2017.04.24

더많은 취약점을 야기하는 SIEM, "떠날 준비가 됐는가"

Kacy Zurkus | CSO
최근 미국 마이애미에서 열린 인필트레이트 보안 컨퍼런스(Infiltrate Security Conference)에서 존 그리그는 참석자들에게 SIEM이 통합된 일반적인 네트워크를 살펴보면서 잘 알려진, 흔히 사용되는 SIEM을 악용해 정보를 찾고 흔적을 지우는 방법을 시연했다.



SIEM 기술의 목적은 네트워크를 보호하는 것이지만 그리그는 SIEM이 잘못 구성되는 경우가 많고 이는 더 많은 취약점을 야기한다고 말했다.

그리그는 "기존 툴 가운데 일부는 유용하기도 하지만 그리그는 SIEM 플랫폼을 잘 아는 사람이 없다는 점이 문제"라며, "플랫폼을 구축한 개발업체는 설계 관점에서 그 플랫폼을 안다. 하지만 협력업체가 그 플랫폼을 설치하고, 내부 IT 직원은 시스템을 물려받지만 별로 신경을 쓰지않는 경향이 있다"고 말했다.

문제 해결을 위해 전문가의 도움을 요청할 때쯤이면 처음 그 제품을 알던 사람들은 거의 남아 있지 않은 상태가 된다. 그리그는 디자이너와 프로그래머가 각자 자신의 영역을 잘 안다 해도 전체 그림을 보지 못하는 경우가 있다고 말했다.

그리그는 "많은 취약점은 잘못된 컨설팅에서 비롯된 잘못된 구성으로 인한 것"이라고 말했다. 그리그는 자신도 일을 시작한지 얼마 되지 않았을 무렵에는 잘못된 컨설팅을 제공했을 가능성이 높다고 토로했다.

그리그는 "아주 유능한 주변의 동료 컨설턴트들이 일하는 것을 지켜보면서 '나는 이런 부분에 손을 대면 안 되겠구나'라는 생각을 하기 시작했다. 불행히도 무능한 컨설턴트를 두는 것은 흔한 일"이라고 말했다.

많은 기업이 '문제 해결'을 위해 서드파티와 계약한다. 그리그와 같이 SIEM 플랫폼을 전문적으로 다루는 사람들은 "완전히 엉망이 된 시스템을 수정하게 된다.

그리그는 SIEM 업계의 상당 부분은 브랜드와 디자인만 살짝 바꾼 레거시 소프트웨어이기
때문에 "예전의 백도어가 지금도 여전히 존재한다"고 말했다.

그리그는 "사람들이 실수할까 두려워하는 탓에 많은 SIEM이 패치되지 않는 상태로 방치된다. 그런 SIEM은 네트워크로 통하는 대문이다. 또한 새로운 취약점을 야기하는 새로운 기능들이 항상 추가된다"고 말했다.

포레스터 리서치의 선임 분석가 조셉 블랑캔십은 최근 보고서 <벤더 현황: 보안 분석(SA)>에서 "SiM은 다양한 소스에서 오는 대량의 데이터를 인제스트(ingest), 상호 연계(correlate), 분석(analyze)하는 기능이 없으므로 애초의 기대에 부응하는 데 실패했다"고 전했다.

그러나 이 규칙 기반 기술의 문제는 정확도만이 아니다. 레이시온 포그라운드 시큐리티(Raytheon Foreground Security) CTO 마크 올랜도는 "가장 큰 문제 가운데 하나는 SIEM 인프라가 네트워크의 나머지 부분과 같이 관리되지 않는다는 경우가 많다는 것"이라고 말했다.

최신 패치를 항상 적용하고 관리하는 보안 모범 사례를 보안 인프라에 적용하지 않을 경우 플랫폼은 위험에 노출된다. 올랜도는 "전체 네트워크 관리를 담당하는 사람들이 아예 인프라를 전혀 관리하지 않는 경우도 있다. 이 경우 인프라는 최신 상태가 아니고 관리되지도 않는다"고 비판했다.

SIEM은 중요하고 민감한 데이터의 허브로 구축되었기 때문에 공격받기 쉽다. 올랜도는 "대량의 민감한 데이터를 중앙에 모으게 되면 이 허브는 공격자에게는 아주 큰 목표물이 된다"고 설명했다.

