새로운 기술, 새로운 멀웨어에만 주목해서는 첩보 의미 다 못 살려
단발적인 공격 드물어...연쇄적인 공격의 일부로서 접근하는 편이 효율적
[보안뉴스 문가용 기자] 오늘날의 정보보안 업계는 참으로 복잡하고, 끊임없이 변화한다. 심지어 요즘엔 정치색도 진하게 입고 있다. 많은 업체나 관련 부서 전문가들이 사이버 위협의 최신화된 지식을 쌓기 위해 애쓰고 있으며, 각종 정치적인 사건들에도 관심을 둘 수밖에 없는 상황이 됐다. 하지만 이러한 노력의 중심에는 ‘멀웨어’가 지나치게 넓은 영역을 차지고 있다. 보안은 좀 더 ‘인간적인’ 분야라는 걸 기억해야 한다.
[이미지 = iclickart]
‘보안 공부’가 어렵고 끝이 나지 않는 이유 중 하나는 보안을 필요로 하는 단체와 개인이 죄다 다르기 때문이다. 즉 보편적인 보안이 아니라 ‘나에게 맞는 보안’이 필요한데, 이건 아무도 가르쳐주고 규정해주지 못하다. 보안 기술은 세계 어디를 가도 비슷한데, 이 기술이 적용되는 데에 배경이 되는 문화나 정치, 경제 상황이 다 다르니 문제다. 보안이 적용되어야 하는 조직들이 가진 목표점들도 제각각이고 말이다. 보편적인 공부를 통해 특수화시켜야 한다는 데에 ‘보안’의 어려움이 있다. 이런 때에 ‘도구’에만 집착하는 건 위험하다.
하지만 실제로 지난 수년 동안 보안 전문업체나 전문가들은 툴에 기초한 방어법을 주로 개발해왔다. 이것이 잘못되었다는 것을 가장 잘 증명할 수 있는 건, 그런 툴들의 찬란하고 수두룩한 실패 사례다. 기술만으로는 보안에 대한 답을 제시할 수 없는 것, 그런 결론이 내려질 법도 한데 아직도 많은 이들이 기술에만 초점을 맞추고 있다. 보안은 모니터나 네트워크를 사이에 두고 있긴 하지만 결국 사람 대 사람의 싸움이다. 이걸 잊지 않아야 한다.
그래서 일부 조직들은 위협 첩보에 집중하려는 태도를 보인다. 그렇지만 위협 첩보 역시 올바른 길로 인도하지는 않는다. 여기엔 여러 가지 이유가 있다. 첩보라는 건 해석하기에 따라 전혀 다른 정보가 되기도 하는데, 첩보 제공자 대부분 기업이다. 즉 영업적인 이득을 위해 첩보가 해석될 수 있다는 것이다. 업체들은 보고서의 형태로 첩보를 정리해서 발표하곤 하는데, 이는 보안 첩보 수집에 있어서 ‘일부 참고 사항’으로서 가치를 가지고 있다고 봐야 할 것이다. 또한 기술적인 부분에 초점을 맞추다 보면 공격자들에 대한 보다 깊은 이해를 할 수 없게 되는데 이 역시 주의해야 할 부분이다.
분석의 힘
반대로 말하면, 기업이라서 가질 수밖에 없는 편견이나 지나친 기술 위주의 분석 행태만 피할 수 있다면 각 기업들이 제공하는 첩보가 매우 귀중해진다는 뜻이 된다. 그러니 첩보 수집을 통해 보안을 강화하려는 업체나 조직들이라면 보안을 담당하는 인력들의 ‘분석 능력’을 키우는 데 투자해야 한다. 각종 첩보들의 현란한 겉치레를 꿰뚫어보고, 비평적으로 분석할 줄 알며, 여러 보고서와 정보들을 혼합해 의미 있는 그림을 그려낼 수 있어야 첩보를 제대로 활용한다고 말할 수 있다는 뜻이다.
