2017.04.07

예방이냐 탐지냐? 취약점에 대한 CISO의 자세

Kacy Zurkus | CSO
오늘날 CISO는 기업에서 가장 가치있는 자산을 보호하는 데 정보에 입각해, 효율적이고 경제적인 의사결정을 내리기 위해 노력하고 있다. 예전에는 예방에 대한 투자가 적절한 보호를 해줬기 때문에 의사결정이 조금더 쉬웠다.

하지만 현재는 그렇지 않다. <지능형 지속 보안(Advanced Persistent Security)> 저자이자 시큐어 멘텀(Secure Mentem) 대표 아이라 윙클러는 "모든 위협으로부터 보호하려는 노력은 비용 효율적이지 못하다"고 말했다.

예방적 보호의 세계에서 나이를 먹어가는 방어자들의 사고방식을 바꾸는 것은 점점 더 어려워졌다. 결과적으로 일부 보안 프로그램은 실패했다. 이에 대해 윙클러는 "해커들이 안으로 들어가서가 아니라 그들이 밖으로 나왔기 때문"이라고 말했다.

강력한 보안 프로그램을 구축하기 위해 CISO는 예방, 탐지, 그리고 대응의 적절한 균형에 투자해야 한다. 예를 들어, 탐지에 더 집중하기 위해 관리할 수 있는 몇가지 취약점을 남겨 둘 수 있다.

콘트래스트 시큐리티 CTO이자 공동 창립자인 제프 윌리엄스는 "윙클러는 보호, 탐지, 그리고 대응을 구분하려 노력하고 있다. 물론 책임있는 보안 전략은 모두 3가지가 있다"고 말했다. 윌리엄스는 "우선 순위는 과제 가운데 하나"라며, "보안에서 우선 순위를 부여하고 대응하는 것이 현재 위협에 압도당하는 CISO에게 한줌의 위안을 제공하고 있다"고 말했다.

윌리엄스는 사이버 보안을 주택 보안에 비유했다. "만약 취약점을 막으려 하지 않는 것은 문과 창문을 잠그는 것을 걱정하지 않는 것이다. 단지 경보기가 울리고 경찰이 자신을 보호해 줄 때까지 기다리는 것이다." 실제로 경보가 울리지 않는 공격도 있을 수 있다. 윌리엄스는 "경찰이 항상 효과적으로 대응하는 것은 아니며, 경찰이 도착할 때까지 이미 피해가 발생했을 것"이라고 밝혔다.

윌리엄스는 "사실 탐지와 대응은 항상 특효약일 수는 없다"며, "만약 탐지와 대응이 항상 최고의 전략이라고 생각한다면 이는 영화 <테이큰(Taken)>을 보고 있는 것이다"고 말했다. 

그러나 윙클러는 "사람들이 현관문을 열지 말 것을 얘기하지 않는다. 이는 보안 조치를 취하는 것과는 아무런 관계가 없지만 누구도 이런 충고를 하지 않는다"고 말했다.

현실은 모두가 현관 문을 잠그고 볼트로 꽉 조이더라도, 일부 사람들이 창문을 열어놓고 잠을 자고 싶어한다. 윙클러는 "이는 우리가 모든 창문에 창살을 설치해야 한다는 걸 의미한다"고 말했다.

취약점은 항상 존재하며 모든 위협을 예방하는 것은 사실상 불가능하다.
베이 다이내믹스 솔루션 전문가 마이크 도날드슨은 "모든 취약점을 동등하게 다뤄서는 안되며, 잠금해제된 창은 보안상 취약하다. 하지만 창문이 건물 50층 높이에 있다면 강도는 창문보다는 건물의 다른 부분을 노릴 것이다"고 설명했다.

위험을 기반으로 우선 순위를 정해야 한다. 도날드슨은 "같이 잠금 해제가 된 창이라도 호프 다이아몬드(Hope Diamond)가 있는 방은 그 다이아몬드로 인해 도둑이 침입할 가능성이 많아져 위험이 높아진다"고 말했다.

보안팀은 어떤 취약점이 즉시 해결해야 할지를 결정하기 위해 위험과 가능성을 계량화해야 한다. 하지만 조직은 자체 위험을 이해하고 예방, 탐지, 그리고 대응을 균형적으로 조정해 보안 프로그램을 구축해야 한다.

