08.15
주요뉴스
뉴스홈 > 기고
[전문가 기고] 보안에서 가장 중요한 것은 ‘지금’이다‘RSA 컨퍼런스 2018’을 통해 살펴본 사이버 위협의 변화

[컴퓨터월드]
   
▲ 정일옥 이글루시큐리티 관제기술연구팀 수석부장

‘미러 체스 문제점’을 아시나요?

체스 용어 중 ‘미러 체스(Mirror Chess)’라는 말이 있다. 체스 게임을 할 때 상대방의 움직임을 마치 거울처럼 그대로 따라 플레이하는 방식을 의미한다. 상대방을 당황시키거나 상대방의 수를 파악하거나 또는 초기 수를 놓기 어려울 때 흔히 사용되는 전술이지만, 이러한 ‘미러 체스’에는 한 가지 치명적인 문제점(Problem)이 존재한다. 계속 뒤따라만 가다 보면 상대를 결코 앞지르지 못하고, 결국엔 패배할 수밖에 없다는 사실이다. 승리를 위해서는 초반에 ‘미러 체스’를 두다가도 어느 정도 게임이 진행된 후에는 반드시 자신의 전략이 필요하다.

이러한 ‘미러 체스 문제점’의 원리를 보안 분야에 적용해보자. 공격자의 행위에 따라 수동적으로 대응을 한다는 것은 결국 질 수밖에 없는 게임을 하고 있는 것이다. 특히 최근 4차 산업혁명 기반기술로 일컬어지는 인공지능(AI), 클라우드, 사물인터넷(IoT) 등이 보안 업계에 접목되면서 자동화된 대응이 대세인 만큼, 역이용에 대한 우려의 목소리 또한 끊이지 않는 것도 같은 맥락이다. 공격자의 다양한 행동에 따른 대응을 자동화시키다 보면 공격에 대한 사후적 조치로서의 방어밖에 할 수 없기 때문이다.

그렇다면 과연 보안 전문가들은 공격자와의 싸움에서 이기기 위해 어떠한 대응을 해야 하는 것일까? 사이버 공격이 점차 다양해지고 정교해지고 있는 상황에서 보안 전문가들이 고려해야 할 것들은 날로 많아지고 있다.

   
▲ 미러 체스 문제점(출처: Chess.com)

지난 4월 16일부터 20일까지 개최된 ‘RSA 컨퍼런스 2018’은 전세계 정보보안 기업 및 전문가들이 참여하는 세계 최대 규모의 사이버보안 컨퍼런스다. 매년 미국, 유럽, 아시아, 중동에서 개최되는데 미국 샌프란시스코 컨퍼런스는 그 중 제일 먼저 개최돼 보안 시장의 동향을 읽는데 좋은 가이드라인이 된다.

이번 ‘RSA 컨퍼런스 2018’의 슬로건은 ‘현안(Now Matters)’으로 현재 우리가 직면하고 있는 사이버 위협에 대한 해결방안을 지금 바로 힘 합쳐 모색해야 할 때임을 강조했다. 지난 2년간의 ‘RSA’ 키워드를 돌아보면 이번 슬로건의 의미를 보다 잘 이해할 수 있다. 2016년도의 키워드는 ‘100% 보안은 없다’, 2017년은 ‘혼자서 대응하는 것은 불가능하다’였다. 때문에 작년 컨퍼런스에서 마이크로소프트는 디지털 제네바 조약을 이야기했으며, 맥아피는 사이버보안 드림팀 등 사이버 연맹의 필요성을 주장했다.

올해는 여기서 한 발짝 더 나아가 당면한 보안 문제를 바로, 그리고 함께 해결하려는 움직임을 보였다. 실제 34개의 세계 IT기업들이 모여 ‘사이버보안 기술 협정(Cybersecurity Tech Accord)’에 서명했다. 시민과 사회를 사이버 위협으로부터 안전하게 보호하기 위해 힘을 모으겠다는 의지를 보인 것이다.

이러한 점을 감안할 때 올해의 슬로건인 ‘현안(Now Matters)’은 그 어느 때보다 아주 현실적인 동시에 도전적인 키워드라 할 수 있다는 점을 알 수 있다.