물론 다양한 툴들의 활용법을 익히는 것이 잘못된 선택이라고 볼 수는 없다. 거기에는 또 그만한 가치들이 있다. 그렇기에 각종 업체들이 자신들의 솔루션 활용을 극대화하기 위해 매뉴얼을 제작하고 강좌를 개설하기도 한다. 하지만 툴 사용법과 관련된 학습은 대부분 특정한 상황에서만 빛을 발한다. 보편적이지 않고, 따라서 활용도가 낮을 수 있다는 것이다. 보안 전문가들이 정말로 신경 써서 익혀야 할 것은 ‘분석 능력’이다. 분석과 관련된 커리큘럼을 강력히 추천한다. ‘분석’이라는 전체적인 능력치가 배양되면, 어떤 상황에서 어떤 툴을 사용해야 하는지가 자연히 파악되고, 따라서 더 필요한 기술을 더 효율적으로, 더 족집게처럼 골라서 익힐 수 있다.
단순 보안 담당자 한 사람에게만 국한된 얘기는 아니다. 보통 보안의 첩보나 사건은 보안 커뮤니티 전체에 공유되곤 한다. 이러한 소식이 있을 때 보안 커뮤니티는 뭘 하는가? 보통은 사건에 대해 이러쿵 저러쿵 논하지만 대부분 비난 혹은 비판이다. 차라리 그 뒤에 있을 법한 배후 시나리오를 각자 분석하면서 의견들을 맞춰나가면 보다 정확하고 의미 있는 ‘정보’가 완성된다. 첩보에 대한 분석은 음모론을 창작하는 것과 다르다. 공격자들에 대한 이해와 캠페인에 대한 상세한 분석과, 과거 사례에 대한 비교 분석, 공격자들의 행태 분석, 암시장 트렌드에 대한 이해가 바탕이 되어야 한다. 이런 전문 능력들을 발휘해야 한다.
또한 최근의 공격들은 단일 사건에 그치지 않는다는 것도 분석이 정보보안의 중요한 기술이 되는 이유다. 특히 기업이나 조직을 겨냥한 공격은 ‘캠페인’ 단위로 진행되는 것이 보통이다. 사건을 하나하나 별개의 것으로 파악하고 대처하다가는 소모되는 자원만 늘어나고, 보안 담당자들만 지친다. 단 하나의 조직만 타개하면 그 여러 공격들이 다 제거될 수 있는데 말이다.
물론 이러한 개념을 모르는 사람은 없을 것이다. 심지어 2000년대 초반에도 이러한 주장은 등장했었다. 하지만 10년이 넘고 20년이 지나도록 보안 업계는 아직도 각개 전투에 여념이 없다. 분석과 지식의 공유, 통찰의 상호 교환 및 가다듬기 노력은 미진하다. 보안 사고를 ‘전략’의 차원에서 분석하는 것도 이제 막 시작돼 ‘기술 분석’에 비해 인기도 없고 주목도도 떨어진다. 그래서 각종 보안 장치에도 불구하고 실패의 헤드라인만 계속되는 것이다.
보안에 대한 접근 방향이 바뀌어야 할 때다. 공격자들이 인간임을 받아들여야 하고, 인간적으로 방어해야 할 때다. 커뮤니티 전체가 힘을 합해 첩보를 분석하고 정보와 의미를 끌어내는 연습을 지금부터 해야 한다는 뜻이다. 보안 사고와 첩보가 주는 교훈에 ‘새로운 기술력’만이 있는 것은 아니라는 것을 알고, 더 깊은 곳에서부터 빛나는 것들을 끌어올려야 한다. 전략적, 운영적, 시장 흐름의 측면에서 사고들을 바라볼 수 있어야 한다. 그러므로 분석력은 보안 업계가 익혀야 할 가장 큰 능력이다.