윙클러는 "위험 평가를 수행하고 어떤 취약점이 있는 지 찾아야 한다. 그런 후 이는 취약점으로 인한 잠재적 피해를 완화하기 위한 과제가 된다"고 설명했다. 그러나 윌리엄스는 "취약점과 공격은 같은 선상에 있으며, 공격을 탐지하는 것은 본질적으로 자체 취약점을 탐지하는 것과 같은 논리다. 이는 소프트웨어 개발 라이프사이클에서 보안을 처리하는데 가장 비용 효율적인 방법이다"고 말했다.

윌리엄스는 "보안팀이 위협 모델에 중점을 두고 가장 중요한 위험 요소를 파악하면 그들은 즉각적으로 적절하고도 강력한 방어 체계를 갖추고 이를 모니터링할 수 있다"고 말했다.

도날드슨은 "보안 실무자들이 하루에 수천 개의 취약점으로부터 포격을 받기 때문에 이 공격들에 초점을 맞추고 있다"며, "그들은 조직에 가장 큰 위험이 될 취약점에 초점을 맞춰야 하며, 악용될 경우 회사에 가장 큰 피해가 될 위험에 중점을 두는 것은 당연한 것이다"고 설명했다.

도날드슨은 "보안 취약점을 포함하고 있는 자산의 가치와 취약점을 악용할 수 있는 위협이 있는 지를 파악하고 해당 위협으로 조직이 입을 수 있는 재정적 영향을 고려해야 한다"고 말했다.

E8 시큐리티 보안 전략 책임자 매트 로저스는 "이 작업을 거치고 나면 이제서야 CISO는 경제적인 결정을 내릴 준비가 된 것"이라고 말했다. CISO는 인력, 프로세스, 그리고 기술을 투자하는 방법을 이해하는 임무를 맡고 있다.

로저스는 "현재 CISO는 과거와 다른 선택을 할 수 있는 시점에 들어섰다"며, "안전한 네트워크를 만드는 가장 빠른 방법은 보호에 투자하는 것이다. 투자를 균형있게 유지하는 것이 CISO의 중요한 역할이다"고 말했다. editor@itworld.co.kr
 

2017.04.07

예방이냐 탐지냐? 취약점에 대한 CISO의 자세

Kacy Zurkus | CSO
오늘날 CISO는 기업에서 가장 가치있는 자산을 보호하는 데 정보에 입각해, 효율적이고 경제적인 의사결정을 내리기 위해 노력하고 있다. 예전에는 예방에 대한 투자가 적절한 보호를 해줬기 때문에 의사결정이 조금더 쉬웠다.

하지만 현재는 그렇지 않다. <지능형 지속 보안(Advanced Persistent Security)> 저자이자 시큐어 멘텀(Secure Mentem) 대표 아이라 윙클러는 "모든 위협으로부터 보호하려는 노력은 비용 효율적이지 못하다"고 말했다.

예방적 보호의 세계에서 나이를 먹어가는 방어자들의 사고방식을 바꾸는 것은 점점 더 어려워졌다. 결과적으로 일부 보안 프로그램은 실패했다. 이에 대해 윙클러는 "해커들이 안으로 들어가서가 아니라 그들이 밖으로 나왔기 때문"이라고 말했다.

강력한 보안 프로그램을 구축하기 위해 CISO는 예방, 탐지, 그리고 대응의 적절한 균형에 투자해야 한다. 예를 들어, 탐지에 더 집중하기 위해 관리할 수 있는 몇가지 취약점을 남겨 둘 수 있다.

콘트래스트 시큐리티 CTO이자 공동 창립자인 제프 윌리엄스는 "윙클러는 보호, 탐지, 그리고 대응을 구분하려 노력하고 있다. 물론 책임있는 보안 전략은 모두 3가지가 있다"고 말했다. 윌리엄스는 "우선 순위는 과제 가운데 하나"라며, "보안에서 우선 순위를 부여하고 대응하는 것이 현재 위협에 압도당하는 CISO에게 한줌의 위안을 제공하고 있다"고 말했다.

