추가로 발생시키는 행위다. 그러므로 안전하려면 하지 않는 게 맞다. 게다가 클라우드란 기술 자체가 비교적 새로운 편에 속하기 때문에 보안 담당자가 모든 위험에 대처할 수 있으리라는 보장도 없다. 하지만 현실적으로 봤을 때 클라우드로의 이전은 막을 수 없는 흐름이다. 어차피 언젠가는 다 클라우드로 가게 될 가능성이 매우 높다. 가만히 있으면 꼴찌가 될 수밖에 없는데, 차라리 빨리 움직이는 게 낫다는 판단인 것이다.
2. 암호
대소문자 구분이 되고 특수문자가 세 개나 결합된 20글자 길이 암호를 즐겨 사용하는 사람이라면 나름 보안에 대한 앞선 인식을 가지고 있다고 봐도 된다. 그러나 실전에서 이런 암호들이 딱히 효과가 높다고 말하기는 힘들다. 물론 암호 어렵게 해봐야 별 차이 없다는 건 아니다. 사람 이름이나 생년월일, password 같은 암호는 매우 나쁜 보안 장치다. 말하고 싶은 건 암호를 설정하는 문제에 있어서 왜 항상 사람들은 극단적이냐는 거다. 기업들은 멘사 회원들 중에서도 소수만 기억할 수 있는 암호를 매주 바꾸라고 하는 부류, 혹은 아예 암호에 관심도 두지 않는 부류, 두 개로만 나뉘는 듯 하다.
암호 관련 정책이 극단적으로 엄격할 때 무슨 일이 벌어질까? 직원들이 포스트잇에 암호를 적어놓기 시작한다. 메모장에 친절하게 정리해 저장하기도 한다. 극과 극은 서로 닿아 있다고, 암호를 아예 관리하지도 않거나 너무 심각하게 관리하는 것에 대한 결과는 거의 동일하다. 이에 대한 대안으로 2중 인증 시스템이 등장하고 있다. 참, 암호를 어렵게 해놓는 부류들은 이론가에 가깝다. 그게 아니면 실전가일 가능성이 높고 말이다.
3. 비정상 신호 탐지
비정상 신호를 탐지한다는 개념은 사람들의 입에 자주 오르내린다. 지난 2005년, 확실한 기능을 보장 받은 비정상 신호 탐지 솔루션을 개인적으로 설치해 사용할 기회가 있었는데, 2주 동안의 ‘연습 기간’을 마친 후 실전에 도입했을 때의 결과는 그야 말로 악몽이었다. 5분에 한 번씩 오탐 경보가 울리며 결국 SIEM이 작동을 멈춘 것이다.
이론상 비정상 신호를 탐지하는 건 매우 중요하며 효과적이다. 비정상이란 걸 알려면 정상이 무엇인지 미리 공부하고 있어야 하며, 누가 어떤 경로로 공격할 가능성이 높은지도 예상하고 있어야 한다. 이런 탄탄한 전제가 깔린 비정상 신호 탐지는 보안의 구세주나 다름이 없다. 하지만 현실은 어떤가? 일단 이런 탐지 솔루션이 탄생되는 실험실 네트워크 환경과 실제 현장에서의 네트워크 환경은 차이가 극심하다. 그런 차이에서 오는 온갖 오탐들은 기존 보안 시스템뿐 아니라 생산 시스템에까지도 좋지 않은 영향을 준다. 득보다 실이 압도적으로 많은 게 탐지 솔루션의 현실이다.
비정상 탐지 솔루션의 미래 자체가 어두운 것은 아니다. 오히려 난 더 발전시키기 위해 투자를 아낌없이 해야 하는 분야라고 생각한다. 다만 그만큼의 고통과 손실이 아직까지는 뒤따르는 게 현실이라는 걸 인정해야 한다는 것이다.
