2017.12.11

글로벌 칼럼 | 2018년 보안 예상 "첨단 위협 방지, ATP의 해가 온다"

Jon Oltsik | CSO
주요 조직들은 새로운 기술을 채택해 공격 표면을 줄이고 공격을 실시간으로 차단할 것이다.


Credit: Getty Images Bank

수년 전부터, 사이버보안 업계는 다음과 같은 새로운 사고 방식을 받아들였다.
- 사이버보안 통제는 그다지 효과적이지 않다.
- 그래서 지능적인 사이버공격자들은 이를 우회해 네트워크를 해킹하고 데이터 유출을 실행할 수 있다.
- 따라서 공격을 막으려고 시도하는 것은 본질적으로 어리석은 짓이며, 조직들은 사고 탐지와 대응에 집중해야 한다.


이런 논리는 업계에서 산불처럼 퍼져나가 지나치게 단순화한 추론으로 자리잡았다. "조직은 두 가지로 구분된다. 침해 당한 조직과 침해 당한 것을 알지 못하는 조직."

현재 필자는 이 추론이 여전히 일부 진실임을 시인한다. 과거 수많은 보안 기술이 제로데이 위협보다 알려진 공격을 위주로 설계됨으로써 구멍이 많았다. 또한 네트워크는 개방되어 있고, 공격에 한껏 열려있다.

이런 단점으로 인해 많은 조직이 위협 탐지를 위해 설계된 새로운 기술에 초점을 맞추고 투자하고 있다. 악성코드 샌드박스(malware Sandboxes), UEBA(User and Entity Behavior Analytics), EDR(Endpoint Detection & Response), 네트워크 보안 분석(network security analytics) 등이 바로 그것이다.

그래서 어떻게 됐나? 기업들은 연결되지 않은 기술, 산더미와 같은 새로운 보안 데이터와 보안 경고의 불협화음에 압도당했다. 이어 많은 조직은 이 위협 탐지 기술을 완전히 사용할만한 직원이나 기술이 없음을 인지했다. 특히 사이버보안의 기술 부족이 만연한 문제는 당분간 이 상황이 바뀌지 않을 것임을 의미한다.

필자에게는 두 가지 문제가 있다. 첫째 보안 통제가 효과적이지 않아 과도한 양의 불량 정보가 네트워크에 유입되고 있으며, 둘째로 위협 탐지가 너무 시끄럽고 복잡하다는 점이다.

새로운 첨단 위협 방지 기술 도입의 해
다행히도 도중에 변화를 줄 수 있었다. 사이버보안 기술 개발업체들은 첨단 위협 방지(Advanced Threat Prevention, ATP) 기술에 대해 소개했고 필자는 이를 요청했다. 이 도구들은 익스플로잇, 공격 요소, 악성코드를 막으면서 공격 표면을 줄이는 데 훨씬 효과적이다. 또한 위협 탐지 소음과 복잡성을 줄이는 파생적인 효과가 있었다.

선도기업들은 2018년 한해 동안 다음과 같은 기술을 배치하면서 첨단 위협 방지의 해를 보낼 것이다.

- 차세대 엔드포인트 보안 소프트웨어
엔드포인트 보안 소프트웨어에서 가장 큰 기술 발전은 악성코드 탐지, 차단을 위한 실시간 분석과 머신러닝 알고리즘을 추가한 것이다. 이런 혁신은 모든 유형의 위협을 탐지, 차단하는데 훨씬 높은 효율성을 제공한다. 실제 사일런스(Cylance)는 수년 전부터 머신러닝을 통해 엔드포인트 보안 시장을 뒤흔들고 있다. 이후 크라우드스트라이크(CrowdStrike), 맥아피(McAfee), 소포스(Sophos), 시만텍, 트렌드마이크로 등과 같은 업체들도 비슷한 기능을 제공했다. CISO는 내년에 이 방향으로 빠르게 움직일 것으로 보인다.