   
▲ ‘RSA 컨퍼런스 2018’ 슬로건 및 워드 클라우드(출처: RSA 컨퍼런스 2018)

‘RSA 컨퍼런스 2018’에서 위협을 대하는 자세 또한 보다 현실적이며 적극적인 모습을 보였다. 로힛 가이 RSA 회장은 기조연설에서 “최신 기술을 쫓기보다 디지털 위험을 관리하는 비즈니스 중심의 보안 접근 방식에 주력해야 한다”고 강조했다. 이는 ‘보안’을 대하는 주체가 보안 담당자뿐 아니라 모든 사용자로 확대돼야 하며 적을 제압할 수 있는 완벽한 수단과 방어책은 존재하지 않으니 매일 매일 조금 더 나아지고 조금씩 더 안전해지는 지금을 만드는데 집중해야 한다는 의미다.

이렇듯 올해 컨퍼런스에서는 지금 당면한 현안들을 해결을 위한 여러 현실적인 방법론들이 제시됐다.

그 중 비중 높게 다뤄졌던 ▲위협 인텔리전스(Threat Intelligence) ▲SOC(Security Operation Center) 그리고 ▲AI(Artificial Intelligence)에 대해 보다 자세히 살펴보는 시간을 가져보고자 한다.


지금 필요한 것은 ‘리얼 위협 인텔리전스’다

위협 인텔리전스에 대한 관심은 그 어느 때보다 뜨거웠다. 작년 83개 정도의 참가 업체가 위협 인텔리전스를 활용한다고 한 반면 올해에는 134개의 업체가 이에 대해 이야기했다. 위협 인텔리전스의 확보 및 활용 필요성에 대한 공감대가 형성돼 이미 전세계적인 핵심 트렌드로 자리잡은 것이다.

시장조사업체 가트너는 위협 인텔리전스를 기존에 있었거나 새롭게 부상하는 위협에 대해 알려주는 증거 기반의 지식으로서, 해당 위협에 대해 반응하는 의사결정에 활용되는 요소라 정의한 바 있다. 이렇듯 위협 인텔리전스라 하면 흔히 위협 정보를 제공해주는 피드를 떠올리기 쉽지만, 위협 인텔리전스 시장은 데이터를 제공하는 ‘공급자(Providers)’, 데이터를 수집 저장 분류하는 ‘플랫폼(Platform)’, 관련된 정보를 통해 분석하는 ‘엔리치먼트(Enrichment)’, 그리고 통합보안관제시스템(SIEM) 및 타 보안장비와의 연계를 수행하는 ‘인터그레이션(Integration)’ 등 4가지로 분류된다.

   
▲ 위협 인텔리전스 시장의 분류(출처: RSA 컨퍼런스 2017)

위협 인텔리전스라는 개념이 처음 등장했을 당시 이뤄졌던 대부분의 논의는 ‘공급자’를 통해 수집되는 데이터의 양에 관련된 것이었다. 그러나 할 로나스 웹루트(Webroot) 최고기술책임자(CTO)는 “오픈소스 인텔리전스(OSINT), 샌드박스(Sandboxs), 크롤러(Crawlers), 허니팟(Honeypot) 등 다양한 피드와 검증되지 않은 소스로부터 수집된 무분별한 데이터는 오히려 보안 분석가들에게 업무를 과중시키는 결과를 초래한다”며, “OODA(Observe, Orient, Decide, Act) 루프를 통해 최적화되는 과정을 거쳐야 한다”고 주장했다.

OODA 루프는 관찰하고(Observe), 방향을 설정하고(Orient), 결정하고(Decide), 실행하는(Act) 일련의 프로세스를 칭하는데 이를 통해 수집된 데이터가 제공되고 활용되는 곳에 최적화되면서 단순히 참고할만한 위협 정보 리스트로서의 위협 인텔리전스가 아닌, 실제적 장비에서 수집되고 분석돼 활용할 수 있는 ‘리얼 위협 인텔리전스(Real Threat Intelligence)’로 거듭날 수 있다.

2017년에 비해 위협 인텔리전스 데이터를 수집하고 저장 분류하는 플랫폼 업체들은 큰 발전을 보이고 있다. 클라우드를 통해 수집된 데이터를 효율적으로 저장하고, 머신러닝을 통해 가산화(Scoring) 및 분류의 과정을 거치며, 이를 표현하는 대시보드 역시 안정적인 수준에 도달했다. 엔리치먼트 분야는 도메인툴즈(Domaintools), 바이러스토탈(Virustotal), 멀웨어바이트(Malwarebytes) 등 관련 업체들의 지속적인 성장과 RestFul API 등장 등을 통해 더욱더 정확한 분석이 가능하게 됐다.