조직이 SIEM에 과도한 접근 권한을 부여한 사례가 많다. 올랜도는 여기에는 SIEM에 대한 접근뿐만 아니라 네트워크의 다른 부분에서 선행적으로 데이터를 수집하기 위한 접근도 포함된다고 말했다.

올랜도는 SIEM이 데이터베이스와 웹 서버, 애플리케이션 서버 등으로 구성되고 이런 모든 구성 요소 내부에도 방대한 양의 애플리케이션이 있는 복잡한 아키텍처라고 말했다.

올랜도는 "이런 각 구성 요소를 별도로 유지관리해야 한다. 구성 요소 간의 통신에 대해, 그리고 포트와 프로토콜에 대해서도 신경써야 한다. 패치와 업데이트도 확실히 해야 한다"고 말했다.

보안 모범 사례에는 사람, 프로세스, 기술의 관리가 모두 포함되지만 올랜도는 "노출되지 않도록 해야 할 포트와 프로토콜이 있는데 SIEM의 일부라는 이유로 사람들이 신경쓰지 않는다"고 말했다.

결과적으로 연구원과 공격자들은 SIEM을 주시하고 목표로 삼고 있다.

기업 보안에 대한 위험을 완화하기 위해서는 네트워크의 다른 모든 부분에 구현된 보안 모범 사례를 인프라에도 적용해야 한다. 접근 권한을 최소화하고, 공격 표면을 축소하고, 포트와 프로토콜을 데이터를 얻기 위해 필요한 만큼만으로 줄여야 한다.

E8 시큐리티(E8 Security)의 보안 전략 책임자 맷 로저스는 SIEM 내에 존재하는 취약점 문제에 대해 사람들이 이야기하는 것을 많이 듣지는 못했지만 "모든 보안 관행에서 결국 핵심은 사람, 프로세스, 기술로 압축된다"고 말했다.

로저스는 "모든 툴의 취약점은 당연히 수정해야 한다. 내가 이에 대한 이야기를 많이 듣지 못한 이유는 많은 보안 운영 팀이 자신이 일하는 환경이 비교적 안정적이고 안전하다고 믿기 때문일 수도 있다"고 말했다.

로저스는 그 전제가 합당하든 잘못이든 SIEM 또는 다른 어떤 툴 내에 존재하는 구체적인 취약점은 이 사람들이 따르는 프로세스를 통해 처리가 되어야 한다고 말했다.

SIEM은 광범위하게 사용되지만 보안 툴보다는 관리 툴에 더 가깝다. 대부분의 레거시 툴이 그렇듯이, 차세대 기술들이 머신러닝과 AI를 사용해 더 나은, 더 효율적인 기능을 제공한다.

로저스는 "시장에서 개발업체들은 보안 분석(SA)을 구축하기 시작했고 일부 SIEM 개발업체는 SA와 인접한 사용 사례를 통해 SA 개발업체 영역을 넘보고 있다"고 말했다.

로저스는 "현재 세계 최대의 SOC에서도 SIEM으로 처리되는 사용 사례들이 있다"면서 "그러나 다른 부분은 발전했고 이에 맞는 다른 접근 방법이 필요하다. 이러한 요소와 다른 툴이 훨씬 더 통합되고 데이터와 인텔리전스를 공유해 더 나은 서비스를 제공할 수 있게 될 것이다"고 말했다.

새로운 기업 중에서는 많은 오픈소스 툴과 기술이 포함된 환경에서 성장해 확고한 우위를 가진 업체도 있다고 로저스는 말했다.

그리그는 레거시 SIEM 툴에 의존하든 차세대 SA 툴에 의존하든 "제품을 이해하고, SIEM에 대해 내부 침투 테스트를 수행하거나 팀을 나눠 취약점 평가를 수행하고, 견고한 코딩 관행을 시행해야 한다"고 말했다.