- 위협 인텔리전스 게이트웨이(Threat intelligence gateways)
필자는 지난 수년 전부터 위협 인텔리전스 게이트웨이가 운영되는 것을 유심히 지켜봐 왔는데, 상당히 힘들 수 있다는 걸 볼 수 있었다. 위협 인텔리전스 게이트웨이는 센트리페탈 네트웍스(Centripetal Networks), 익시아(Ixia), 루킹글라스 네트웍스(LookingGlass Networks) 등과 같은 위협 인텔리전스 게이트웨이는 위협을 평가한 다음, 네트워크 경계에서 해당 위협의 볼륨을 차단하는 형태로 노동집약적인 방법에서 벗어날 수 있는 잠재력을 갖고 있다. 왜 이를 신뢰할 수 있는 네트워크 방화벽으로 시도하지 않는가? 왜냐하면 위협 인텔리전스 게이트웨이는 만들어진 이상의 위협의 볼륨을 추적, 차단할 수 없기 때문이다.

- 보안 DNS
위협 게이트웨이와 밀접하게 관련된 보안 DNS 서비스는 악의적인 도메인, 영역, 관련 IP 주소를 사용자의 개입없이 추적하고 차단하도록 설계됐다. 시스코의 오픈DNS(OpenDNS)는 이 분야에서 선도하고 있지만, 코모도(Comodo), 인포블록스(Infoblox), 뉴스타(Neustar)를 비롯한 다른 서비스 업체도 이와 유사한 서비스를 제공한다. 최근에 발표된 IBM의 콰드9(Quad9)을 포함해 많은 무료 보안 DNS 서비스가 제공됨을 기억하라.

- 마이크로-세그먼테이션(micro-segmentation)
시스코 ACI와 VM웨어 NSX는 방화벽, ACL, 망분리(network segmentation)와 같은 개념을 도입해 소프트웨어 기반의 정책 관리 및 이행의 단순성과 결부시켰다. 일루미오(Illumio), 브이아머(vArmour), 쉴드엑스(ShieldX) 등과 같은 다른 곳도 유사 멀티 플랫폼 기능을 제공한다. CISO는 2018년에 이 기술을 더 보편적으로 사용해 전체 공격 표면을 훌륭하게 줄일 것이다.

- 지능형 애플리케이션 제어(Intelligent application controls)
필자는 애플리케이션을 프로파일링하고 정상적인 활동의 기준을 결정한 다음
상황이 바뀌거나 비정상적이거나 의심스러운 행동으로 보이는 활동을 차단하는 도구에 대해 생각하고 있다. 예를 들어, 에지와이스(Edgewise), VM웨어 앱디펜스(AppDefense), 쓰레트스택(Threat Stack) 등이 이에 해당한다.

'설정하고 잊어버리는' 보안 기술은 실제 존재하지 않지만 차세대 도구들은 레가시 보안 제어나 모니터링, 분석 시스템과 같이 지속적인 관리와 지원이 필요하지 않다. 이는 CISO들이 보안 투자에서 이익을 얻으려면 직원 수, 배치 및 커스터마이징의 일수, 직원 교육 일수 등이 필요로 해서는 안된다는 것을 의미한다.

곰보다 빨리 달려야 하는 두 남자에 대한 오래된 농담을 기억하자. 첫번째 남자는 곰이 사람보다 빠르기 때문에 쓸모가 없다고 말한다. 두번째 남자는 이에 응수한다. "나는 곰보다 빨리 달릴 필요가 없다. 나는 당신보다 더 빨리 달리면 된다."

사이버보안에서 사이버범죄자, 핵티비스트, 국가가 후원하는 사이버 적들은 곰이다. ATP는 만능약이 아니다. 그러나 현명한 CISO는 이 도구들을 통해 기본적인 보안 통제에 의존하고 공격 표면을 활짝 열어놓고 있는 다른 조직들보다 앞서 나가는 데 사용할 것이다. editor@itworld.co.kr 

2017.12.11

글로벌 칼럼 | 2018년 보안 예상 "첨단 위협 방지, ATP의 해가 온다"

Jon Oltsik | CSO
주요 조직들은 새로운 기술을 채택해 공격 표면을 줄이고 공격을 실시간으로 차단할 것이다.