인터그레이션 전문 업체들은 위협 인텔리전스가 어떻게 활용될 것인가를 보여주며 이전에는 선택 사항이었던 타 보안 솔루션 및 장비와의 연계가 현재는 필수 항목이 될 정도로 실제 적용돼 활용되고 있음을 증명했다.

이렇듯 어느덧 위협 인텔리전스는 기업의 가치를 높이는 하나의 영역으로 자리 잡았으며 이제는 데이터에 대한 양보다는 질과 현재 사이트에 적용 가능한 효율적인 유스케이스(USE CASE)가 필요할 때다.


SOC는 변하고 있다: 이제는 솔루션이 아닌 서비스를 얘기한다

SOC(Security Operation Center)는 사이버상에서 발생하는 이상 현상을 사전에 탐색하고 침해 사고에 대응하는 사람(People), 프로세스(Process), 기술(Technology)로 구성된 센터를 의미한다. 우리나라에서는 보안관제센터, 사이버안전센터, 통합보안관제센터 등 다양하게 불리고 있다.

   
▲ RSA SOC(출처: 이글루시큐리티)

‘RSA 컨퍼런스 2018’에서도 RSA SOC를 만나 볼 수 있었는데 이는 컨퍼런스장의 여러 이슈를 사전에 탐지하고 지정된 시간마다 현황 및 대응 방안에 대해 설명해주는 매우 색다른 시도였다. SOC가 운영되는 것도 중요하지만 이제는 여기서 더 나아가 해당 SOC의 현황을 다 함께 공유하고, 관련 담당자와 해결 방안을 찾아나가는 것에 대한 중요성이 한층 높아졌음을 드러낸 사례로 판단된다.

데이브 호그 미국 국가안보국(NSA) 기술책임자는 “국가간의 사이버 전쟁이 날로 증가하는 추세 속에 이에 따른 대응 방안도 변화해야 한다”고 말하며, 실제 수행 가능한 SOC 5가지 원칙을 제시했다.

1. 방어할 수 있는 경계선을 수립하라(Establish a defendable perimeter)
2. 네트워크 전반에 대한 가시성을 확보하라(Ensure visibility across the network)
3. 모범 규준을 강화하라(Harden to best practices)
4. 위협 인텔리전스와 머신러닝을 활용하라(Use comprehensive threat intelligence and machine learning)
5. 호기심 문화를 만들어라(Create a culture of curiosity)

이러한 원칙들이 특별하고 새로운 진리를 담고 있는 것은 아니지만, 많은 SOC가 운영되면서 초기에 세웠던 나름의 규율을 잊어버리기 때문에 주기적으로 점검하고 체크하는 프로세스가 요구되는 것은 사실이다. 핵심 인프라의 리스크 관리 및 보안 역량을 평가하는 ‘사이버 보안 프레임워크’의 필요성이 부각되는 것도 이 때문인데, 미국의 경우 상무부 산하 기관인 국립표준기술연구소(NIST)가 2014년 초 개발한 NIST 사이버 프레임워크를 주요 시설에 적극 활용하고 있으며 현재까지도 지속적으로 업그레이드하고 있다. SOC를 바라보는 관점이 SOC를 구성하고 있는 보안 솔루션 및 장비에서 운영자적인 측면의 서비스로 점차 변화하고 있는 것이다.

   
▲ NSA 사이버 보안 위협 관제 센터(출처: RSA 컨퍼런스 2018)

또한 이번 RSA 컨퍼런스 2018에서는 공격에 효율적으로 대응하기 위한 보다 더 적극적인 방안도 제시됐다. 팔로알토 네트웍스의 케리마트레는 ‘SOC 2030’을 제시하면서 “SOCS ARE BROKEN, LET'S FIX THEM”이라는 자극적인 멘트를 사용했다. 그리고 그 방안으로 이전 수동적인 대응에서 벗어난 적극적인 ‘프리벤션(Prevention) 기반 아키텍처’를 제시하며 현재 탐지(Identify), 완화(Mitigate)가 중시 되는 환경에서 향후에는 조사(Investigate)에 대한 비중을 높여 나가야 한다고 주장했다.

잠재적 위협요인을 능동적으로 탐지해 제거하는 위협 사냥(Threat Hunting)의 개념을 아키텍처에 녹여놓은 것과 유사한 맥락으로 보여지며 공격이 일어난 후 행동을 취하는 것이 아니라 예방적 차원에서 대응하는 SOC가 돼야 한다는 것이다.