윌리엄스는 사이버 보안을 주택 보안에 비유했다. "만약 취약점을 막으려 하지 않는 것은 문과 창문을 잠그는 것을 걱정하지 않는 것이다. 단지 경보기가 울리고 경찰이 자신을 보호해 줄 때까지 기다리는 것이다." 실제로 경보가 울리지 않는 공격도 있을 수 있다. 윌리엄스는 "경찰이 항상 효과적으로 대응하는 것은 아니며, 경찰이 도착할 때까지 이미 피해가 발생했을 것"이라고 밝혔다.

윌리엄스는 "사실 탐지와 대응은 항상 특효약일 수는 없다"며, "만약 탐지와 대응이 항상 최고의 전략이라고 생각한다면 이는 영화 <테이큰(Taken)>을 보고 있는 것이다"고 말했다. 

그러나 윙클러는 "사람들이 현관문을 열지 말 것을 얘기하지 않는다. 이는 보안 조치를 취하는 것과는 아무런 관계가 없지만 누구도 이런 충고를 하지 않는다"고 말했다.

현실은 모두가 현관 문을 잠그고 볼트로 꽉 조이더라도, 일부 사람들이 창문을 열어놓고 잠을 자고 싶어한다. 윙클러는 "이는 우리가 모든 창문에 창살을 설치해야 한다는 걸 의미한다"고 말했다.

취약점은 항상 존재하며 모든 위협을 예방하는 것은 사실상 불가능하다.
베이 다이내믹스 솔루션 전문가 마이크 도날드슨은 "모든 취약점을 동등하게 다뤄서는 안되며, 잠금해제된 창은 보안상 취약하다. 하지만 창문이 건물 50층 높이에 있다면 강도는 창문보다는 건물의 다른 부분을 노릴 것이다"고 설명했다.

위험을 기반으로 우선 순위를 정해야 한다. 도날드슨은 "같이 잠금 해제가 된 창이라도 호프 다이아몬드(Hope Diamond)가 있는 방은 그 다이아몬드로 인해 도둑이 침입할 가능성이 많아져 위험이 높아진다"고 말했다.

보안팀은 어떤 취약점이 즉시 해결해야 할지를 결정하기 위해 위험과 가능성을 계량화해야 한다. 하지만 조직은 자체 위험을 이해하고 예방, 탐지, 그리고 대응을 균형적으로 조정해 보안 프로그램을 구축해야 한다.

윙클러는 "위험 평가를 수행하고 어떤 취약점이 있는 지 찾아야 한다. 그런 후 이는 취약점으로 인한 잠재적 피해를 완화하기 위한 과제가 된다"고 설명했다. 그러나 윌리엄스는 "취약점과 공격은 같은 선상에 있으며, 공격을 탐지하는 것은 본질적으로 자체 취약점을 탐지하는 것과 같은 논리다. 이는 소프트웨어 개발 라이프사이클에서 보안을 처리하는데 가장 비용 효율적인 방법이다"고 말했다.

윌리엄스는 "보안팀이 위협 모델에 중점을 두고 가장 중요한 위험 요소를 파악하면 그들은 즉각적으로 적절하고도 강력한 방어 체계를 갖추고 이를 모니터링할 수 있다"고 말했다.

도날드슨은 "보안 실무자들이 하루에 수천 개의 취약점으로부터 포격을 받기 때문에 이 공격들에 초점을 맞추고 있다"며, "그들은 조직에 가장 큰 위험이 될 취약점에 초점을 맞춰야 하며, 악용될 경우 회사에 가장 큰 피해가 될 위험에 중점을 두는 것은 당연한 것이다"고 설명했다.

도날드슨은 "보안 취약점을 포함하고 있는 자산의 가치와 취약점을 악용할 수 있는 위협이 있는 지를 파악하고 해당 위협으로 조직이 입을 수 있는 재정적 영향을 고려해야 한다"고 말했다.

E8 시큐리티 보안 전략 책임자 매트 로저스는 "이 작업을 거치고 나면 이제서야 CISO는 경제적인 결정을 내릴 준비가 된 것"이라고 말했다. CISO는 인력, 프로세스, 그리고 기술을 투자하는 방법을 이해하는 임무를 맡고 있다.

로저스는 "현재 CISO는 과거와 다른 선택을 할 수 있는 시점에 들어섰다"며, "안전한 네트워크를 만드는 가장 빠른 방법은 보호에 투자하는 것이다. 투자를 균형있게 유지하는 것이 CISO의 중요한 역할이다"고 말했다. editor@itworld.co.kr
 

X