Credit: Getty Images Bank

수년 전부터, 사이버보안 업계는 다음과 같은 새로운 사고 방식을 받아들였다.
- 사이버보안 통제는 그다지 효과적이지 않다.
- 그래서 지능적인 사이버공격자들은 이를 우회해 네트워크를 해킹하고 데이터 유출을 실행할 수 있다.
- 따라서 공격을 막으려고 시도하는 것은 본질적으로 어리석은 짓이며, 조직들은 사고 탐지와 대응에 집중해야 한다.


이런 논리는 업계에서 산불처럼 퍼져나가 지나치게 단순화한 추론으로 자리잡았다. "조직은 두 가지로 구분된다. 침해 당한 조직과 침해 당한 것을 알지 못하는 조직."

현재 필자는 이 추론이 여전히 일부 진실임을 시인한다. 과거 수많은 보안 기술이 제로데이 위협보다 알려진 공격을 위주로 설계됨으로써 구멍이 많았다. 또한 네트워크는 개방되어 있고, 공격에 한껏 열려있다.

이런 단점으로 인해 많은 조직이 위협 탐지를 위해 설계된 새로운 기술에 초점을 맞추고 투자하고 있다. 악성코드 샌드박스(malware Sandboxes), UEBA(User and Entity Behavior Analytics), EDR(Endpoint Detection & Response), 네트워크 보안 분석(network security analytics) 등이 바로 그것이다.

그래서 어떻게 됐나? 기업들은 연결되지 않은 기술, 산더미와 같은 새로운 보안 데이터와 보안 경고의 불협화음에 압도당했다. 이어 많은 조직은 이 위협 탐지 기술을 완전히 사용할만한 직원이나 기술이 없음을 인지했다. 특히 사이버보안의 기술 부족이 만연한 문제는 당분간 이 상황이 바뀌지 않을 것임을 의미한다.

필자에게는 두 가지 문제가 있다. 첫째 보안 통제가 효과적이지 않아 과도한 양의 불량 정보가 네트워크에 유입되고 있으며, 둘째로 위협 탐지가 너무 시끄럽고 복잡하다는 점이다.

새로운 첨단 위협 방지 기술 도입의 해
다행히도 도중에 변화를 줄 수 있었다. 사이버보안 기술 개발업체들은 첨단 위협 방지(Advanced Threat Prevention, ATP) 기술에 대해 소개했고 필자는 이를 요청했다. 이 도구들은 익스플로잇, 공격 요소, 악성코드를 막으면서 공격 표면을 줄이는 데 훨씬 효과적이다. 또한 위협 탐지 소음과 복잡성을 줄이는 파생적인 효과가 있었다.

선도기업들은 2018년 한해 동안 다음과 같은 기술을 배치하면서 첨단 위협 방지의 해를 보낼 것이다.

- 차세대 엔드포인트 보안 소프트웨어
엔드포인트 보안 소프트웨어에서 가장 큰 기술 발전은 악성코드 탐지, 차단을 위한 실시간 분석과 머신러닝 알고리즘을 추가한 것이다. 이런 혁신은 모든 유형의 위협을 탐지, 차단하는데 훨씬 높은 효율성을 제공한다. 실제 사일런스(Cylance)는 수년 전부터 머신러닝을 통해 엔드포인트 보안 시장을 뒤흔들고 있다. 이후 크라우드스트라이크(CrowdStrike), 맥아피(McAfee), 소포스(Sophos), 시만텍, 트렌드마이크로 등과 같은 업체들도 비슷한 기능을 제공했다. CISO는 내년에 이 방향으로 빠르게 움직일 것으로 보인다.