4. 장애물이 왜 이리 많아
여러 기고문을 통해 상당히 강조한 바 있는데, 정보보안에게 중요한 건 ‘데이터 출처의 수를 줄이고 관련성은 높여야 한다’는 것이다. 간단히 말해 ‘정보’라고 해서 깡그리 다 잡아 모으는 건 의미가 없다는 것이다. 아니, 오히려 방해만 된다. 그 이유는 세 가지로 정리할 수 있다.
- 데이터 출처가 많으면 불확실성이 늘어나 혼란이 가중되고 점점 더 효율성이 점점 떨어진다. 잡다하게 모은 정보를 앞에 둔 분석가는 ‘여기서 또 필요한 걸 어떻게 골라내나’하는 의문이 든다. 분석가가 데이터를 놓고 해야 할 고민은 ‘뭘 찾아내야 하는가?’이다.
- 데이터가 쌓이는 양과 속도가 늘어나면 늘어날수록 필요한 데이터를 제 때 뽑아 쓰는 것이 어려워진다.
- 스토리지는 소비재다. 돈이 든다. 쓸모없는 데이터를 쌓아두려면 스토리지가 필요하고, 이는 조금 극단적으로 비교하자면 쓰레기 모아두자고 돈을 쓰는 것이나 다름없다.
좀 더 쉽게 말하자면 보안을 위한다면 더더욱 데이터의 가치에 집중해야 한다는 것이다. 데이터의 양은 더 이상 중요하지 않다. 데이터 출처를 처음부터 조심스럽고 신중하게 선택하고, 그 수를 최소화해야 한다. 스토리지 기술 및 여유, 자동화 도입 정도에 따라 이 수는 조금씩 늘려갈 수 있다. 이런 상황에서 ‘그래도 혹시나 놓치는 게 있을 수 있으니 최대한 많은 정보를 모아야 한다’고 생각한다면, 그 사람은 이론가의 성향을 가지고 있다고 볼 수 있다. ‘내 능력과 상황에서 모든 걸 다 커버할 수는 없으니 할 수 있는 것의 질을 높이겠다’는 건 실전가의 생각이다.
이론가들을 폄하하고 싶지는 않지만, 딱히 편들고 싶지도 않다. 공격이 일어나는 곳은 현실이고, 현실에서는 현실에서 맞는 방법을 찾아야 한다는 게 내 생각이다. 물리를 처음 배울 때 우리는 마찰력이 없는 가상의 공간에서 공식을 대입하고 계산을 수행한다. 이 과정에서 나온 답들은 현실에 전혀 적용할 수 없는 수치들이다. 현실은 마찰 투성이기 때문이다.
이론이 아무리 그럴듯해도 현실에서의 결과가 전혀 다르다면, 적어도 보안이라는 분야에서는, 계속해서 그 이론을 고집할 필요가 없다. 안전은 이론을 뚫고 현실로 나와야지만 가치가 있는 분야다.
글 : 조슈아 골드팝(Joshua Goldfarb)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
양보다 질 위주로 가야 보안 결과 좋아져... 탐지기술도 더 발전해야
[보안뉴스 문가용] 내가 가장 좋아하는 격언 중 하나를 먼저 소개해보고자 한다. “이론상, 이론과 현실은 같다. 현실에서는 이론과 현실이 다르다.” 왜 이 문구를 좋아하냐면, 가장 마음에 와 닿고, ‘맞아!’라고 크게 동의할 수 있기 때문이다. 그리고 정보보안이라는 분야를 바라보는 나의 시각과도 정확하게 맞아떨어진다. 뭐, 정보보안뿐이랴...
▲ 화면 속 드릴, 아무리 시끄러워봐야 톱밥 하나 못 날린다
내 경험상 한 개인이나 조직이 보안이란 걸 바라보는 시각은 크게 두 가지로 나뉜다. 이론 위주 혹은 실전 위주다. 이 둘은 어떻게 다를까? 네 가지 예를 들어 설명해보겠다.