글 : 로버트 M. 리(Rober M. Lee), Dragos
[국제부 문가용 기자(globoan@boannews.com)]
단발적인 공격 드물어...연쇄적인 공격의 일부로서 접근하는 편이 효율적
[보안뉴스 문가용 기자] 오늘날의 정보보안 업계는 참으로 복잡하고, 끊임없이 변화한다. 심지어 요즘엔 정치색도 진하게 입고 있다. 많은 업체나 관련 부서 전문가들이 사이버 위협의 최신화된 지식을 쌓기 위해 애쓰고 있으며, 각종 정치적인 사건들에도 관심을 둘 수밖에 없는 상황이 됐다. 하지만 이러한 노력의 중심에는 ‘멀웨어’가 지나치게 넓은 영역을 차지고 있다. 보안은 좀 더 ‘인간적인’ 분야라는 걸 기억해야 한다.
[이미지 = iclickart]
‘보안 공부’가 어렵고 끝이 나지 않는 이유 중 하나는 보안을 필요로 하는 단체와 개인이 죄다 다르기 때문이다. 즉 보편적인 보안이 아니라 ‘나에게 맞는 보안’이 필요한데, 이건 아무도 가르쳐주고 규정해주지 못하다. 보안 기술은 세계 어디를 가도 비슷한데, 이 기술이 적용되는 데에 배경이 되는 문화나 정치, 경제 상황이 다 다르니 문제다. 보안이 적용되어야 하는 조직들이 가진 목표점들도 제각각이고 말이다. 보편적인 공부를 통해 특수화시켜야 한다는 데에 ‘보안’의 어려움이 있다. 이런 때에 ‘도구’에만 집착하는 건 위험하다.
하지만 실제로 지난 수년 동안 보안 전문업체나 전문가들은 툴에 기초한 방어법을 주로 개발해왔다. 이것이 잘못되었다는 것을 가장 잘 증명할 수 있는 건, 그런 툴들의 찬란하고 수두룩한 실패 사례다. 기술만으로는 보안에 대한 답을 제시할 수 없는 것, 그런 결론이 내려질 법도 한데 아직도 많은 이들이 기술에만 초점을 맞추고 있다. 보안은 모니터나 네트워크를 사이에 두고 있긴 하지만 결국 사람 대 사람의 싸움이다. 이걸 잊지 않아야 한다.
그래서 일부 조직들은 위협 첩보에 집중하려는 태도를 보인다. 그렇지만 위협 첩보 역시 올바른 길로 인도하지는 않는다. 여기엔 여러 가지 이유가 있다. 첩보라는 건 해석하기에 따라 전혀 다른 정보가 되기도 하는데, 첩보 제공자 대부분 기업이다. 즉 영업적인 이득을 위해 첩보가 해석될 수 있다는 것이다. 업체들은 보고서의 형태로 첩보를 정리해서 발표하곤 하는데, 이는 보안 첩보 수집에 있어서 ‘일부 참고 사항’으로서 가치를 가지고 있다고 봐야 할 것이다. 또한 기술적인 부분에 초점을 맞추다 보면 공격자들에 대한 보다 깊은 이해를 할 수 없게 되는데 이 역시 주의해야 할 부분이다.
분석의 힘
반대로 말하면, 기업이라서 가질 수밖에 없는 편견이나 지나친 기술 위주의 분석 행태만 피할 수 있다면 각 기업들이 제공하는 첩보가 매우 귀중해진다는 뜻이 된다. 그러니 첩보 수집을 통해 보안을 강화하려는 업체나 조직들이라면 보안을 담당하는 인력들의 ‘분석 능력’을 키우는 데 투자해야 한다. 각종 첩보들의 현란한 겉치레를 꿰뚫어보고, 비평적으로 분석할 줄 알며, 여러 보고서와 정보들을 혼합해 의미 있는 그림을 그려낼 수 있어야 첩보를 제대로 활용한다고 말할 수 있다는 뜻이다.