- 위협 인텔리전스 게이트웨이(Threat intelligence gateways)
필자는 지난 수년 전부터 위협 인텔리전스 게이트웨이가 운영되는 것을 유심히 지켜봐 왔는데, 상당히 힘들 수 있다는 걸 볼 수 있었다. 위협 인텔리전스 게이트웨이는 센트리페탈 네트웍스(Centripetal Networks), 익시아(Ixia), 루킹글라스 네트웍스(LookingGlass Networks) 등과 같은 위협 인텔리전스 게이트웨이는 위협을 평가한 다음, 네트워크 경계에서 해당 위협의 볼륨을 차단하는 형태로 노동집약적인 방법에서 벗어날 수 있는 잠재력을 갖고 있다. 왜 이를 신뢰할 수 있는 네트워크 방화벽으로 시도하지 않는가? 왜냐하면 위협 인텔리전스 게이트웨이는 만들어진 이상의 위협의 볼륨을 추적, 차단할 수 없기 때문이다.

- 보안 DNS
위협 게이트웨이와 밀접하게 관련된 보안 DNS 서비스는 악의적인 도메인, 영역, 관련 IP 주소를 사용자의 개입없이 추적하고 차단하도록 설계됐다. 시스코의 오픈DNS(OpenDNS)는 이 분야에서 선도하고 있지만, 코모도(Comodo), 인포블록스(Infoblox), 뉴스타(Neustar)를 비롯한 다른 서비스 업체도 이와 유사한 서비스를 제공한다. 최근에 발표된 IBM의 콰드9(Quad9)을 포함해 많은 무료 보안 DNS 서비스가 제공됨을 기억하라.

- 마이크로-세그먼테이션(micro-segmentation)
시스코 ACI와 VM웨어 NSX는 방화벽, ACL, 망분리(network segmentation)와 같은 개념을 도입해 소프트웨어 기반의 정책 관리 및 이행의 단순성과 결부시켰다. 일루미오(Illumio), 브이아머(vArmour), 쉴드엑스(ShieldX) 등과 같은 다른 곳도 유사 멀티 플랫폼 기능을 제공한다. CISO는 2018년에 이 기술을 더 보편적으로 사용해 전체 공격 표면을 훌륭하게 줄일 것이다.

- 지능형 애플리케이션 제어(Intelligent application controls)
필자는 애플리케이션을 프로파일링하고 정상적인 활동의 기준을 결정한 다음
상황이 바뀌거나 비정상적이거나 의심스러운 행동으로 보이는 활동을 차단하는 도구에 대해 생각하고 있다. 예를 들어, 에지와이스(Edgewise), VM웨어 앱디펜스(AppDefense), 쓰레트스택(Threat Stack) 등이 이에 해당한다.

'설정하고 잊어버리는' 보안 기술은 실제 존재하지 않지만 차세대 도구들은 레가시 보안 제어나 모니터링, 분석 시스템과 같이 지속적인 관리와 지원이 필요하지 않다. 이는 CISO들이 보안 투자에서 이익을 얻으려면 직원 수, 배치 및 커스터마이징의 일수, 직원 교육 일수 등이 필요로 해서는 안된다는 것을 의미한다.

곰보다 빨리 달려야 하는 두 남자에 대한 오래된 농담을 기억하자. 첫번째 남자는 곰이 사람보다 빠르기 때문에 쓸모가 없다고 말한다. 두번째 남자는 이에 응수한다. "나는 곰보다 빨리 달릴 필요가 없다. 나는 당신보다 더 빨리 달리면 된다."

사이버보안에서 사이버범죄자, 핵티비스트, 국가가 후원하는 사이버 적들은 곰이다. ATP는 만능약이 아니다. 그러나 현명한 CISO는 이 도구들을 통해 기본적인 보안 통제에 의존하고 공격 표면을 활짝 열어놓고 있는 다른 조직들보다 앞서 나가는 데 사용할 것이다. editor@itworld.co.kr 

X