SIEM은 모든 부분에 손을 댈 수 있으므로 확실한 절차를 강제해야 한다. 그리그는 "같은 비밀번호를 재사용하거나 기본 비밀번호를 사용하면 안 된다. 이것만 실천해도 문제의 95% 정도는 해결된다"고 말했다. editor@itworld.co.kr  

2017.04.24

더많은 취약점을 야기하는 SIEM, "떠날 준비가 됐는가"

Kacy Zurkus | CSO
최근 미국 마이애미에서 열린 인필트레이트 보안 컨퍼런스(Infiltrate Security Conference)에서 존 그리그는 참석자들에게 SIEM이 통합된 일반적인 네트워크를 살펴보면서 잘 알려진, 흔히 사용되는 SIEM을 악용해 정보를 찾고 흔적을 지우는 방법을 시연했다.



SIEM 기술의 목적은 네트워크를 보호하는 것이지만 그리그는 SIEM이 잘못 구성되는 경우가 많고 이는 더 많은 취약점을 야기한다고 말했다.

그리그는 "기존 툴 가운데 일부는 유용하기도 하지만 그리그는 SIEM 플랫폼을 잘 아는 사람이 없다는 점이 문제"라며, "플랫폼을 구축한 개발업체는 설계 관점에서 그 플랫폼을 안다. 하지만 협력업체가 그 플랫폼을 설치하고, 내부 IT 직원은 시스템을 물려받지만 별로 신경을 쓰지않는 경향이 있다"고 말했다.

문제 해결을 위해 전문가의 도움을 요청할 때쯤이면 처음 그 제품을 알던 사람들은 거의 남아 있지 않은 상태가 된다. 그리그는 디자이너와 프로그래머가 각자 자신의 영역을 잘 안다 해도 전체 그림을 보지 못하는 경우가 있다고 말했다.

그리그는 "많은 취약점은 잘못된 컨설팅에서 비롯된 잘못된 구성으로 인한 것"이라고 말했다. 그리그는 자신도 일을 시작한지 얼마 되지 않았을 무렵에는 잘못된 컨설팅을 제공했을 가능성이 높다고 토로했다.

그리그는 "아주 유능한 주변의 동료 컨설턴트들이 일하는 것을 지켜보면서 '나는 이런 부분에 손을 대면 안 되겠구나'라는 생각을 하기 시작했다. 불행히도 무능한 컨설턴트를 두는 것은 흔한 일"이라고 말했다.

많은 기업이 '문제 해결'을 위해 서드파티와 계약한다. 그리그와 같이 SIEM 플랫폼을 전문적으로 다루는 사람들은 "완전히 엉망이 된 시스템을 수정하게 된다.

그리그는 SIEM 업계의 상당 부분은 브랜드와 디자인만 살짝 바꾼 레거시 소프트웨어이기
때문에 "예전의 백도어가 지금도 여전히 존재한다"고 말했다.

그리그는 "사람들이 실수할까 두려워하는 탓에 많은 SIEM이 패치되지 않는 상태로 방치된다. 그런 SIEM은 네트워크로 통하는 대문이다. 또한 새로운 취약점을 야기하는 새로운 기능들이 항상 추가된다"고 말했다.

포레스터 리서치의 선임 분석가 조셉 블랑캔십은 최근 보고서 <벤더 현황: 보안 분석(SA)>에서 "SiM은 다양한 소스에서 오는 대량의 데이터를 인제스트(ingest), 상호 연계(correlate), 분석(analyze)하는 기능이 없으므로 애초의 기대에 부응하는 데 실패했다"고 전했다.

그러나 이 규칙 기반 기술의 문제는 정확도만이 아니다. 레이시온 포그라운드 시큐리티(Raytheon Foreground Security) CTO 마크 올랜도는 "가장 큰 문제 가운데 하나는 SIEM 인프라가 네트워크의 나머지 부분과 같이 관리되지 않는다는 경우가 많다는 것"이라고 말했다.

최신 패치를 항상 적용하고 관리하는 보안 모범 사례를 보안 인프라에 적용하지 않을 경우 플랫폼은 위험에 노출된다. 올랜도는 "전체 네트워크 관리를 담당하는 사람들이 아예 인프라를 전혀 관리하지 않는 경우도 있다. 이 경우 인프라는 최신 상태가 아니고 관리되지도 않는다"고 비판했다.

SIEM은 중요하고 민감한 데이터의 허브로 구축되었기 때문에 공격받기 쉽다. 올랜도는 "대량의 민감한 데이터를 중앙에 모으게 되면 이 허브는 공격자에게는 아주 큰 목표물이 된다"고 설명했다.