1. ‘안 돼’의 미학
보안 부서로 가면 ‘안 돼’라는 답만 들을 수 있다는 인식이 도처에 깔려 있다. 게다가 어느 정도는 사실이다. 그 어떤 수단을 동원해서도 위협 요소를 막고 리스크를 낮추는 게 존재 목적인 보안 부서에게 있어 ‘안 된다’는 답은 당연한 거다. 하지만 모든 것에 대해 ‘위험하니 안 돼’라고 하는 건 아니다.
클라우드를 예로 들어보자. 클라우드로 이전하는 기업들 중 파일 하나 옮길 때마다 보안 책임자의 태클을 받는 곳이 있는가 하면 그렇지 않은 곳이 있다. 왜 이런 차이가 생길까? 파일 하나까지 일단 안 된다고 말하는 보안 책임자는 이론가에 가까울 확률이 높다. 다른 부서가 그걸 왜 옮겨야 하는지 묻고 다른 방안을 제시하는 사람이라면 현실파일 가능성이 높다.
이론상 클라우드로 자산을 옮기는 건 리스크를 추가로 발생시키는 행위다. 그러므로 안전하려면 하지 않는 게 맞다. 게다가 클라우드란 기술 자체가 비교적 새로운 편에 속하기 때문에 보안 담당자가 모든 위험에 대처할 수 있으리라는 보장도 없다. 하지만 현실적으로 봤을 때 클라우드로의 이전은 막을 수 없는 흐름이다. 어차피 언젠가는 다 클라우드로 가게 될 가능성이 매우 높다. 가만히 있으면 꼴찌가 될 수밖에 없는데, 차라리 빨리 움직이는 게 낫다는 판단인 것이다.
2. 암호
대소문자 구분이 되고 특수문자가 세 개나 결합된 20글자 길이 암호를 즐겨 사용하는 사람이라면 나름 보안에 대한 앞선 인식을 가지고 있다고 봐도 된다. 그러나 실전에서 이런 암호들이 딱히 효과가 높다고 말하기는 힘들다. 물론 암호 어렵게 해봐야 별 차이 없다는 건 아니다. 사람 이름이나 생년월일, password 같은 암호는 매우 나쁜 보안 장치다. 말하고 싶은 건 암호를 설정하는 문제에 있어서 왜 항상 사람들은 극단적이냐는 거다. 기업들은 멘사 회원들 중에서도 소수만 기억할 수 있는 암호를 매주 바꾸라고 하는 부류, 혹은 아예 암호에 관심도 두지 않는 부류, 두 개로만 나뉘는 듯 하다.
암호 관련 정책이 극단적으로 엄격할 때 무슨 일이 벌어질까? 직원들이 포스트잇에 암호를 적어놓기 시작한다. 메모장에 친절하게 정리해 저장하기도 한다. 극과 극은 서로 닿아 있다고, 암호를 아예 관리하지도 않거나 너무 심각하게 관리하는 것에 대한 결과는 거의 동일하다. 이에 대한 대안으로 2중 인증 시스템이 등장하고 있다. 참, 암호를 어렵게 해놓는 부류들은 이론가에 가깝다. 그게 아니면 실전가일 가능성이 높고 말이다.
3. 비정상 신호 탐지
비정상 신호를 탐지한다는 개념은 사람들의 입에 자주 오르내린다. 지난 2005년, 확실한 기능을 보장 받은 비정상 신호 탐지 솔루션을 개인적으로 설치해 사용할 기회가 있었는데, 2주 동안의 ‘연습 기간’을 마친 후 실전에 도입했을 때의 결과는 그야 말로 악몽이었다. 5분에 한 번씩 오탐 경보가 울리며 결국 SIEM이 작동을 멈춘 것이다.