물론 다양한 툴들의 활용법을 익히는 것이 잘못된 선택이라고 볼 수는 없다. 거기에는 또 그만한 가치들이 있다. 그렇기에 각종 업체들이 자신들의 솔루션 활용을 극대화하기 위해 매뉴얼을 제작하고 강좌를 개설하기도 한다. 하지만 툴 사용법과 관련된 학습은 대부분 특정한 상황에서만 빛을 발한다. 보편적이지 않고, 따라서 활용도가 낮을 수 있다는 것이다. 보안 전문가들이 정말로 신경 써서 익혀야 할 것은 ‘분석 능력’이다. 분석과 관련된 커리큘럼을 강력히 추천한다. ‘분석’이라는 전체적인 능력치가 배양되면, 어떤 상황에서 어떤 툴을 사용해야 하는지가 자연히 파악되고, 따라서 더 필요한 기술을 더 효율적으로, 더 족집게처럼 골라서 익힐 수 있다.
단순 보안 담당자 한 사람에게만 국한된 얘기는 아니다. 보통 보안의 첩보나 사건은 보안 커뮤니티 전체에 공유되곤 한다. 이러한 소식이 있을 때 보안 커뮤니티는 뭘 하는가? 보통은 사건에 대해 이러쿵 저러쿵 논하지만 대부분 비난 혹은 비판이다. 차라리 그 뒤에 있을 법한 배후 시나리오를 각자 분석하면서 의견들을 맞춰나가면 보다 정확하고 의미 있는 ‘정보’가 완성된다. 첩보에 대한 분석은 음모론을 창작하는 것과 다르다. 공격자들에 대한 이해와 캠페인에 대한 상세한 분석과, 과거 사례에 대한 비교 분석, 공격자들의 행태 분석, 암시장 트렌드에 대한 이해가 바탕이 되어야 한다. 이런 전문 능력들을 발휘해야 한다.
또한 최근의 공격들은 단일 사건에 그치지 않는다는 것도 분석이 정보보안의 중요한 기술이 되는 이유다. 특히 기업이나 조직을 겨냥한 공격은 ‘캠페인’ 단위로 진행되는 것이 보통이다. 사건을 하나하나 별개의 것으로 파악하고 대처하다가는 소모되는 자원만 늘어나고, 보안 담당자들만 지친다. 단 하나의 조직만 타개하면 그 여러 공격들이 다 제거될 수 있는데 말이다.
물론 이러한 개념을 모르는 사람은 없을 것이다. 심지어 2000년대 초반에도 이러한 주장은 등장했었다. 하지만 10년이 넘고 20년이 지나도록 보안 업계는 아직도 각개 전투에 여념이 없다. 분석과 지식의 공유, 통찰의 상호 교환 및 가다듬기 노력은 미진하다. 보안 사고를 ‘전략’의 차원에서 분석하는 것도 이제 막 시작돼 ‘기술 분석’에 비해 인기도 없고 주목도도 떨어진다. 그래서 각종 보안 장치에도 불구하고 실패의 헤드라인만 계속되는 것이다.
보안에 대한 접근 방향이 바뀌어야 할 때다. 공격자들이 인간임을 받아들여야 하고, 인간적으로 방어해야 할 때다. 커뮤니티 전체가 힘을 합해 첩보를 분석하고 정보와 의미를 끌어내는 연습을 지금부터 해야 한다는 뜻이다. 보안 사고와 첩보가 주는 교훈에 ‘새로운 기술력’만이 있는 것은 아니라는 것을 알고, 더 깊은 곳에서부터 빛나는 것들을 끌어올려야 한다. 전략적, 운영적, 시장 흐름의 측면에서 사고들을 바라볼 수 있어야 한다. 그러므로 분석력은 보안 업계가 익혀야 할 가장 큰 능력이다.
글 : 로버트 M. 리(Rober M. Lee), Dragos
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
