김미희 이글루시큐리티 보안분석팀 과장

▲ 김미희 이글루시큐리티 보안분석팀 과장
[컴퓨터월드] 모바일 기기, 클라우드, 빅데이터, 사물인터넷으로 대변되는 거대한 IT 흐름은 우리의 삶에 크나큰 변화를 가져왔다. 언제 어디서나 스마트폰에 열중하고 있는 개개인의 모습은 이미 익숙해진지 오래다. 그리고 이러한 변화는 기업의 IT 환경에도 크나큰 파장을 일으키고 있다. 인터넷에 연결된 수십억 명의 사용자에게 서비스를 제공하기 위해, 오늘날 대부분의 기업들이 수많은 디지털 기기와 애플리케이션에서 생성되는 방대한 빅데이터를 클라우드에 저장해 분석하고, 다양한 모바일 기기를 통해 시간과 장소의 구애 없이 원하는 정보에 접속해 업무를 수행하고 있다.

이러한 IT 환경의 변화는 보안업계 전반에 새로운 도전 과제를 제시하고 있다. 다양한 IT 인프라 활용에 따라 기업 정보에 대한 접근 경로와 방식이 다양해진 만큼, 이전에 없던 보안 위협이 등장하거나 공격자가 비집고 들어올 수 있는 틈이 더 많아졌기 때문이다. 사용자 계정 탈취, 기밀 데이터 유출은 물론, 알려지지 않은 취약점을 노리는 제로데이 공격이 급증하고 있다는 점에서 날로 심각해지는 오늘날의 보안 위협을 실감할 수 있다.

가장 근본적인 어려움 중 하나는 공격자에겐 한없이 유리하고 방어자에겐 한없이 불리한 공격자와 방어자 간의 비대칭적 관계에서 기인한다고 할 수 있다. 공격자는 웹 서버, 네트워크, 모바일 등 방어자 모르게 잠입할 수 있는 다양한 경로를 알고 있고, 여러 경로를 통해 공격을 시도하다 단 한 번만 성공해도 방어자를 무너뜨릴 수 있다.

반면, 방어자는 공격자가 100번, 1000번 넘게 공격을 시도해도 이를 모두 막아낼 수 있어야 한다. 단 한 번 공격을 놓치거나 허점을 보여도 뚫릴 수 있기 때문이다.

이러한 공격자와 방어자 사이의 간극은 IT 환경의 변화로 인해 사이버 위협이 한층 다양화되고 고도화됨에 따라 점점 넓어지고 있다. 하루에도 수백 또는 수만 가지의 취약점을 이용한 정교한 사이버 공격이 병행적으로 들어오고 있는 만큼 이를 모두 방어한다는 것은 실로 어려운 일이기 때문이다. 이와 같은 배경에서, 방어자보다 일방적으로 유리한 위치를 점하고 있는 공격자에 맞서기 위한 다양한 보안 방법론이 제시되고 있다.

그 중 하나로 실시간으로 네트워크를 지켜보고 이상행위를 발견 시 즉각 대응하는 보안관제 프로세스 역시 그동안 괄목할 만한 발전을 거듭했다. 이에 공격자와 방어자 간의 비대칭적 관계를 역전시키기 위한 보안관제 프로세스의 발전 과정을 공격자의 공격방향성 측면에서 알아보는 시간을 마련해 보고자 한다.

공격방향성에 따른 보안관제의 변화

공격자에 맞서기 위해서는 우선적으로 이들의 공격 방식에 대해 이해할 필요가 있다. 이를 위해 주요 공격 방식과 이에 대응하는 보안관제 방법을 크게 세 가지로 분류해 알아보고자 한다.

가장 전통적인 공격 방식은 성문이나 성벽을 허물듯이 외부에 있는 공격자가 기업이나 기관의 경계를 공략해 내부를 공격하는 형태다. 경계에 공격이 집중된 만큼, 네트워크 기반의 대응 방식을 ‘경계보안 중심의 보안관제’라 부르기도 한다. 오늘날 상당수의 보안관제가 이와 같은 형태로 운영되고 있다.

두 번째 공격 방식은 기업 외부가 아닌 내부에서 공격이 발생하는 형태다. 내부 인가자에 의해 주요 기술, 사업 비밀 등 기업의 기밀 정보 및 기업에서 보유하고 있던 고객의 개인정보가 유출되는 사례가 대표적이며, 외부에서 내부로 침입하는 공격 못지않게 큰 금전적 피해와 다수의 피해자가 발생할 수 있다. 이러한 공격에 대응하기 위해서 기업들은 문서보안, USB 통제 등의 정보 유출 방지 및 데이터에 대한 모니터링 솔루션을 적극적으로 도입하고 있으며, 이러한 보안관제를 ‘데이터(Data) 중심의 보안관제’라 부른다.