   
▲ 프리벤션 기반 아키텍처(출처: RSA 컨퍼런스 2018)


해결책으로 완전하지는 않지만, AI를 말한다

‘RSA 컨퍼런스 2018’의 세션발표에 머신러닝 세션이 새롭게 형성될 정도로 이제 보안과 AI는 떼려야 뗄 수 없는 사이가 됐다. 현실적으로는 인간의 손과 발이 많이 요구되는 부분을 보완하는 수준에 불과하며 정보보안 이슈에 대한 본질적인 해결책이 되지는 못하지만, 보안 분야 속 AI의 필요성이나 중요성에 대해서는 이미 전세계적인 공감대가 형성된 지 오래다.

대다수 보안 기업들은 자원 및 시간의 효율적 사용을 위해 인공지능을 활용해 기존의 보안 시스템을 강화시키고 있으며 컨퍼런스 마지막 기조연설로 RSA의 휴 톰슨이 인공지능 분야의 전문가 3인을 초청해 마무리함으로써 쉽게 식지 않을 AI의 중요성을 다시금 강조했다.


하인리히 법칙을 통한 대응 단계도 변하고 있다

미국의 보험회사 직원이었던 허버트 하인리히는 수많은 산업재해 분석을 통해 큰 사고는 우연히, 또는 어느 순간 갑작스럽게 발생하는 것이 아니라 반드시 이를 암시하는 전조 현상이 일어났다는 사실을 발견했다. 이를 1:29:300 법칙 또는 하인리히(Heinrich) 법칙이라고 칭하는데, 이 원리는 정보보안 분야에도 적용될 수 있다.

사이버 공격이 한층 정교해지고 그 범위 또한 확대되고 있는 만큼, 1건의 이상 징후를 놓치는 것만으로도 사회기반시설 및 서비스 인프라가 다운되거나 기업의 주요 정보가 유출되는 등의 대형 보안 사고로 이어질 수 있기 때문이다.

   
▲ 하인리히 법칙의 정의

그렇기에 과거 보안 전문가들은 기업에서 발생하는 300회의 사소한 징후에 대해 샅샅이 살펴보고 처리하도록 요구됐다. 잠재적인 위험성을 모두 차단해 작은 사고조차 일어나지 못하도록 하는 것이 가장 확실한 해결책으로 여겨졌기 때문이다. 하지만 빅데이터 시대에 접어들며 데이터의 양이 폭발적으로 증가하고 관련된 인프라도 크게 늘어나면서, 발생하는 여러 이벤트의 사소한 징후에 모두 대응하는 것은 사실상 불가능한 일이 됐다.

이제는 모든 것을 하나하나 점검하며 양으로 승부하는 것이 아니라 단계별 명확한 역할분담 및 사이트 규모에 맞는 강화 포인트, 목표 등을 확실히 정해 관제의 질로 승부해야 할 때인 것이다.

   
▲ 하인리히 법칙에 따른 단계별 대응(출처: 이글루시큐리티)

보안 위협에 대한 상황은 계속 변화하고 있다. 과거의 전망들이 하나 둘 현실화되고 있으며 변화에 대한 대응은 더 이상 늦출 수 없게 됐다. 그 언제보다, 그 무엇보다 지금(Now)이 중요해진 것이다. 그리고 앞서 이야기했듯이 이에 맞춰 보안업계 역시 변화하고 있다.

사이버 위협을 경계에서만 바라보는 것이 아니라 내부에 대한 명확한 식별 및 관리, 위협 인텔리전스를 통한 신속한 공유 등 다각적인 방향에서 살펴보기 시작했고 이 과정에서 불필요한 몸집을 없애는 등 능동적인 자세를 취하고 있다.

앞에서 얘기한 ‘미러 체스 문제점’이 가장 많이 발생할 수 있는 시점은 지금(Now)이 아닐까? 이번 ‘RSA 컨퍼런스 2018’의 키 메시지를 살펴보면 “모든 문제를 한 번에 해결할 수 있는 혁신적인 솔루션은 없으며 보안위협에 대응하기 위해 지금 힘을 합쳐 대응해야 한다”고 말하고 있으니 말이다.

창조적 혁신은 수많은 실패와 노력에 의해 탄생한다. ‘미러 체스 문제점’을 해결하기 위한 창조적 혁신을 위해 기존 것에 대한 완성도를 높여나가며 현재에 대응하는 것이 결국은 다가올 미래의 위협을 준비하는 가장 현명한 길이 될 것이다.

여백
컴퓨터월드 추천기업 솔루션
인기기사 순위
IT Daily 추천기업 솔루션
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL: 02-2039-6160  FAX: 02-2039-6163   사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오