조직이 SIEM에 과도한 접근 권한을 부여한 사례가 많다. 올랜도는 여기에는 SIEM에 대한 접근뿐만 아니라 네트워크의 다른 부분에서 선행적으로 데이터를 수집하기 위한 접근도 포함된다고 말했다.

올랜도는 SIEM이 데이터베이스와 웹 서버, 애플리케이션 서버 등으로 구성되고 이런 모든 구성 요소 내부에도 방대한 양의 애플리케이션이 있는 복잡한 아키텍처라고 말했다.

올랜도는 "이런 각 구성 요소를 별도로 유지관리해야 한다. 구성 요소 간의 통신에 대해, 그리고 포트와 프로토콜에 대해서도 신경써야 한다. 패치와 업데이트도 확실히 해야 한다"고 말했다.

보안 모범 사례에는 사람, 프로세스, 기술의 관리가 모두 포함되지만 올랜도는 "노출되지 않도록 해야 할 포트와 프로토콜이 있는데 SIEM의 일부라는 이유로 사람들이 신경쓰지 않는다"고 말했다.

결과적으로 연구원과 공격자들은 SIEM을 주시하고 목표로 삼고 있다.

기업 보안에 대한 위험을 완화하기 위해서는 네트워크의 다른 모든 부분에 구현된 보안 모범 사례를 인프라에도 적용해야 한다. 접근 권한을 최소화하고, 공격 표면을 축소하고, 포트와 프로토콜을 데이터를 얻기 위해 필요한 만큼만으로 줄여야 한다.

E8 시큐리티(E8 Security)의 보안 전략 책임자 맷 로저스는 SIEM 내에 존재하는 취약점 문제에 대해 사람들이 이야기하는 것을 많이 듣지는 못했지만 "모든 보안 관행에서 결국 핵심은 사람, 프로세스, 기술로 압축된다"고 말했다.

로저스는 "모든 툴의 취약점은 당연히 수정해야 한다. 내가 이에 대한 이야기를 많이 듣지 못한 이유는 많은 보안 운영 팀이 자신이 일하는 환경이 비교적 안정적이고 안전하다고 믿기 때문일 수도 있다"고 말했다.

로저스는 그 전제가 합당하든 잘못이든 SIEM 또는 다른 어떤 툴 내에 존재하는 구체적인 취약점은 이 사람들이 따르는 프로세스를 통해 처리가 되어야 한다고 말했다.

SIEM은 광범위하게 사용되지만 보안 툴보다는 관리 툴에 더 가깝다. 대부분의 레거시 툴이 그렇듯이, 차세대 기술들이 머신러닝과 AI를 사용해 더 나은, 더 효율적인 기능을 제공한다.

로저스는 "시장에서 개발업체들은 보안 분석(SA)을 구축하기 시작했고 일부 SIEM 개발업체는 SA와 인접한 사용 사례를 통해 SA 개발업체 영역을 넘보고 있다"고 말했다.

로저스는 "현재 세계 최대의 SOC에서도 SIEM으로 처리되는 사용 사례들이 있다"면서 "그러나 다른 부분은 발전했고 이에 맞는 다른 접근 방법이 필요하다. 이러한 요소와 다른 툴이 훨씬 더 통합되고 데이터와 인텔리전스를 공유해 더 나은 서비스를 제공할 수 있게 될 것이다"고 말했다.

새로운 기업 중에서는 많은 오픈소스 툴과 기술이 포함된 환경에서 성장해 확고한 우위를 가진 업체도 있다고 로저스는 말했다.

그리그는 레거시 SIEM 툴에 의존하든 차세대 SA 툴에 의존하든 "제품을 이해하고, SIEM에 대해 내부 침투 테스트를 수행하거나 팀을 나눠 취약점 평가를 수행하고, 견고한 코딩 관행을 시행해야 한다"고 말했다.

SIEM은 모든 부분에 손을 댈 수 있으므로 확실한 절차를 강제해야 한다. 그리그는 "같은 비밀번호를 재사용하거나 기본 비밀번호를 사용하면 안 된다. 이것만 실천해도 문제의 95% 정도는 해결된다"고 말했다. editor@itworld.co.kr  

X