마지막 공격방식은 별도로 구성된 신뢰할 수 있는(Trust) 환경에서 공격이 발생하는 형태다. 높은 보안성 확보를 위해 분리된 환경에서 구축된 PMS(Path Management System)나 PC보안관리시스템 등을 공격하는 방식이 대표적인 사례다. 공격자는 표적(Target)으로 삼은 기업 인프라에 대한 직접적인 공격을 감행하기 보다는 우회 경로를 통해 들어오거나 보안성이 높은 인프라의 취약점을 이용하는 공격을 시도하고 있다.

다시 말해 금전적인 이득을 얻거나, 정치적·사회적 목적을 달성하기 위해 기업의 주요 자산을 노리는 공격자의 목적은 변하지 않았지만, 공격자의 공격 방식은 지금 이 순간에도 시시각각 진화하고 있다.

이러한 공격 방식의 변화는 기업 경계에 집중돼 있던 기업의 방어 전략 역시 데이터 중심으로 이동하고 있음을 보여준다. 공격자들이 침입 경로를 수시로 바꾸고, 임직원인 양 겉모습을 위장하며, 신뢰성이 높은 IT 시스템의 취약점을 먼저 간파해 공격을 감행하는 등 이전에는 경험하지 못했던 다양한 무기로 무장하고 한층 교묘한 전술을 구사하며 방어자를 압박하고 있기 때문이다.

이와 같은 배경으로 인해 ‘외부 공격자 방어’에 집중했던 경계 기반의 보안 관제 방식에서 더 나아가 주요 데이터를 노리는 공격을 보다 빠르게 탐지하고 대응할 수 있는 ‘데이터 중심’의 보안관제로 사이버 보안의 패러다임이 변화하게 됐다.

차세대 보안관제! 이제는 ‘위협 인텔리전스’와 ‘상황인지’를 품다

‘지피기기(知彼知己) 백전백승(百戰百勝).’ 적과 아군에 대한 정보 파악의 중요성을 강조한 손자의 지혜는 전쟁이 주가 됐던 과거는 물론, 오늘날의 보안 환경에서까지 통용되는 말이라 할 수 있다. 날로 고도화되는 보안 위협을 보다 빠르게 탐지하고 기민하게 대응하기 위해, ‘위협 인텔리전스(Threat intelligence)’와 ‘상황인지(Situation Awareness)’를 보완한 차세대 보안관제 체계가 등장하게 됐다.

그동안 보안관제가 경계 네트워크나 데이터를 보호하기 위해 설치된 보안시스템을 통해 이벤트 중심의 수동적인 관제를 수행했다면, 이제는 외부 공격자의 동향과 내부 사용자의 상황인식을 통해 선제적, 능동적인 보안관제로 변해야 한다. 이를 위해서 외부 보안 위협에 대한 정보를 파악하고 분석하는 ‘위협 인텔리전스’는 외부 위협의 주체인 ‘공격자 파악(Know Enemy)’에 중점을 두고 있으며, 상황인지(Situation Awareness)는 ‘내부 위험 파악(Know Yourself)’에 초점을 맞추고 있다.

Security intelligence = Threat intelligence + Situation Awareness

▲ 많은 업계 전문가들이 ‘위협 인텔리전스’와 ‘상황인지’의 중요성을 강조하고 있다. 출처: RSA Conference 2016

방어자는 ‘골든타임’, 즉 긴박한 사건사고가 일어났을 때 인명을 구조할 수 있는 초반의 중요한 시간에 주목할 필요가 있다. 1분 1초를 다투는 골든타임은 보안관제 안에서도 존재한다. 공격을 초기에 탐지하지 못하거나 적절하게 대응하지 못한다면, 네트워크 경계는 물론 기업 내부 시스템들을 교묘히 옮겨 다니는 공격자에 의해 피해가 눈덩이처럼 불어날 수 있기 때문이다.

신속한 탐지 및 초기 진압으로 골든타임을 확보하기 위한 행위, 즉 ‘보안 인텔리전스’에 기반한 보안관제 업무를 수행하기 위해 방어자는 공격 행위를 완벽하게 파악할 수 있는 모든 정보를 제공받고 이를 실시간으로 분석할 수 있어야 한다. 공격자의 움직임을 추적할 수 있는 인과 관계 분석을 통해 공격의 연결 고리를 끊는 능동적인 탐지 및 대응을 하기 위해서다. 악성코드를 발견하는 것에서 한 걸음 나아가 이 악성코드가 어떤 데이터를 송수신하고 있는지, 이 악성코드에 감염된 다른 시스템은 없는지 확인하는 식이다.

단, 기존 이벤트 기반의 탐지 방법으로는 기업 인프라 내에서 어떤 이슈가 발생하고 있는지 정확하게 확인하는데 한계가 있는 만큼, 방어자는 시스템, 보안장비, 네트워크에서 생성되는 모든 데이터를 수집하고 이를 ‘최신 외부 위협정보(Threat intelligence)’와 연계해 빠른 시간 내 분석해내는 빅데이터 분석 플랫폼을 도입할 필요가 있다.