이론상 비정상 신호를 탐지하는 건 매우 중요하며 효과적이다. 비정상이란 걸 알려면 정상이 무엇인지 미리 공부하고 있어야 하며, 누가 어떤 경로로 공격할 가능성이 높은지도 예상하고 있어야 한다. 이런 탄탄한 전제가 깔린 비정상 신호 탐지는 보안의 구세주나 다름이 없다. 하지만 현실은 어떤가? 일단 이런 탐지 솔루션이 탄생되는 실험실 네트워크 환경과 실제 현장에서의 네트워크 환경은 차이가 극심하다. 그런 차이에서 오는 온갖 오탐들은 기존 보안 시스템뿐 아니라 생산 시스템에까지도 좋지 않은 영향을 준다. 득보다 실이 압도적으로 많은 게 탐지 솔루션의 현실이다.
비정상 탐지 솔루션의 미래 자체가 어두운 것은 아니다. 오히려 난 더 발전시키기 위해 투자를 아낌없이 해야 하는 분야라고 생각한다. 다만 그만큼의 고통과 손실이 아직까지는 뒤따르는 게 현실이라는 걸 인정해야 한다는 것이다.
4. 장애물이 왜 이리 많아
여러 기고문을 통해 상당히 강조한 바 있는데, 정보보안에게 중요한 건 ‘데이터 출처의 수를 줄이고 관련성은 높여야 한다’는 것이다. 간단히 말해 ‘정보’라고 해서 깡그리 다 잡아 모으는 건 의미가 없다는 것이다. 아니, 오히려 방해만 된다. 그 이유는 세 가지로 정리할 수 있다.
- 데이터 출처가 많으면 불확실성이 늘어나 혼란이 가중되고 점점 더 효율성이 점점 떨어진다. 잡다하게 모은 정보를 앞에 둔 분석가는 ‘여기서 또 필요한 걸 어떻게 골라내나’하는 의문이 든다. 분석가가 데이터를 놓고 해야 할 고민은 ‘뭘 찾아내야 하는가?’이다.
- 데이터가 쌓이는 양과 속도가 늘어나면 늘어날수록 필요한 데이터를 제 때 뽑아 쓰는 것이 어려워진다.
- 스토리지는 소비재다. 돈이 든다. 쓸모없는 데이터를 쌓아두려면 스토리지가 필요하고, 이는 조금 극단적으로 비교하자면 쓰레기 모아두자고 돈을 쓰는 것이나 다름없다.
좀 더 쉽게 말하자면 보안을 위한다면 더더욱 데이터의 가치에 집중해야 한다는 것이다. 데이터의 양은 더 이상 중요하지 않다. 데이터 출처를 처음부터 조심스럽고 신중하게 선택하고, 그 수를 최소화해야 한다. 스토리지 기술 및 여유, 자동화 도입 정도에 따라 이 수는 조금씩 늘려갈 수 있다. 이런 상황에서 ‘그래도 혹시나 놓치는 게 있을 수 있으니 최대한 많은 정보를 모아야 한다’고 생각한다면, 그 사람은 이론가의 성향을 가지고 있다고 볼 수 있다. ‘내 능력과 상황에서 모든 걸 다 커버할 수는 없으니 할 수 있는 것의 질을 높이겠다’는 건 실전가의 생각이다.
이론가들을 폄하하고 싶지는 않지만, 딱히 편들고 싶지도 않다. 공격이 일어나는 곳은 현실이고, 현실에서는 현실에서 맞는 방법을 찾아야 한다는 게 내 생각이다. 물리를 처음 배울 때 우리는 마찰력이 없는 가상의 공간에서 공식을 대입하고 계산을 수행한다. 이 과정에서 나온 답들은 현실에 전혀 적용할 수 없는 수치들이다. 현실은 마찰 투성이기 때문이다.
이론이 아무리 그럴듯해도 현실에서의 결과가 전혀 다르다면, 적어도 보안이라는 분야에서는, 계속해서 그 이론을 고집할 필요가 없다. 안전은 이론을 뚫고 현실로 나와야지만 가치가 있는 분야다.
글 : 조슈아 골드팝(Joshua Goldfarb)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