여러 보안 업체들이 ‘위협 인텔리전스’의 중요성을 강조하며 이에 기반한 위협정보 공유 플랫폼 및 차세대 보안관제 솔루션과 서비스를 선보이고 있다. 국내에서는 이글루시큐리티가 ‘위협 정보에 대한 실행 가능한 보안’이라는 가치를 내걸고 위협정보 공유센터인 ‘Knowledge Center’를 통해 다양한 경로에서 수집된 정보를 공유하고, 이를 실시간으로 분석해 자사의 솔루션인 스파이더 TM(SPiDER TM)뿐만 아니라 타 보안솔루션에도 적용 가능한 보안 정책 룰(Rule)을 공유하고 있다. IBM도 클라우드 기반의 보안 위협 정보 공유 플랫폼인 ‘X-포스 익스체인지(X-Force Exchange)’를 운영하고 있다.

▲ 위협정보 공유센터 ‘Knowledge Center’ 출처: 이글루시큐리티

인공지능에 기반한 차세대 보안관제 방안

여기에 한발 더 나아가 알파고로 익숙해진 ‘머신러닝(기계학습)’과 ‘인공지능’을 정보보안 분야에 접목하는 시도가 이어지고 있다. 1에서 10까지 방어자가 일일이 들여다봐야 했던 정보들을 자동화된 방식으로 분석함으로써, 방어자의 부담을 줄이고 보다 빠른 ‘탐지’와 ‘대응’을 하기 위해서다.

오늘날 방어자들이 분석해야 할 정보는 기하급수적으로 증가하고 있다. 방어자는 시스템, 네트워크, 엔드포인트 단에서 생성되는 정보는 물론 보안 보고서, 기사, 블로그 등 최신 외부 위협 정보도 모두 확인해 그 연관성을 분석해야 한다.

또한, 인간의 감정, 습관 등 심리를 파고드는 공격이 발생하고 있다는 점에도 주목해야 한다. “저 사람이 설마”라는 생각에 위험 신호를 흘려보내다 주요 기밀 정보가 유출되는 예가 대표적이다.

이와 같은 배경에서 인간의 개입을 최소화하며 자동화된 방식으로 빅데이터 기반의 연관성 분석을 수행하는 신기술에 대한 수요가 발생하게 됐다. 데이터 수집과 분류, 분석 부분에서는 인공지능 등을 통해 더욱더 신속하고 정확하게 자동화를 시키고, 최종 판단의 부분에 대해서는 인간의 개입을 전문화하는 형태의 보안관제 방안에 대해 몇몇 보안업체들에서 연구가 진행되고 있다.

앞으로의 보안관제 방향

지금까지 날로 진화하는 공격자에 맞서 발전을 거듭해온 보안관제의 변화에 대해 알아봤다. 변화는 크게 세 가지로 요약될 수 있다.

첫째, 경계가 아닌 데이터 중심의 보안관제 체계 구축의 중요성이 강조되고 있다. 공격의 경계가 모호하고 아군(방어자)와 적군(공격자)를 명확하게 구분하기 어려워졌을 뿐더러, 보안성 확보를 위해 분리된 환경에 우회경로나 취약점을 이용한 공격이 빈번하게 발생하고 있는 까닭이다.

둘째, ‘위협 인텔리전스’와 ‘상황인지’가 결합된 보안관제 방법론이 제시됐다. 은밀하게 침투하고(Advanced), 지속적으로 천천히 오랜 시간을 들여 모든 정보를 살펴보고(Persistent), 목표로 삼은 특정 정보를 유출시키거나 시스템 및 서비스를 무력화하는(Targeted) 지능화된 공격자에 맞서기 위함이다. 방어자는 보안과 관련된 모든 정보를 수집하고 분석함으로써 위협에 보다 빠르게 대응하고, 취약점을 먼저 찾아 대비책을 마련할 수 있게 된다.

셋째, 머신러닝과 인공지능이 결합된 보안 관제 체계 구축의 중요성도 조금씩 부각되고 있다. 방어자가 보유한 군사와 이들이 전투에 참여할 수 있는 시간이 한정돼 있는 만큼, 인간의 개입이 필수적으로 요구되는 일부분을 제외한 나머지 업무는 학습된 인공지능이 자동적으로 처리해 보다 빠른 ‘탐지(Detect)’와 ‘대응(Response)’을 가능하게 한다는 개념이다.

인간은 숫자 너머의 존재, 인공 지능 시대에도 인간의 직관력은 요구된다

인공지능 시대 도래에 발맞춰 보안 위협에 대처하는 방어자, 즉 보안 전문가의 중요성은 더 커질 것으로 예상된다. 공격을 하는 주체 역시 인간이며, 흔들림 없는 이성적 판단을 내리는 고성능의 인공지능 역시 인간의 직관력에 기반하고 있기 때문이다. 따라서 절대적인 우위를 점하고 있는 공격자에 맞서기 위해서는 보안관제 시스템, 프로세스와 더불어 이러한 시스템을 개발하고 프로세스를 점검할 수 있는 전문 인력 양성에도 중점을 둬야 할 것으로 생각된다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지